Unternehmensberatung Reiner Gosdzik

Meldepflicht

Das Bundesdatenschutzgesetz sieht in § 4d vor, dass so genannte "Verfahren automatisierter Verarbeitung" bereits vor ihrer Inbetriebnahme den zuständigen Aufsichtsbehörden zu melden sind. Demnach müsste - zumindest theoretisch - jeder, der personenbezogene Daten erhebt, verarbeitet oder nutzt, Meldungen an die zuständigen Aufsichtbehörden machen.

Man kann sich von dieser Meldepflicht befreien, wenn ein Datenschutzbeauftragter bestellt wird (§ 4d (2) BDSG). Dieser ist dann der Empfänger der "Meldungen".

Weitere Ausnahmen von der Meldepflicht bestehen (nach § 4d (3) BDSG), wenn nicht mehr als neun Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses dient.

Liegen besondere Arten personenbezogener Daten vor, oder ist die Verarbeitung der personenbezogenen Daten dazu bestimmt die Persönlichkeit des Betroffenen zu bewerten, dann unterliegen sie der so genannten Vorabkontrolle (§ 4 d (5) BDGS). Die Vorabkontrolle ist vom Datenschutzbeauftragten durchzuführen. "Vorabkontrollen" finden sich zumindest so ähnlich in der DS-GVO wieder. Der Artikel 35 der DS-GVO regelt die sogenannte Datenschutz-Folgenabschätzung. Sie soll immer dann durchgeführt werden, wenn die Verarbeitung der Daten voraussichtlich ein "hohes Risko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Für die Datenschutz-Folgenabschätzung soll der Verantwortliche den Rat des Datenschutzbeauftragten (sofern vorhanden) einholen.

Die hier beschriebene "Meldpflicht" ist nicht in die DS-GVO übernommen worden. Allerdings findet sich der Begriff "Meldepflicht" in einem anderen Zusammenhang wieder. In Artikel 33 der DS-GVO geht es hier um die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörden.