Die letzten Wochen Waren ereignisreich: das Thema Datenschutz hat uns in alle Himmelsrichtungen und viele Teile der Republik geführt. Zur Weiterbildung auf die schwäbische Alb, zu Mandaten bis kurz vor Leipzig, in den Lahn-Dill-Kreis nach Wetzlar, nach Gießen, zu vielen Städten und Gemeinden im Vogelsberg und der Wetterau, nach Gedern, an den Edersee nach Frankenberg und nach Ransbaum-Baumbach in Rheinland-Pfalz.

Man merkt, dass der 25. Mai 2018 näher rückt, die EU-Datenschutzgrundverordnung lässt grüßen. Das Thema Datenschutz rückt bei vielen Verwaltungen und Unternehmen immer mehr in den Fokus. Datenschutz wird zur Chefsache, viele wollen die Umsetzung aktiv an gehen.

Eine Frage, die dabei ganz am Anfang immer wieder auftaucht, ist die Meldung des externen Datenschutzbeauftragten an die Aufsichtsbehörde. Wie funktioniert das? Was muss ich melden? Was muss gemeldet werden?

Der Gesetzestext der EU-Datenschutzgrundverordnung (DSGVO) lässt sich dazu nur in wenigen Sätzen aus, dort steht wörtlich nur

Der Verantwortliche oder Auftragsverarbeiter veröffentlicht die Kontaktdaten und teilt diese der Aufsichtsbehörde mit.

Man geht davon aus, dass dies eine so genannte ladungsfähige Anschrift sein muss, ähnlich eines Impressums einer Internetseite.

Der Landesdatenschutzbeauftragte Rheinland-Pfalz liefert dazu ein Beispiel.

Meldestelle

  • Name der Stelle (Behörde, Unternehmen)
  • Straße und Hausnummer
  • Postleitzahl und Ort
  • Name und Vorname einer Kontaktperson
  • Funktion der Kontaktperson

Datenschutzbeauftragter

  • Name
  • Vorname
  • Organisation
  • Straße und Hausnummer
  • Postleitzahl und Ort
  • E-Mailadresse
  • Telefonnummer mit Durchwahl
  • Telefaxnummer
  • Bestellung zum Datenschutzbeauftragen ab dem Datum

 

Aufsichtsbehörden noch nicht vorbereitet?

Die Aufsichtsbehörden scheinen allerdings noch gar nicht auf die Flut der Meldungen vorbereitet zu sein. So findet sich zum Beispiel auf der Internetseite des hessischen Landesdatenschutzbeauftragten der Hinweis, man möge derzeit von Meldungen eines Datenschutzbeauftragten an die Behörde absehen.

Hess. Datenschutz Meldung nach Art. 37 Abs. 7 DSGVO

https://www.datenschutz.hessen.de/neuesdatenschutzrecht.htm#entry5009

 

Ähnlich sieht es in Nordrhein-Westfalen aus, dort findet man in einem FAQ-Papier den Hinweis

Ab Geltung der DS-GVO (25. Mai 2018) sind Verantwortliche und Auftragsverarbeiter dazu verpflichtet, die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitzuteilen. Vor diesem Zeitpunkt ist eine solche Meldung an die LDI NRW nicht erforderlich. Vorher eingehende Mitteilungen werden nicht berücksichtigt.

Für Rheinland-Pfalz gibt es immerhin schon ein Testformular unter https://www.datenschutz.rlp.de/de/themenfelder-themen/online-services/meldeformular-datenschutzbeauftragter-gem-art-37-abs-7-ds-gvo/ und die Möglichkeit zu Meldung per E-Mail.

Somit kann dieser Punkt in vielen Fällen im Sinne eines Datenschutzmanagementsystems für den Moment abgehakt werden. Allerdings ist es wichtig, den Ist-Zustand regelmäßig zu prüfen und zu kontrollieren, ab wann die Aufsichtsbehörden entsprechende Meldungen entgegennehmen.