Frage des Tages: Muss der Datenschutzbeauftragte in der Datenschutzerklärung namentlich benannt werden?
In der Datenschutzerklärung eines Unternehmens müssen auch die Kontaktdaten des ggf. vorhandenen Datenschutzbeauftragten des Unternehmens angegeben werden. Umstritten war bis zuletzt, ob diese Pflicht auch die namentliche Nennung des Datenschutzbeauftragten umfasst. Nun hat der BGH für Klarheit gesorgt. Wir stellen die Entscheidung vor.
Inhaltsverzeichnis
1) Pflicht zur Benennung eines Datenschutzbeauftragten
Die Pflicht von privatrechtlichen Unternehmen und sonstigen privatrechtlichen Organisationen, einen so genannten Datenschutzbeauftragten zu benennen, ergibt sich zum einen aus Art. 37 der EU-Datenschutz-Grundverordnung (DSGVO).
Demnach müssen datenschutzrechtliche Verantwortliche und Auftragsverarbeiter auf jeden Fall dann einen Datenschutzbeauftragten benennen, wenn:
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Datenverarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.
Beim typischen Webshop kleinerer oder mittlerer Größe sind diese Voraussetzungen in der Regel nicht erfüllt, so dass diese demnach auch keinen Datenschutzbeauftragten benennen müssen.
Daneben sind aber auch Unternehmen und Organisationen auch nach § 38 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogene Daten beschäftigen. Auch diese Voraussetzung ist bei vielen kleinen Webshops nicht erfüllt.
Darüber hinaus steht es allen Unternehmen aber natürlich frei, auch ohne gesetzliche Verpflichtung freiwillig einen Datenschutzbeauftragten zu benennen.
2) Angabe des Datenschutzbeauftragten in der Datenschutzerklärung
Die DSGVO sieht in Art. 13 Abs. 1 Buchst. b und in Art. 14 Abs. 1 Buchst. b vor, dass die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung mitzuteilen sind. Dabei macht die DSGVO keinen Unterschied, ob ein Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu benennen oder diesen freiwillig benannt hat. In beiden Fällen müssen die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung des Unternehmens angegeben werden.
Umstritten war zumindest bislang, ob die Kontaktdaten im Sinne dieser Vorschriften auch die Offenlegung der Identität, also des Namens, des oder der Datenschutzbeauftragten umfasst. Mit anderen Worten stellten sich viele Unternehmen die Frage, ob sie in der Datenschutzerklärung den Datenschutzbeauftragten bzw. die Datenschutzbeauftragte mit Namen angeben müssen oder ob es genügt, wenn sie eine vollständige elektronische und postalische Adresse für die Kontaktaufnahme mit dem Datenschutzbeauftragten angeben, unter der dieser erreicht werden kann.
Jedenfalls ausdrücklich oder in sonstiger Weise eindeutig ist dies in der DSGVO nicht geregelt.
3) Benennung des Datenschutzbeauftragten in Datenschutzerklärung
Nun hat der Bundesgerichtshof (BGH) in einer Entscheidung geurteilt (Urteil vom 14. Mai 2024 - Az. VI ZR 370/22), dass bei Mitteilung der Kontaktdaten des Datenschutzbeauftragten die Nennung des Namens nicht zwingend ist. Entscheidend und zugleich ausreichend für die betroffenen Personen sei die Mitteilung der Information, die für die Erreichbarkeit der als Datenschutzbeauftragten zuständigen Stelle erforderlich sind. Ist die Erreichbarkeit auch ohne Nennung des Namens gewährleistet, so müsse dieser Name auch nicht in der Datenschutzerklärung mitgeteilt werden.
Zwar bedeutet dies nicht, dass die Nennung des Namens des oder der Datenschutzbeauftragten immer und in jedem Fall nicht erforderlich ist. Allerdings dürfte in den allermeisten Fällen hinreichend sichergestellt sein, dass der Datenschutzbeauftragte auch per elektronischer (E-Mail-Adresse) und / oder postalische Kontaktaufnahme erreicht werden kann, ohne dass in der elektronischen oder postalischen Adresse tatsächlich der Name des Datenschutzbeauftragten angeführt sein muss. In jedem Fall lassen sich diese Kontaktmöglichkeiten so ausgestalten, dass sie auch ohne Nennung eines Namens effektiv genutzt werden können, bei einer E-Mail-Adresse etwa "datenschutz@".
Nach Angaben des BGH bestehe bereits nach dem Wortlaut der Vorschrift keine Pflicht zur namentlichen Nennung des Datenschutzbeauftragten, sondern nur zur Mitteilung dessen oder deren Kontaktdaten. Dafür spreche weiter die Systematik des Gesetzes, das in unterschiedlichen Zusammenhängen die Mitteilung eines Namens ausdrücklich verlangt und insoweit ersichtlich bewusst differenziert. Auch nach Sinn und Zweck der Vorschrift bedürfe es einer Nennung des Namens nicht zwingend. Denn es komme nicht auf die Person, sondern auf deren Funktion an. Entscheidend und zugleich ausreichend für die betroffene Person sei die Mitteilung der Informationen, die für die Erreichbarkeit der zuständigen Stelle erforderlich sind.
Im Ergebnis bedeutet dies, dass die fehlende Benennung - also Nennung des Namens - des oder der Datenschutzbeauftragten in der Datenschutzerklärung kein Verstoß gegen die Transparenzpflichten des Datenschutzrechts, konkret gegen Art. 13 Abs. 1 Buchst. b bzw. Art. 14 Abs. 1 Buchst. b DSGVO ist.
4) Wichtig: Rechtssicherheit und Aktualität DSGVO-Datenschutzerklärungen
Diese Entscheidung des BGH zeigt einmal mehr, wie wichtig es ist, im Datenschutzrecht die aktuellen Entwicklungen sowie die Entscheidungen der Datenschutzbehörde und der Gerichte fortlaufend zu verfolgen, um nicht gegen die datenschutzrechtlichen Transparenzpflichten zu verstoßen.
Hinweis: Als IT-Recht Kanzlei informieren wir unsere Mandanten, die eines unserer Schutzpakete gebucht haben, nicht nur über wichtige aktuellen Entwicklungen im Datenschutzrecht, sondern aktualisieren direkt auch die von uns bereitgestellten Datenschutzerklärungen im Rahmen unseres Updates-Services - selbstverständlich ohne Zusatzkosten. Mandanten, die zur Einbindung der Datenschutzerklärung in ihre Online-Präsenzen unsere Schnittstellen nutzen, müssen dabei in der Regel nicht einmal selbst etwas tun. Sprechen Sie uns gerne an, wenn Sie noch Fragen zu unseren Schutzpaketen haben.
5) Das Wichtigste in Kürze
- Nicht alle Unternehmen müssen einen Datenschutzbeauftragten haben.
- Wer jedoch einen Datenschutzbeauftragten benannt hat, muss dessen Kontaktdaten in der Datenschutzerklärung angeben.
- Allerdings besteht nach neuester BGH-Rechtsprechung keine Pflicht, dabei auch den Namen des Datenschutzbeauftragten ebenso in der Datenschutzerklärung anzugeben.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare