Zum Inhalt springen Zur Navigation springen
Die Meldung des Datenschutzbeauftragten: Wann, wo und wie?

Die Meldung des Datenschutzbeauftragten: Wann, wo und wie?

Artikel von Dr. Datenschutz·26. April 2018

Ab dem 25.05.2018 müssen Unternehmen gem. Art. 37 Abs. 7 DSGVO die Kontaktdaten ihres Datenschutzbeauftragten (die Kontaktdaten wohlgemerkt, nicht zwangsläufig den Namen) der zuständigen Aufsichtsbehörde mitteilen. In welcher Form dies zu geschehen hat, wird im Gesetz nicht erwähnt. Um ein unübersichtliches Meldechaos zu vermeiden, bleibt es also den Aufsichtsbehörden überlassen einen einheitlichen Meldevorgang zu gestalten. Wir haben uns die Webseiten der Aufsichtsbehörden angeschaut und geben einen Überblick über das Ob und Wie der Meldemöglichkeiten.

Aufsichtsbehörden unterschiedlich vorbereitet

Die Datenschutz-Grundverordnung (DSGVO) verlangt Unternehmen einiges ab. Die Aufsichtsbehörden mahnen regelmäßig in verschiedenster Intensität und Güte die Einhaltung der gesetzlichen Umsetzungsfrist bis zum 25. Mai 2018 an. Aber wie gut sind die Aufsichtsbehörden selber vorbereitet?

  • Baden-Württemberg
    Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg arbeitet „bereits jetzt“ an einer Lösung, wie diese Meldung einfach und sicher an den LdDI erfolgen kann. Eine Möglichkeit zur Online-Meldung ist ab Mai 2018 beabsichtigt. UPDATE: Die Online-Meldung ist nun möglich.
  • Bayern
    Das bayerische Landesamt für Datenschutzaufsicht entwickelt derzeit einen Online-Service und verspricht, dass das Meldeportal rechtzeitig zum 25.05.2018 erreichbar sein wird. Nach erfolgter Meldung soll eine elektronische Bestätigung zur Meldung erfolgen.
  • Berlin
    Der Berliner Beauftragte für Datenschutz und Informationsfreiheit bietet derzeit keine Informationen an.
  • Brandenburg
    Auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg hält sich mit Informationen noch zurück.
  • Bremen
    Hanseatische Zurückhaltung des Bremer Landesbeauftragten für Datenschutz. Auch hier sind keine Informationen zu finden.
  • Hamburg
    Ganz anders die Hanseaten aus Hamburg: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit stellt ein PDF-Formular zur Verfügung. Das ausgefüllte Formular kann per Post, Mail oder Fax an den HmbBfDI gesendet werden.
  • Hessen
    Der Hessische Datenschutzbeauftragte wird ein automatisiertes Meldeverfahren auf seiner Homepage zur Verfügung stellen. Wann dieses Verfahren zur Verfügung steht, wird nicht mitgeteilt. Wenn das dann aber mal der Fall sein sollte, sollen Verantwortliche und Auftragsverarbeiter ihrer Mitteilungspflicht innerhalb von 3 Monaten nachkommen.
  • Mecklenburg-Vorpommern
    We have a winner! Als erste (und bisher einzige) Behörde bietet der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern ein übersichtliches Online-Meldeformular an. Kleiner Wermutstropfen: Die auszufüllenden Pflichtfelder gehen über das gesetzlich geforderte Maß hinaus. So müssen z.B. auch Name und Nachname des Datenschutzbeauftragten angegeben werden.
  • Niedersachsen
    Die Landesbeauftragte für den Datenschutz in Niedersachsen meint, dass derzeit ein bundeseinheitliches Formular erarbeitet wird und zu gegebener Zeit auf ihrer Webseite veröffentlicht werden wird. UPDATE: Wohl doch keine bundeseinheitliche Lösung.
  • Nordrhein-Westfalen
    Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen teilt mit, dass beabsichtigt ist, eine Möglichkeit zur Online-Meldung über die Homepage der LDI NRW anzubieten. Mitteilungen, die vor der Fertigstellung eingehen, könnten nicht berücksichtigt werden. Welche Daten konkret zu melden sind, und weitere Informationen könnten in den kommenden Monaten auf der Homepage nachgelesen werden. UPDATE: „Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.“
  • Rheinland-Pfalz
    Immerhin: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz stellt ein Testformular bereit. Diese soll allerdings wirklich nur Testzwecken dienen und kann nicht für eine Meldung nach Art. 37 Abs. 7 DSGVO genutzt werden. Eine Meldung vor dem 25. Mai 2018 kann an eine E-Mail versandt werden. UPDATE: Online-Meldung nun doch möglich.
  • Saarland
    Keine Informationen vom unabhängigen Datenschutzzentrums Saarland.
  • Sachsen
    Keine Informationen vom sächsischen Datenschutzbeauftragten
  • Sachsen-Anhalt
    Keine Informationen vom Landesbeauftragten für den Datenschutz Sachsen-Anhalt. #moderndenken
  • Schleswig-Holstein
    Auf den Seiten des Unabhängigen Landeszentrums für Datenschutz soll bis zum 25.05.2018 ein Formular für die Meldung angeboten werden.
  • Thüringen
    Keine Informationen vom Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit.

Auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) hat eine Übersicht zum aktuellen Stand (16.05.2018) der Behörden bei der Mitteilungspflicht des Datenschutzbeauftragten veröffentlicht.

Auch bei den Aufsichtsbehörden noch Luft nach oben

Es mag etwas beruhigen, dass auch die Aufsichtsbehörden Probleme haben, die zahlreichen Anforderungen fristgemäß zu erfüllen. Dennoch kann derzeit noch davon ausgegangen werden, dass bis zum 25. Mai 2018 eine Meldemöglichkeit in allen Bundesländern besteht. Sollten die Aufsichtsbehörden allerdings bis zum 25.05 keine adäquaten Lösungen anbieten, dürfte die Kritik etwas lauter werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Nun ja für die bayerischen Behörden gibt es auch schon länger ein Online-Meldeformular. Ebenso für Datenschutzvorfälle https://www.datenschutz-bayern.de/service/

    • Richtig, hierbei handelt es sich allerdings um ein Meldeformular für öffentliche Stellen. Der Artikel richtet sich in erster Linie an Unternehmen der Privatwirtschaft, also nichtöffentliche Stellen.

  • Kann man das auch so verstehen, dass man den Datenschutzbeauftragten nur dann melden muss, wenn man ihn nach DSGVO bestellt hat, nicht aber wenn mann ihn nach BDSG bestellt hat?

    • Wir verstehen den Sinn der Vorschrift so, dass die Aufsichtsbehörde die Daten des DSB haben soll. Das Mitteilen ist hierfür das Mittel zum Zweck. Wann und nach welchen Vorschriften der DSB bestellt wurde spielt nach unserer Auffassung daher keine Rolle.

      • Das wird hier gut begründet anders gesehen: https://www.cr-online.de/blog/2018/05/04/dsgvo-in-der-praxis-muessen-die-kontaktdaten-aller-datenschutzbeauftragten-den-behoerden-mitgeteilt-werden/

        Zitat: „Art. 37 Abs. 7 DSGVO lässt sich nicht mit hinreichender Deutlichkeit entnehmen, dass die Mitteilungspflicht nicht nur für Datenschutzbeauftragte gelten soll, die nach der DSGVO bestellt worden sind, sondern auch dann, wenn die Bestellung nach dem Recht eines Mitgliedsstaats erfolgte. Die Unklarheit, die sich bei Art. 37 Abs. 7 DSGVO feststellen lässt, spricht im Hinblick auf den Grundsatz des Gesetzesvorbehalts und auf den Bestimmtheitsgrundsatz gegen eine Mitteilungspflicht.“

        • Das mag ein rechtsdogmatisch interessanter Ansatz sein. Die Frage ist ja, ob die Meldung des Datenschutzbeauftragten für Sie so unzumutbar ist, dass Sie basierend auf dieser Ansicht darauf verzichten wollen.

          • Nein, das ist für mich nicht die Frage. Die Frage ist, ob eine Mitteilungspflicht besteht oder eben nicht. Was man dann daraus macht ist eine völlig andere Frage.

            • Art. 37 Abs. 7 DSGVO legt fest, dass die Kontaktdaten des DSB der Aufsichtsbehörde mitgeteilt werden sollen, völlig unabhängig davon, aus welcher Norm sich dies ergibt. Hier Unterschiede zu machen wäre auch völlig unsinnig.

              Im Übrigen versteht sich § 38 BDSG selber als Ergänzungsvorschrift (siehe Satz 1) und gerade nicht als lex specialis. Wieso sollten die Pflichten aus Art. 37 dann verdrängt werden?

              Unsere Meinung also hierzu: Wenn eine gesetzliche Pflicht besteht einen DSB zu benennen, besteht auch die Pflicht dessen Kontaktdaten der Aufsichtsbehörde mitzuteilen, völlig unabhängig davon, ob sich die Bennenungspflicht aus der DSGVO, aus dem BDSG oder irgendeiner anderen Vorschrift ergibt.

  • Der Hamburger Datenschutzbeauftragte möchte jedenfalls in seinem pdf-Formular (https://datenschutz-hamburg.de/assets/pdf/MeldeformularDSB.pdf) nur Datenschutzbeauftragte (DSB) mitgeteilt bekommen, die „auf Grundlage des Art. 37 DSGVO“ benannt wurden. In Hamburg muss also ein Unternehmen, welches nach BDSG einen DSB bestellen muss, nach DSGVO aber nicht, keine Meldung an den Datenschutzbeauftragten abgeben.

  • Ich kündigte per Einschreiben Rückschein einen Vertrag bei einem Kampfsport Verband, korrekt laut Zivilrecht aber auch laut einem Vertrag der mir im Nachhinein sittenwidrig erschien und den ich nur aus einer Notsituation über die der Vertragsempfänger informiert wurde unterschrieb. Die Kündigung ist korrekt erfolgt es wurden aber sporadisch und zu nicht vorhersagbaren Zeiten (kein automatismus) weiter Beträge unterschiedlicher nicht nachvollziehbarer Höhe einfach trotz Bankwidrspruch von meinem Konto immerwieder abgebucht ohne jede postalische Begründung der Nichtakzeptanz meiner Kündigung die per Einschreiben Rückschein plus zusätzlich Fax plus e mail mitteilung erfolgte. Es erfolgten auch zum Bankwiderspruch Widerspruch mit Screenshot der Einschreibenummer was alles nichts half. Nach Kontowechsel erhielt ich nach 6 Jahren angeblich ein Mahnschreiben mit Drohung der Gerichtlichen Eintreibung seitens deren Anwalt mit Begründung von nicht näher erklärten Rückständen die aus einer Mitgliedschaft resultieren würden mit einem Betrag der selbst wenn er berechtigt wäre in seiner Höhe als als ausstehender Mitgliedsbeitrag nicht nachvollziehbar wäre. Ich habe meinen Teil getan, Eine andere Kündigung als per Einschreiben Rückschein, plus Faxbericht der noch vorliegt scheint nicht möglich. Dennoch werde ich seit nunmehr 6 Jahren von dieser Schule belästigt. Wie setze ich die Löschung meiner Daten durch sodaß weitere Belästigungen strafrechtlich relevant werden oder empffindlich bestraft werden können durch das Zivilrecht und ohne dass der Empfänger mit dieser Einrede gleich verfahren kann wie mit meinen eingschriebenen Briefen Danke f. Auskunft

  • Welcher Behörde muss man denn den Datenschutzbeauftragten melden, wenn die Zentrale im EU Ausland liegt? Vielen dank

    • Grundsätzlich gilt, dass der Datenschutzbeauftragte dort zu melden ist, wo die verarbeitende Stelle Ihren Hauptsitz hat. Pauschal kann dies aber auch nicht gelten, da es zum Beispiel sein kann, dass der Hauptteil der personenbezogenen Daten nicht am Hauptsitz verarbeitet wird, oder z.B. Tochtergesellschaften auf Grund nationaler Regeln einen eigenen Datenschutzbeauftragten stellen müssen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.