Seit dem 25.5.2018 ist die Datenschutzgrundverordnung (DS-GVO) nun wirksam. Die vom Gesetzgeber gewährte knapp zweijährige Umsetzungsfrist ist zu diesem Datum abgelaufen.
Das mediale Interesse war und ist ungebrochen. DS-GVO-Witze sind in aller Munde und die Verunsicherung bei Unternehmen, Vereinen und Privatpersonen ist groß. Die Wenigsten wissen, welche Verpflichtungen sie nunmehr in Folge des neuen Gesetzes treffen und wie sie sich verhalten sollen. Neu ist hingegen, dass auch einzelne Landesdatenschutzbeauftragte als zuständige Aufsichtsbehörde Wissenslücken und Verständnisprobleme offenbaren, die teilweise absonderliche Blüten treiben können.
Pflicht zur Benennung eines Datenschutzbeauftragten
Eine der wichtigsten Regelungen für Unternehmen ist sicherlich die Pflicht zur Benennung eines Datenschutzbeauftragten, die Veröffentlichung von dessen Kontaktdaten und deren Mitteilung an die zuständige Aufsichtsbehörde (vgl. Art. 37 DS-GVO und § 38 BDSG-neu).
Die Verpflichtung, einen Datenschutzbeauftragten zu benennen, ist keinesfalls neu. Auch das Bundesdatenschutzgesetz (BDSG) als Vorgängergesetz zur DS-GVO kannte diese Verpflichtung bereits. Ein Novum ist hingegen die in Art. 37 Abs. 7 DS-GVO normierte Verpflichtung die Kontaktdaten des Datenschutzbeauftragten selbständig und unaufgefordert der zuständigen Aufsichtsbehörde mitzuteilen. Dort heißt es:
„Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.“
Ein Verstoß gegen diese Regelung kann hohe Bußgelder von bis zu 10.000.000 EUR oder, bei Unternehmen, 2% des weltweiten Vorjahresumsatzes bedeuten (vgl. Art. 83 Abs. 4 lit. a) DS-GVO). Empfindliche Strafen sind hier wohl nur eine Frage der Zeit. Hinzu kommt, dass Verstöße gegen die Benennungs- und Mitteilungspflicht besonders schnell und ohne großen Arbeitsaufwand durch die Aufsichtsbehörde ermittelt werden können. Im Prinzip muss die zuständige Aufsichtsbehörde nur einmal die im Handelsregister eingetragenen Unternehmen mit den Ihr gemeldeten Datenschutzbeauftragten abgleichen, um Rechtsverstöße zu identifizieren.
Grundsätzlich ist die Regelung, einen Datenschutzbeauftragten benennen und mitteilen zu müssen, zu begrüßen.
Ein fachlich versierter Datenschutzbeauftragter kann einerseits den Verantwortlichen bei der Erfüllung seiner Verpflichtungen unterstützen und andererseits den von einer Datenverarbeitung betroffenen Personen bei der Wahrnehmung ihrer Betroffenenrechte aus den Art. 15 bis 23 DS-GVO zur Seite stehen. Weiterhin dient ein Datenschutzbeauftragter der Sensibilisierung der Mitarbeiter eines Unternehmens für datenschutzrechtliche Belange und sorgt dafür, dass die Verarbeitung personenbezogener Daten mit der gebotenen Vorsicht erfolgt (zu den Aufgaben, Rechten und Pflichten eines Datenschutzbeauftragten siehe Art. 38 und Art. 39 DS-GVO).
Zudem gestattet es der Gesetzgeber den Unternehmen einen sogenannten externen Datenschutzbeauftragten zu benennen, mithin eine Person, die auf Grundlage eines Dienstvertrags für den Auftraggeber tätig wird (vgl. Art. 37 Abs. 6 DS-GVO). Diese Lösung ist für viele Unternehmen eine willkommene Alternative. Sie sparen Schulungskosten und vermeiden, dass ein Mitarbeiter zusätzlich belastet wird.
Auch wir sind für unsere Mandanten in einer Vielzahl von Fällen zu externen Datenschutzbeauftragten bestellt. Im Rahmen dieser Bestellung haben wir unsere Mandanten bei der Umsetzung der DS-GVO tatkräftig unterstützt, nicht zuletzt, indem wir die nach Art. 37 Abs. 7 DS-GVO erforderliche Mitteilung der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde übernommen haben.
Wie erfolgt die Mitteilung an die Aufsichtsbehörde?
Ein standardisiertes Meldeverfahren ist nicht vorgeschrieben. Es verbleibt insoweit bei der oben bereits zitierten Regelung, dass der Verantwortliche der Aufsichtsbehörde die Kontaktdaten des Datenschutzbeauftragten mitzuteilen hat. In Folge einer unterbliebenen gesetzlichen Regelung haben die zuständigen Aufsichtsbehörden nun verschiedene Wege eingeschlagen und das Meldeverfahren unterschiedlich ausgestaltet. Während teilweise jede Form der Meldung akzeptiert wird, setzen andere Aufsichtsbehörden auf eine Meldung mittels eines eigenen Onlineformulars. So auch der Landesdatenschutzbeauftragte des Landes Baden-Württemberg (Onlineformular zur Meldung eines Datenschutzbeauftragten).
Im Rahmen des Formulars werden dort die folgenden Daten abgefragt:
- Die Art der Meldung (Erstmeldung/Änderungsmeldung/Löschungsmeldung),
- Angaben zur mitteilungspflichtigen Stelle (also insbesondere die Kontaktdaten des nach der DS-GVO für die Verarbeitung Verantwortlichen),
- Angaben zum Mitteilenden
- und Angaben zum Datenschutzbeauftragten
Gesetzlich vorgesehen ist lediglich die Mitteilung der Kontaktdaten des Datenschutzbeauftragten. Das es in diesem Rahmen auch Informationen über die meldepflichtige Stelle bedarf ist nachvollziehbar. Nur so kann eine Zuordnung des jeweiligen Datenschutzbeauftragten zum jeweiligen Verantwortlichen erfolgen. Erfreulich ist insoweit, dass hinsichtlich des Datenschutzbeauftragen lediglich eine E-Mailadresse als Pflichtangabe wahrgenommen und weitere Angaben wie z.B. eine Postadresse oder gar der Namen des Datenschutzbeauftragten als freiwillige Angaben gekennzeichnet werden.
Stutzig macht hingegen das Erfordernis, Angaben zum Mitteilenden, also zu der natürlichen Person, die die Meldung letztendlich durchführt, zu machen. Ein derartiges Erfordernis ergibt sich weder aus dem Wortlaut des Art. 37 Abs. 7 DS-GVO, noch aus der Gesetzesbegründung, insbesondere nicht aus den Erwägungsgründen. Auch die Kommentarliteratur erwähnt dieses Erfordernis mit keinem Wort.
Ein Grund für die Erhebung dieser Daten ist nicht ersichtlich. Ob „Hans Müller“ oder „Lise Maier“ der Aufsichtsbehörde die Kontaktdaten des Datenschutzbeauftragten mitteilt, ist bedeutungslos.
Nun mag man selbstverständlich zugestehen, dass die Erhebung dieser Daten durch eine Behörde weitestgehend unschädlich ist. Andererseits sollte man sich fragen, ob der Landesdatenschutzbeauftragte, der eigentlich das Datenschutzniveau verbessern soll, selbst zur „Datenkrake“ werden sollte. Dies gilt erst Recht, wenn die Erhebung der personenbezogenen Daten des Mitteilenden gegen die DS-GVO verstößt, mithin rechtswidrig ist.
Die Datenschutzgrundverordnung gilt auch für Behörden. Art. 2 DS-GVO, der den sachlichen Anwendungsbereich der Verordnung festlegt, ist hinsichtlich seines Wortlauts eindeutig. Ausgenommen vom Anwendungsbereich sind nach lit. d) lediglich Strafverfolgungs- und Strafvollstreckungsbehörden, soweit ihr Tätigwerden der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten dient. Das der Landesdatenschutzbeauftragte keine Strafverfolgungs- oder Strafvollstreckungsbehörde ist, bedarf keiner näheren Betrachtung. Auch die Aufgaben, für die die Verordnung nicht gilt sind nicht betroffen. Daraus folgt, dass jede Datenverarbeitung durch den Landesdatenschutzbeauftragten vollumfänglich den Anforderungen der DS-GVO genügen muss.
Es bedarf mithin einer Rechtsgrundlage für die Datenerhebung (vgl. Art. 6 DS-GVO) und die datenschutzrechtlichen Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DS-GVO müssten eingehalten werden. Problematisch ist im Hinblick auf die datenschutzrechtlichen Grundsätze insbesondere Art. 5 Abs. 1 lit. c) DS-GVO, der sogenannte Grundsatz der Datenminimierung. Danach müssen personenbezogene Daten
„dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.“
Vereinfacht ausgedrückt lassen sich diese Anforderungen als „zur Erreichung des festgelegten Verarbeitungszwecks erforderlich“, zusammenfassen (Herbst in: Kühling/Buchner, DS-GVO, Art. 5, Rn. 57.). Welche personenbezogenen Daten erforderlich sind ergibt sich also erst in der Zusammenschau mit den Zwecken der Datenverarbeitung. Der Landesdatenschutzbeauftragte des Landes Baden-Württemberg nennt als Zweck der Datenverarbeitung
„die elektronische Meldung von Datenschutzbeauftragten an die Aufsichtsbehörde gemäß Art. 37 Abs. 7 DS-GVO.“
Es stellt sich also die Frage, ob die Erhebung der personenbezogenen Daten des Mitteilenden zum Zweck der elektronischen Meldung von Datenschutzbeauftragten an die Aufsichtsbehörde gemäß Art. 37 Abs. 7 DS-GVO erforderlich ist.
