Frage des Tages: Muss der Datenschutzbeauftragte in der Datenschutzerklärung namentlich benannt werden?

Frage des Tages: Muss der Datenschutzbeauftragte in der Datenschutzerklärung namentlich benannt werden?
Stand: 19.08.2024 5 min

In der Datenschutzerklärung eines Unternehmens müssen auch die Kontaktdaten des ggf. vorhandenen Datenschutzbeauftragten des Unternehmens angegeben werden. Umstritten war bis zuletzt, ob diese Pflicht auch die namentliche Nennung des Datenschutzbeauftragten umfasst. Nun hat der BGH für Klarheit gesorgt. Wir stellen die Entscheidung vor.

1) Pflicht zur Benennung eines Datenschutzbeauftragten

Die Pflicht von privatrechtlichen Unternehmen und sonstigen privatrechtlichen Organisationen, einen so genannten Datenschutzbeauftragten zu benennen, ergibt sich zum einen aus Art. 37 der EU-Datenschutz-Grundverordnung (DSGVO).

Demnach müssen datenschutzrechtliche Verantwortliche und Auftragsverarbeiter auf jeden Fall dann einen Datenschutzbeauftragten benennen, wenn:

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Datenverarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Beim typischen Webshop kleinerer oder mittlerer Größe sind diese Voraussetzungen in der Regel nicht erfüllt, so dass diese demnach auch keinen Datenschutzbeauftragten benennen müssen.

Daneben sind aber auch Unternehmen und Organisationen auch nach § 38 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogene Daten beschäftigen. Auch diese Voraussetzung ist bei vielen kleinen Webshops nicht erfüllt.

Darüber hinaus steht es allen Unternehmen aber natürlich frei, auch ohne gesetzliche Verpflichtung freiwillig einen Datenschutzbeauftragten zu benennen.

LegalScan Pro – Ihr Warnsystem für produktspezifische Rechtspflichten

2) Angabe des Datenschutzbeauftragten in der Datenschutzerklärung

Die DSGVO sieht in Art. 13 Abs. 1 Buchst. b und in Art. 14 Abs. 1 Buchst. b vor, dass die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung mitzuteilen sind. Dabei macht die DSGVO keinen Unterschied, ob ein Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu benennen oder diesen freiwillig benannt hat. In beiden Fällen müssen die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung des Unternehmens angegeben werden.

Umstritten war zumindest bislang, ob die Kontaktdaten im Sinne dieser Vorschriften auch die Offenlegung der Identität, also des Namens, des oder der Datenschutzbeauftragten umfasst. Mit anderen Worten stellten sich viele Unternehmen die Frage, ob sie in der Datenschutzerklärung den Datenschutzbeauftragten bzw. die Datenschutzbeauftragte mit Namen angeben müssen oder ob es genügt, wenn sie eine vollständige elektronische und postalische Adresse für die Kontaktaufnahme mit dem Datenschutzbeauftragten angeben, unter der dieser erreicht werden kann.

Jedenfalls ausdrücklich oder in sonstiger Weise eindeutig ist dies in der DSGVO nicht geregelt.

3) Benennung des Datenschutzbeauftragten in Datenschutzerklärung

Nun hat der Bundesgerichtshof (BGH) in einer Entscheidung geurteilt (Urteil vom 14. Mai 2024 - Az. VI ZR 370/22), dass bei Mitteilung der Kontaktdaten des Datenschutzbeauftragten die Nennung des Namens nicht zwingend ist. Entscheidend und zugleich ausreichend für die betroffenen Personen sei die Mitteilung der Information, die für die Erreichbarkeit der als Datenschutzbeauftragten zuständigen Stelle erforderlich sind. Ist die Erreichbarkeit auch ohne Nennung des Namens gewährleistet, so müsse dieser Name auch nicht in der Datenschutzerklärung mitgeteilt werden.

Zwar bedeutet dies nicht, dass die Nennung des Namens des oder der Datenschutzbeauftragten immer und in jedem Fall nicht erforderlich ist. Allerdings dürfte in den allermeisten Fällen hinreichend sichergestellt sein, dass der Datenschutzbeauftragte auch per elektronischer (E-Mail-Adresse) und / oder postalische Kontaktaufnahme erreicht werden kann, ohne dass in der elektronischen oder postalischen Adresse tatsächlich der Name des Datenschutzbeauftragten angeführt sein muss. In jedem Fall lassen sich diese Kontaktmöglichkeiten so ausgestalten, dass sie auch ohne Nennung eines Namens effektiv genutzt werden können, bei einer E-Mail-Adresse etwa "datenschutz@".

Nach Angaben des BGH bestehe bereits nach dem Wortlaut der Vorschrift keine Pflicht zur namentlichen Nennung des Datenschutzbeauftragten, sondern nur zur Mitteilung dessen oder deren Kontaktdaten. Dafür spreche weiter die Systematik des Gesetzes, das in unterschiedlichen Zusammenhängen die Mitteilung eines Namens ausdrücklich verlangt und insoweit ersichtlich bewusst differenziert. Auch nach Sinn und Zweck der Vorschrift bedürfe es einer Nennung des Namens nicht zwingend. Denn es komme nicht auf die Person, sondern auf deren Funktion an. Entscheidend und zugleich ausreichend für die betroffene Person sei die Mitteilung der Informationen, die für die Erreichbarkeit der zuständigen Stelle erforderlich sind.

Im Ergebnis bedeutet dies, dass die fehlende Benennung - also Nennung des Namens - des oder der Datenschutzbeauftragten in der Datenschutzerklärung kein Verstoß gegen die Transparenzpflichten des Datenschutzrechts, konkret gegen Art. 13 Abs. 1 Buchst. b bzw. Art. 14 Abs. 1 Buchst. b DSGVO ist.

4) Wichtig: Rechtssicherheit und Aktualität DSGVO-Datenschutzerklärungen

Diese Entscheidung des BGH zeigt einmal mehr, wie wichtig es ist, im Datenschutzrecht die aktuellen Entwicklungen sowie die Entscheidungen der Datenschutzbehörde und der Gerichte fortlaufend zu verfolgen, um nicht gegen die datenschutzrechtlichen Transparenzpflichten zu verstoßen.

Hinweis: Als IT-Recht Kanzlei informieren wir unsere Mandanten, die eines unserer Schutzpakete gebucht haben, nicht nur über wichtige aktuellen Entwicklungen im Datenschutzrecht, sondern aktualisieren direkt auch die von uns bereitgestellten Datenschutzerklärungen im Rahmen unseres Updates-Services - selbstverständlich ohne Zusatzkosten. Mandanten, die zur Einbindung der Datenschutzerklärung in ihre Online-Präsenzen unsere Schnittstellen nutzen, müssen dabei in der Regel nicht einmal selbst etwas tun. Sprechen Sie uns gerne an, wenn Sie noch Fragen zu unseren Schutzpaketen haben.

5) Das Wichtigste in Kürze

  • Nicht alle Unternehmen müssen einen Datenschutzbeauftragten haben.
  • Wer jedoch einen Datenschutzbeauftragten benannt hat, muss dessen Kontaktdaten in der Datenschutzerklärung angeben.
  • Allerdings besteht nach neuester BGH-Rechtsprechung keine Pflicht, dabei auch den Namen des Datenschutzbeauftragten ebenso in der Datenschutzerklärung anzugeben.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: von wattblicker über Pixabay

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Beiträge zum Thema

Externer Datenschutzbeauftragter für Händler - bereits ab mtl. 32,5 Euro
(07.12.2022, 10:29 Uhr)
Externer Datenschutzbeauftragter für Händler - bereits ab mtl. 32,5 Euro
Externer Datenschutzbeauftragter und Datenschutz-Basis-Themen
(06.12.2022, 13:54 Uhr)
Externer Datenschutzbeauftragter und Datenschutz-Basis-Themen
Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung
(27.06.2017, 15:55 Uhr)
Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung
Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden?
(02.11.2015, 14:31 Uhr)
Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden?
Oft gefragt: Wann muss ein Datenschutzbeauftragter bestellt werden?
(17.09.2015, 14:33 Uhr)
Oft gefragt: Wann muss ein Datenschutzbeauftragter bestellt werden?
Datenschutz: Mindestanforderungen an die Qualifikation des Datenschutzbeauftragten
(23.02.2011, 07:59 Uhr)
Datenschutz: Mindestanforderungen an die Qualifikation des Datenschutzbeauftragten
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei