Die DSGVO verpflichtet Unternehmen, die Kontaktdaten ihres Datenschutzbeauftragten zu veröffentlichen (zu Bestellungsvoraussetzungen, Stellung und Aufgaben des Datenschutzbeauftragten Thode, CR 2016, 714 (716 ff.)). Darüber hinaus muss die zuständige Datenschutzbehörde über die Kontaktdaten informiert werden (Art. 37 Abs. 7 DSGVO).
Die Verpflichtung zur Mitteilung der Kontaktdaten an die Aufsichtsbehörde besteht ab dem 25.5.2018. Die Datenschutzbehörden bereiten sich derzeit auf eine Flut eingehender Mitteilungen vor. Die erste große Bewährungsprobe, mit der die Aufsichtsbehörden durch die DSGVO konfrontiert werden.
Ansatz der LDI NRW
Wenn man weiß, dass die Aufsichtsbehörden vielfach noch mit Papierakten arbeiten, bekommt man eine Ahnung, welcher Verwaltungsaufwand mit den eingehenden Mitteilungen verbunden ist. Daher warnt die nordrhein-westfälische Behörde vorsorglich, dass Mitteilungen, die verfrüht eingehen – vor dem 25.5.2018 -, „nicht berücksichtigt“ werden können (LDI NRW, „Mitteilungspflicht der Kontaktdaten von Datenschutzbeauftragten nach DS-GVO“, Aktuelles). Dies verbunden mit dem beruhigenden und ausdrücklich als „wichtig“ hervorgehobenem Hinweis, dass
„unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße“
verfolgt oder geahndet werden.
Der Hinweis ist von nicht zu unterschätzender Bedeutung: Nach Art. 83 Abs. 4 lit. a DSGVO kann die unterlassene Mitteilung der Kontaktdaten mit einem Bußgeld von bis zu 10 Mio. EUR (bzw. von bis zu 2 % des weltweiten Jahresumsatzes) geahndet werden.
Ansatz des LDI BW
Vorbildlich ist die baden-württembergische Datenschutzbehörde, die schon jetzt ein Online-Formular bereitstellt, das die Mitteilung der Kontaktdaten des Datenschutzbeauftragten ermöglicht (LDI BW, „DSB online melden“). Als einzige Pflichtangabe zum Datenschutzbeauftragten verlangt die baden-württembergische Behörde dessen E-Mail-Adresse. Mehr dürfen die Aufsichtsbehörden nicht verlangen, da Art. 37 Abs. 7 DSGVO nur die Mitteilung der Kontaktdaten vorschreibt, nicht jedoch die Nennung des Namens.
Jedem Unternehmen, das einen Datenschutzbeauftragten bestellt hat, ist zu empfehlen, dessen E-Mail-Adresse vorsorglich der zuständigen Aufsichtsbehörde mitzuteilen. Förmlichkeiten gelten hierfür nicht. Online-Formulare, wie sie die baden-württembergische Behörde bereitstellt, können verwendet werden, eine Verpflichtung zur Verwendung eines bestimmten Formulars gibt es jedoch nicht.
Keine Pflicht zur Benennung ohne Pflicht zur Bestellung
Ob die Verpflichtung zur Benennung des Datenschutzbeauftragten tatsächlich flächendeckend besteht, ist zweifelhaft. Art. 37 Abs. 7 DSGVO setzt voraus, dass eine Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 DSGVO besteht. Dies ist indes nur bei wenigen Unternehmen der Fall (siehe Thode, CR 2017, 714 (716 f.), nämlich:
- bei Behörden (Art. 37 Abs. 1 lit. a DSGVO),
- bei Unternehmen, deren „Kerntätigkeit“ ein „Profiling“ von Bürgern erfordert („umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ (Art. 37 Abs. 1 lit. b DSGVO),
- bei Unternehmen, deren „Kerntätigkeit“ in der umfangreichen Verarbeitung von Gesundheitsdaten und anderen besonders sensiblen Daten besteht (Art. 37 Abs. 1 lit. c DSGVO).
Pflicht zur Bestellung nur nach nationalem Recht
Bei deutschen Unternehmen folgt die Verpflichtung zur Bestellung eines Datenschutzbeauftragten nicht aus der DSGVO, sondern aus deutschem Recht. Nach § 38 Abs. 1 BDSG-neu bleibt es dabei, dass ein Datenschutzbeauftragter bereits dann bestellt werden muss, wenn ein Unternehmen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. § 38 BDSG-neu enthält jedoch keine Regelung, die ein Unternehmen zur Veröffentlichung von Kontaktdaten oder zur Mitteilung dieser Daten an die zuständige Aufsichtsbehörde verpflichtet.
Folge für Auslegung der Mitteilungspflicht nach Art. 37 Abs. 7 DSGVO
Art. 37 Abs. 7 DSGVO lässt sich nicht mit hinreichender Deutlichkeit entnehmen, dass die Mitteilungspflicht nicht nur für Datenschutzbeauftragte gelten soll, die nach der DSGVO bestellt worden sind, sondern auch dann, wenn die Bestellung nach dem Recht eines Mitgliedsstaats erfolgte. Die Unklarheit, die sich bei Art. 37 Abs. 7 DSGVO feststellen lässt, spricht im Hinblick auf den Grundsatz des Gesetzesvorbehalts und auf den Bestimmtheitsgrundsatz gegen eine Mitteilungspflicht.
2 Kommentare
Die hier vertretene Ansicht ist meiner Meinung nach weder vom Wortlaut her noch vom Sinn und Zweck der DSGVO richtig.
1. Wortlaut
Herr Härting schreibt: „Art. 37 Abs. 7 DSGVO setzt voraus, dass eine Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 DSGVO besteht.“. Das kann man dem Wortlaut des Art. 37 Abs. 7 DSGVO nicht entnehmen. Dort steht schlicht „Datenschutzbeauftragter“, nicht etwa „nach Art. 37 Abs. 1 zu benennender Datenschutzbeauftragter“.
Würde man den Begriff „Datenschutzbeauftragter“ in der DSGVO so auslegen, dass die nach nationalem Recht zu bestellenden Datenschutzbeauftragten nicht umfasst wären, würden alle anderen Bestimmungen der DSGVO für „nationale“ Datenschutzbeauftragten auch nicht gelten. Das würde z.B. die Folge haben, dass nationale Datenschutzbeauftragte weder Aufgaben, noch eine bestimmte Stellung hätten, da dann auch Art. 38 und 39 DSGVO für „nationale“ Datenschutzbeauftragte keine Anwendung fände. Das ist vom Ergebnis her offenkundig verfehlt.
2. Sinn und Zweck der Vorschrift
Die Meldung der Kontaktdaten der Datenschutzbeauftragten soll den Datenschutzbehörden wohl die Erfüllung Ihrer Aufgaben erleichtern, indem sie die Datenschutzbeauftragte einfacher, ggf. auch in großer Zahl, ansprechen können. Der Zweck wäre verfehlt, wenn das Verzeichnis die „nationalen“ Datenschutzbeauftragten ausschlösse. Es mag auch andere Zwecke geben, ich kann mir aber keinen vorstellen, der erfüllt wäre, wenn die Aufsichtsbehörden ein unvollständiges Verzeichnis parat hätten.
Da Art. 37 Abs. 1 DSGVO nur vom Datenschutzbeauftragten spricht, dürften vielmehr auch freiwillig benannte Datenschutzbeauftragte zu melden sein.
Herzlichen Dank, Herr Helbing!
1. In der Tat stellt sich die Frage, ob sich Art. 38 und 39 DSGVO ohne weiteres auf Datenschutzbeauftragte anwenden lassen, die nach nationalem Recht bestellt sind. Eher fraglich, da dies aus den von Ihnen genannten Gründen zwar wünschenswert erscheinen mag, aus den Normen jedoch nicht hervorgeht.
2. Aus ähnlichen Gründen überzeugt mich auch Ihr anderes Argument nicht. Es mag für die Aufsichtsbehörden angenehm und zweckmäßig sein, über umfangreiche Bestände an Adressdaten zur verfügen. Als Datenschutzrechtler wissen wir jedoch, dass derartige Überlegungen der Zweckmäßigkeit nicht ausreichen, um aus einer Norm eine Datenübermittlungspflicht abzuleiten.