Zunächst müsste die Erhebung der personenbezogenen Daten des Mitteilenden „angemessen“ sein. Das bedeutet, dass sie zumindest irgendeinen Bezug zum Verarbeitungszweck haben müssen (Herbst in: Kühling/Buchner, DS-GVO, Art. 5, Rn. 57.). Hier könnte man möglicherweise noch argumentieren, dass diese Daten insofern einen Bezug zum Verarbeitungszweck haben, als dass sie es der Behörde gegebenenfalls ermöglichen könnten, festzustellen, ob auch tatsächlich der Verantwortliche die Meldung vorgenommen hat (so wie Art. 37 Abs. 7 DS-GVO es verlangt).
Weiterhin müsste die Erhebung der personenbezogenen Daten des Mitteilenden „erheblich“ sein. Dies ist immer dann der Fall, wenn die Erhebung geeignet ist, den festgelegten Zweck zu fördern (Herbst in: Kühling/Buchner, DS-GVO, Art. 5, Rn. 57.). Der Datenerhebung fehlt es an dieser Zweckdienlichkeit. Die personenbezogenen Daten des Mitteilenden dienen nämlich weder der „elektronischen Meldung von Datenschutzbeauftragten an die Aufsichtsbehörde“, noch fördern sie diesen Zweck.
Auf diese Tatsache angesprochen führte der Landesdatenschutzbeauftragte des Landes Baden- Württemberg ergänzend aus, dass die Erhebung der Daten des Mitteilenden dazu dienen würde, einem Missbrauch vorzubeugen. Warum dieser Zweck sich nicht in der Datenschutzerklärung findet, bleibt unklar. Gemäß Art. 13 Abs. 1 lit. c) DS-GVO wäre die Aufsichtsbehörde verpflichtet auch über diesen Zweck zu informieren.
Weiterhin dürfte die Datenerhebung auch nicht dem Erfordernis der Zweckdienlichkeit im Hinblick auf eine Vermeidung von Missbrauch genügen. Es handelt sich letztendlich um ein Onlineformular, in das beliebiger Text eingetragen werden kann. Ob beispielsweise die anhand des Namens mutmaßlich identifizierte meldende Person tatsächlich existiert, beziehungsweise, ob diese Person dem Verantwortlichen zugeordnet werden kann, ergibt sich daraus nicht. Pointiert: gerade die Funktion, die Missbrauch vorbeugen soll, öffnet diesem Missbrauch „Tür und Tor“. So wäre es mittels des Onlineformulars ohne weiteres möglich, vollkommen willkürlich Datenschutzbeauftragte gegenüber der Aufsichtsbehörde zu benennen.
Im Ergebnis führt dies dazu, dass die Erhebung der personenbezogenen Daten des Mitteilenden rechtswidrig ist.
Um die, unserer Auffassung nach rechtswidrige, Datenerhebung zu umgehen, haben wir die Mitteilung der Kontaktdaten des Datenschutzbeauftragten einer Mandantin per E-Mail vorgenommen. Dabei haben wir uns auf die zwingend erforderlichen Daten beschränkt. Kurz darauf teilte man uns mit, dass die Meldung ausschließlich über das Onlineformular erfolgen dürfe und die Angabe der dort verlangten Daten verpflichtend sei. Unsere geäußerten Bedenken hinsichtlich dieses Vorgehens „teile man nicht“. Die Nutzung des Onlineformulars sei im Übrigen auch deshalb verpflichtend, weil der ansonsten anfallende, mit 250.000 Meldungen einhergehende, Arbeitsaufwand nicht zu bewältigen sei.
Lieber Landesdatenschutzbeauftragter des Landes Baden-Württemberg,
Sie müssen unsere Bedenken nicht teilen. Was Sie jedoch müssen, ist geltendes Recht befolgen. Die Mitteilung der Kontaktdaten eines Datenschutzbeauftragten kann, solange hierzu keine eindeutige gesetzliche Regelung ergeht, in beliebiger Form, also auch per E-Mail oder Brief erfolgen. Gleichzeitig muss die Datenverarbeitung und damit auch die Datenerhebung den datenschutzrechtlichen Grundsätzen des Art. 5 DS-GVO entsprechen.
Haben Sie Fragen rund um die Datenschutzgrundverordnung? Unsere Ansprechpartner finden Sie hier.