Current info on the Data Protection Officer’s duty to inform pursuant to Art. 37 Para. 7 GDPR
Pursuant to Art. 37 Para. 7, Data Protection Officers shall notify supervisory authorities as follows:
Who is responsible for reporting?
The responsible person or the order processor will pass the contact details of the Data Protection Officer on to the responsible supervisory authority, i.e. company management (Art. 37 Para. 7 GDPR).
What data must be reported?
– Company name
– Company address
– Tel. No. of the company
– First name and surname of the Data Protection Officer
– E-mail address of the Data Protection Officer
Most supervisory authorities provide an online reporting form that, however, often exceeds the legally prescribed scope. Reporting may alternatively also be via mail or fax.
20 Comments
Der Sächsische Datenschutzbeauftragte hat ein Formular veröffentlicht:
https://www.saechsdsb.de/images/stories/sdb_inhalt/allgemein/DSB-DSGVO.pdf
Vielen Dank. haben wir direkt in die Übersicht übernommen.
Guten Tag,
Die EKD (Evangelishe Kirche Deutschland) hat verschiedene regionale Zentren:
https://datenschutz.ekd.de/ueber-uns/unsere-standorte/
Muster-Bestellungsurkunden ist hier zu finden:
https://datenschutz.ekd.de/wp-content/uploads/2018/05/Online_Muster_Bestellung-%C3%B6B_Einzeln_Version-2.0_2018.rtf
Dort bei den Regionalen Zentren sind die Bestellungen zu melden. ein Online Formular ist derzeit nicht vorhanden. (Post, oder E-Mail)
Vielen Dank. Wir haben das in die Übersicht übernommen.
Wo ist festgelegt, dass Vor- und Nachname des DSB zu melden sind? In der DS-GVO ist (lediglich) von Kontaktdaten die Rede.
Wahrscheinlich ermächtigt Art 37 Abs. 7 DSGVO tatsächlich nur zur Meldepflicht bezüglich der “Kontaktdaten”.
Aber…
Art. 57 Abs. 1 v) DSGVO ist eine Generalklausel, die erst Mal die Befugnis zum Sammeln der weiteren, angefragten Daten geben könnte (so ähnlich wie in Deutschland die Ermächtigungsgrundlage), falls Sie nichts Spezielleres finden.
Damit korrespondieren die Befugnisse nach Art. 58 Abs. 1 a) DSGVO „den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,“
und e) „von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,“
Diese Befugnisse kann der Bundes- und Landesgesetzgeber präzisieren.
Es könnte sich aus aus § 13 Abs. 2 BDSG 2018 ein Recht ergeben, mehr als die in der DSGVO ausdrücklich aufgezählten Daten zu fordern – ich habe aber auf Anhieb nicht gleich etwas gefunden, was hundert Prozent passt.
Auch die sonstigen landesrechtlichen Aufsichts- und Kontrollrechte des Landesdatenschutzbeauftragten könnten das erlauben. Jedes Bundesland hat eigene Datenschutzgesetze (oder jedenfalls bald), was die genau regeln, kann ich hier nicht im Einzelnen beurteilen.
Wahrscheinlich würde z.B. der hessische Datenschutzbeauftragte das im Notfall auf die Generalklausel in § 13 Abs. 1 HDSG stützen.
//Wenn Sie die Daten nicht übermitteln wollen, bleibt Ihnen nur, Ihren Landesdatenschutzbeauftragten zu fragen, warum die notwendig und erlaubt sein sollen. Ich fürchte, dafür lässt sich aber leicht eine Begründung finden und Sie fallen negativ auf. Die Wahrscheinlichkeit, dass er ausgerechnet Sie bald eingehender kontrolliert, wird damit größer.//
Herr Hofmann, interner DSB
Der Landesbeauftragter für den Datenschutz Sachsen-Anhalt hat ein Onlineformular für die Meldung des DSB (plus ein Onlineformular für Datenpannen und ein Onlineformular für Beschwerden) auf der Webseite veröffentlicht:
https://datenschutz.sachsen-anhalt.de/service/online-formulare/datenschutzbeauftragten-melden#
MfG, Frank Spaeing
Die von Ihnen erwähnten “eigenen Datenschutzgesetze der Bundesländer” betreffen nur den öffentlichen Bereich. Privatfirmen fallen nicht unter den Geltungsbereich.
Meine Nachfrage bei “meiner” Datenschutzaufsicht ergab, dass dort keine Rechtsgrundlage für die Erhebung des Namens des DSB gesehen wird. Es heißt in der DSGVO ja ausdrücklich “Kontaktdaten” (im Gegensatz zum Verantwortlichen), mehr ist nicht zulässig, so die Antwort.
@Anonymous, Sonntag, der 20. Mai 2018 um 18:46 Uhr
Die Datenschutzgesetze der Bundesländer regeln die Aufsichtsbefugnisse (um die es hier geht) der für sie zuständigen Landesdatenschutzbeauftragten in Ergänzung und in Bezug auf das BDSG auf ihrem Territorium.
Diese Gesetze können das BDSG aufs Land bezogen auslegen und konkretisieren, soweit dazu Spielräume bestehen.
Insofern gelten sie auch für Privatfirmen.
Im Übrigen haben Sie recht, gilt normal materiell für Privatfirmen eigentlich nur das BDSG (soweit die DSGVO noch Spielraum lässt).
Herr Hofmann, interner DSB
Thüringen geht wohl mal wieder unter oder sind wir komplett davon auch ausgeschlossen?
Apropos DSB, dem hess. LDSB zufolge ist es möglich für den KonzernDSB innnerhalb der Gruppe einen sog. Matrix-Vertag abzuschließen. Gibt es hierfür ggf. irgendwo ein Muster?
Brandenburg hat nachgeliefert.
Thüringen hat jetzt auch ein Formular (Word-Datei) online gestellt.
https://www.tlfdi.de/mam/tlfdi/datenschutz/formular_meldung_dsb.docx
MfG
Frank Spaeing
Heute hat NRW ein Meldeportal eröffnet. Allerdings liegt dieses hinter einer Anmeldung. Man kommt nur zum Meldeportal, wenn man sich vorher dort registriert.
https://www.ldi.nrw.de/kontakt/datenschutzbeauftragte-meldeportal-fuer-kontaktdaten
MfG, Frank Spaeing
Der Link zum Online-Portal der kath. Kirche bzgl. Meldung ist https://www.datenschutz-kirche.de/meldung_bdsb
MfG, Bernd Schütze
Hallo,
ich habe eine Frage dazu. Wir sind ein gemeinnützig eingetragener Verein, welcher bundesweit Mitglieder hat. Der Verein ist bei einem Amtsgericht in Brandenburg eingetragen (Vereinssitz). Der Geschäftssitz befindet sich lt. Satzung immer am Wohnort des 1. Vorsitzenden (derzeit in Hessen). Das Finanzamt in Brandenburg ist ebenfalls weiterhin für uns zuständig. Das haben wir damals mit den Behörden so besprochen, damit diese nicht ständig wechseln, wenn ein neuer Vorsitzender gewählt wird und auch, damit die Vereins-Reg.-Nummer immer erhalten bleibt.
An welches Bundesland müssen wir nun unseren DSB melden? Ist hier der Vereinssitz oder der Geschäftssitz entscheidend?
Vielen Dank und liebe Grüße!
Sachsen ermöglicht jetzt auch Online-Meldung des DSB:
https://www.saechsdsb.de/component/rsform/form/4-kein-titel?Itemid=331
Viele Grüße
Bernd Schütze
Schleswig Holstein hat jetzt auch eine DSB Meldeseite online:
https://datenschutzzentrum.de/formular/meldung-dsb.php
Thüringen hat seit 13.06.2018 ein neues Formular (Word):
https://www.tlfdi.de/mam/tlfdi/themen/meldung_dsb_180613.docx
Alle Formulare existieren. Sie können die Lücken füllen mit Hilfe von
http://www.privacy-regulation.eu/privazyplan/bundeslaender.htm