Datenschutz-Tipp Nr. 30: Was es mit der Meldepflicht nach dem BDSG so auf sich hat…

Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Haben Sie schon einmal ein Verfahren bei der für Sie zuständigen Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich gemeldet? Nein? Falls Sie jedoch zehn oder mehr Mitarbeiter im Unternehmen haben, die automatisiert personenbezogene Daten verarbeiten (dafür reicht heutzutage schon aus, dass jemand ein E-Mail-Programm benutzt), dann könnte es gut sein, dass sie sich ordnungswidrig verhalten haben.

Das Bußgeld für diese Fälle beträgt nach § 43 BDSG bis zu 50.000,00 €. Das hört sich sehr nach Angstmacherei an, soll es aber nicht sein. Ich persönlich habe in all den Jahren meiner Tätigkeit als spezialisierter Anwalt im Datenschutzrecht keinen Fall mitbekommen, in dem ein Unternehmen wegen der Verletzung der Meldepflicht ein Bußgeldbescheid bekommen hätte. Das heißt zwar nicht zwingend, dass es diese Fälle nicht gibt; sie scheinen aber zumindest in der Praxis nicht häufig vorzukommen.

Und der Grund dafür liegt auch auf der Hand. Denn die Meldepflicht entfällt nicht nur, wenn sie weniger als zehn Personen beschäftigen, die automatisiert personenbezogene Daten verarbeiten, sondern auch, wenn sie einen betrieblichen Datenschutzbeauftragten bestellt haben.

Und wenn Sie jetzt ganz schlau überlegen, dann kommen Sie sicher zu dem Ergebnis, dass ein Unternehmen (wenn die handelnden Personen nicht ganz auf den Kopf gefallen sind) in der Praxis sehr leicht ein Meldepflicht-Versäumnis heilen kann.

Aber Achtung: eine rechtmäßige „Heilung“ bekommen Sie so nicht hin. Es ist lediglich ein taktisches Manöver, das in der Praxis aber offenbar häufig zu funktionieren scheint.

Das hört sich jetzt mittlerweile wahrscheinlich etwas zu kryptisch an, oder? Nehmen wir zur Verdeutlichung einfach ein praktisches Beispiel:

Angenommen Sie haben ein Unternehmen bzw. arbeiten einem Unternehmen, das Zeitschriften auf dem Markt anbietet. Und nehmen wir weiter an, dass Sie für Zwecke der Vergrößerung des Abonnentenkreises auch Adressen von Altkunden nutzen, um diese noch drei Jahre nach Kündigung ihres letzten Abonnements anzuschreiben, um ein neues Probe-Abo anzubieten. Hierfür nutzen Sie ein wunderbar neues und buntes CRM-Tool.

Und es passiert, was passieren muss. Der angeschriebene Ex-Abonnent ist empört über die erneute Werbung für ein Probe-Abo. Er wendet sich an die zuständige Aufsichtsbehörde für den Datenschutz und will wissen, wie es sein kann, dass Sie ihn noch einmal als Ex-Abonnenten anschreiben. Und die Aufsichtsbehörde wendet sich jetzt an Sie. Sie bekommen also dieses Schreiben von der Aufsichtsbehörde und denken sich „Was zum Teufel…“ bzw. neudeutsch „WTF“ (das Akronym forschen Sie nach, wenn Sie es nicht kennen, ja?)

Und die Aufsichtsbehörde möchte einiges von Ihnen wissen. Sie möchte zum Beispiel wissen, ob ein betrieblicher Datenschutzbeauftragter bestellt ist. Und für den Fall, dass keiner bestellt worden ist, mögen Sie bitte darlegen, wie viele Mitarbeiter in Ihrem Unternehmen automatisiert personenbezogene Daten verarbeiten.

Spätestens dann sollten die Alarmglocken schallen. Denn wenn sie nämlich keinen Datenschutzbeauftragten bestellt haben und zehn oder mehr Mitarbeiter in Ihrem Unternehmen beschäftigen, hätten sie mit hoher Wahrscheinlichkeit das CRM-Verfahren bei der Aufsichtsbehörde melden müssen. Und zwar vor der Inbetriebnahme.

Ein Datenschutz-Berater oder ein fachkundiger Anwalt wird Ihnenspätestens jetzt raten, einen betrieblichen Datenschutzbeauftragten zu bestellen. Außerdem sollte dann unverzüglich die interne Verfahrensdokumentation für das Unternehmen erstellt werden. Denn – auch wenn die Meldepflicht entfällt – geht der Gesetzgeber gleichwohl davon aus, dass das, was sie hätten melden müssen, jetzt als Dokumentation intern vorgehalten wird.

Sie können dann auf jeden Fall der Aufsichtsbehörde mitteilen, dass ein Datenschutzbeauftragter bestellt worden ist. Problematisch bzw. peinlich kann es nur werden, wenn die Aufsichtsbehörde – was häufig der Fall ist – die Bestellungsurkunde des Datenschutzbeauftragten sehen möchte. Dann fällt das Datum der Bestellung natürlich auf. Und wenn sie keine strafrechtlichen Risiken eingehen wollen, würden ich tunlichst von einer Rückdatierung absehen.

Wenn sich dann aus der Bestellungsurkunde ergibt, dass der Datenschutzbeauftragte erst seit kurzem bestellt worden ist, kann die Aufsichtsbehörde sich natürlich ihren Teil denken. In der Regel wissen die betreffenden Mitarbeiter der Aufsichtsbehörde dann Bescheid, dass die eigentlich zu erfolgende Meldung des Verfahrens in der Vergangenheit eben nicht erfolgt ist. Meiner Erfahrung nach nutzen die Aufsichtsbehörden diese Kenntnis jedoch regelmäßig nicht dafür aus, im Nachhinein noch Bußgeldbescheide wegen Verletzungen der Meldepflicht zu erlassen. Vielmehr hat es den Anschein, dass die Aufsichtsbehörden es wohlwollend zur Kenntnis nehmen, dass das Unternehmen jetzt seine Hausaufgaben macht und durch einen Datenschutzbeauftragten dabei unterstützt wird.

Zu guter letzt: Was viele vergessen bzw. nicht wissen, ist, dass die Meldepflicht für bestimmte Unternehmen auch dann nicht entfällt, wenn ein Datenschutzbeauftragter bestellt worden ist. Dies betrifft die Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung oder für Zwecke der Markt-oder Meinungsforschung verarbeiten. Diese müssen die automatisierten Verarbeitungen bei der Aufsichtsbehörde zu sog. Verfahrensregister melden, in denen die Daten von der jeweiligen Stelle zum Zweck der Übermittlung bzw. der Markt- oder Meinungsforschung gespeichert werden.

Skurril wird diese Ausnahme von der Ausnahme übrigens für Webservices wie Social Networks oder Bewertungsportale. Denn nach der Rechtsprechung des BGH („spickmich.de“) ist das Vorhalten von Nutzerdaten für Besucher oder andere registrierte Mitglieder einer Website als geschäftsmäßige Übermittlung von Daten im Sinne des § 29 BDSG anzusehen. Hier wird wieder einmal deutlich, wie wenig das BDSG an die moderne Informationsgesellschaft angepasst ist. Denn wenn wir die Rechtsprechung des BGH strikt anwenden würden, würde dies dazu führen, dass ein nicht unbedeutender Teil der deutschen Online-Anbieter sich in der Vergangenheit wegen der Verletzung von Meldepflichten ordnungswidrig verhalten haben und künftig ihre Verfahren bei der jeweils für sie zuständigen Aufsichtsbehörde für den Datenschutz zum Register melden müssen. Na dann Prostmahlzeit.

In diesem Sinne… bis zum nächsten Mal,

Ihr Stephan Hansen-Oest