Merkblatt zur Meldepflicht

Aus Datenschutz-Wiki
Version vom 28. April 2016, 20:43 Uhr von Teclador (Diskussion | Beiträge) (BfDI Vorlage eingefügt)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Merkblatt zur Meldepflicht verantwortlicher nicht-öffentlicher Stellen bei der Aufsichtsbehörde für den Datenschutz nach § 4d BDSG
(Düsseldorfer Kreis, Stand 10/2011)

Allgemeines

Das BDSG gilt für nicht-öffentliche Stellen, soweit sie personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben und dies nicht ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt (§ 1 Abs. 2 Nr. 3 BDSG).

Zur Meldepflicht

Was ist Gegenstand der Meldepflicht?

Grundsätzlich müssen alle Verfahren automatisierter (d.h. unter Einsatz von Datenverarbeitungsanlagen erfolgender) Verarbeitungen personenbezogener Daten bei der Datenschutzaufsichtsbehörde gemeldet werden. Unter Verfahren ist die Gesamtheit an Verarbeitungen zu verstehen, mit denen eine oder mehrere miteinander verbundene Zweckbestimmung(en) realisiert werden sollen. Daher kann ein Verfahren eine Vielzahl von DV-Dateien umfassen.
Die Verfahren automatisierter Verarbeitungen, in denen personenbezogene Daten geschäftsmäßig

  • zum Zweck der Übermittlung (§ 29 BDSG, z. B. Tätigkeit der Auskunfteien, Adresshandel) oder
  • zum Zweck der anonymisierten Übermittlung (§ 30 BDSG) oder
  • für Zwecke der Markt- und Meinungsforschung (§ 30a BDSG)

gespeichert werden, unterfallen ohne Ausnahme der Meldepflicht (§ 4d Abs. 4 BDSG).

In welchen Fällen gelten Ausnahmen von der Meldepflicht?

Für Verfahren automatisierter Verarbeitungen personenbezogener Daten, die anderen Zwecken dienen, entfällt die Meldepflicht unter folgenden Voraussetzungen:

  • Wenn die verantwortliche Stelle einen betrieblichen Datenschutzbeauftragten (DSB) bestellt hat (§ 4d Abs. 2 BDSG). Bestimmte Stellen müssen immer einen DSB bestellen und sind dann von der Meldepflicht befreit, sobald sie der Pflicht zur Bestellung eines DSB nachgekommen sind. Eine Pflicht zur DSB-Bestellung besteht, wenn die verantwortliche Stelle
    • mit mehr als neun Personen personenbezogene Daten automatisiert erhebt, verarbeitet oder nutzt oder
    • automatisierte Verarbeitungen vornimmt, die einer Vorabkontrolle nach § 4d Abs. 5 BDSG unterliegen oder
    • personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung erhebt, verarbeitet oder nutzt. (Die Meldepflicht kann hier aber nur für Verfahren entfallen, die nicht diesen Zwecken dienen, z. B. Gehaltsabrechnung bei Auskunfteien.)
Wenn keine Pflicht zur Bestellung eines DSB besteht, können verantwortliche Stellen freiwillig einen DSB bestellen und sind dann ebenfalls von der Meldepflicht befreit.
  • Wenn verantwortliche Stellen personenbezogene Daten für eigene Zwecke erheben, verarbeiten oder nutzen, hierbei höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind und entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen dient, besteht ebenfalls keine Meldepflicht (§ 4d Abs. 3 BDSG).

Wer muss melden?

Die Meldepflicht trifft immer die Stelle, die für die Verarbeitung verantwortlich ist. Verantwortlich im Sinne des BDSG sind Stellen nicht nur, wenn sie die Verarbeitung selbst ausführen, sondern auch dann, wenn sie sich hierbei eines Dienstleistungsunternehmens bedienen, das die Verarbeitung in ihrem Auftrag vornimmt (§ 3 Abs. 7 BDSG). Ggf. trifft also den Auftraggeber die Meldepflicht.

Wann muss gemeldet werden?

Nach § 4d Abs. 1 BDSG hat die Meldung bereits vor der Inbetriebnahme des meldepflichtigen Verfahrens zu erfolgen. Auch Änderungen der meldepflichtigen Angaben und die Beendigung des meldepflichtigen Verfahrens sind vorher mitzuteilen (§ 4e Satz 2 BDSG).

Bei wem muss gemeldet werden?

Die Meldung muss bei der nach § 38 BDSG zuständigen Aufsichtsbehörde für den Datenschutz erfolgen, in deren Aufsichtsbezirk die meldepflichtige Stelle ihren Sitz hat. An welchem Ort im Inland die Datenverarbeitung erfolgt, ist für die Meldung also unerheblich. Wenn die meldepflichtige Stelle ihren Sitz außerhalb der Europäischen Union und außerhalb eines Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum (EWR: Island, Norwegen und Liechtenstein) hat, muss die Meldung bei der Aufsichtsbehörde erfolgen, in deren Zuständigkeitsbereich der im Inland ansässige Vertreter der meldepflichtigen Stelle seinen Sitz hat.

Notwendiger Inhalt der Meldungen

Welche Angaben bei der Meldung gemacht werden müssen, ist aus dem zu verwendenden Meldeformular ersichtlich. Die rechtliche Notwendigkeit für die im Formular geforderten Angaben ergibt sich aus § 4e BDSG.
Das Hauptblatt mit den geforderten Angaben zur verantwortlichen Stelle und den dortigen Verantwortungsträgern ist von jeder Stelle nur einmal auszufüllen.

Die Angaben zu den jeweiligen automatisierten Verfahren sind mit dem Formular "Anlagen" für jedes einzelne betriebene Verfahren gesondert zu melden. Der Name und die Anschrift der verantwortlichen Stelle müssen im Kopf der Anlage nochmals angegeben werden. Sofern eine meldepflichtige Stelle nach der Meldung weitere meldepflichtige Verfahren durchführt oder durchführen lässt, genügt es, wenn sie lediglich eine neue Anlage ausfüllt und vorlegt. Ebenso ist zu verfahren, wenn sich Änderungen bei bereits gemeldeten Verfahren ergeben (wobei dann die Nummerierung der geänderten Anlage anzugeben ist). Das Hauptblatt ist nur dann neu auszufüllen, wenn sich auch insoweit Änderungen ergeben.

Die geforderten Angaben zu dem im Inland ansässigen Vertreter einer außerhalb der Europäischen Union oder des Gebietes des EWR gelegenen verantwortlichen Stelle sind nach § 1 Abs. 5 Satz 3 BDSG notwendig. Für die Stellen, die trotz der Bestellung eines betrieblichen Datenschutzbeauftragten der Meldepflicht unterliegen, ist die Benennung des DSB sinnvoll, da dieser nach § 4f Abs. 5 Satz 2 BDSG auch der Ansprechpartner für Bürgerinnen und Bürger ist.

Formulare

Ausfüllhinweise zum Meldeformular, das Hauptblatt zum Meldeformular und die Anlage werden von den jeweiligen Aufsichtsbehörden zur Verfügung gestellt und können auf deren Webseite heruntergeladen werden.

Ordnungswidrigkeiten

Wenn eine verantwortliche nicht-öffentliche Stelle vorsätzlich oder fahrlässig entgegen § 4d Abs. 1 BDSG, auch in Verbindung mit § 4e Satz 2 BDSG, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, begeht sie gem. § 43 Abs. 1 Nr. 1 BDSG eine Ordnungswidrigkeit, die mit einer Geldbuße bis zu 50.000,- Euro geahndet werden kann.

Quelle: Aufsichtsbehörden der Länder

Online-Kommentare

Kommentar zu § 4d Meldepflicht
Kommentar zu § 4e Inhalt der Meldepflicht


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.