Az. 18.01/21.030
Sehr
Antragsteller/in
vielen Dank für Ihre Anfrage.
> bitte senden Sie mir Folgendes zu:
>
> Die Anzahl an Unternehmen, die in Schleswig-Holstein einen
> Datenschutzbeauftragten gemeldet haben. Ebenso würde ich mich freuen,
> wenn Sie neben der Gesamtanzahl eine Aufschlüsselung nach Postleitzahl
> und/oder Landkreis vornehmen könnten.
>
> Ebenso würde ich um Informationen bitten, welche Tätigkeiten das
> Unabhängige Landeszentrum für Datenschutz unternimmt, um Unternehmen zu
> identifizieren, die ihrer Meldepflicht/Bestellpflicht nicht nachkommen.
>
> Dies ist ein Antrag gemäß § 4 Abs. 1 Informationszugangsgesetz
> Schleswig-Holstein (IZG-SH) auf Zugang nach Informationen nach § 3
> IZG-SH sowie § 1 des Gesetz zur Verbesserung der gesundheitsbezogenen
> Verbraucherinformation (VIG), soweit Verbraucherinformationen im Sinne
> des § 2 Abs. 1 VIG betroffen sind.
In Art. 37 Abs. 7 DSGVO heißt es:
"Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die
Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der
Aufsichtsbehörde mit."
Ähnliches ist im Landesdatenschutzgesetz Schleswig-Holstein in § 58 Abs.
5 LDSG geregelt.
Meine Behörde nimmt diese Daten entgegen, beispielsweise per Webformular:
https://www.datenschutzzentrum.de/formular/meldung-dsb.php
Die Anzahl der Verantwortlichen (öffentliche und nichtöffentliche
Stellen, also nicht beschränkt auf Unternehmen), von denen uns
Meldungden der/des Datenschutzbeauftragten vorliegen, beträgt 7.436.
Zwar haben wir für die Meldung abgefragt, ob es sich um eine öffentliche
oder nichtöffentliche Stelle handelt. Aber in der Praxis wird diese
Angabe aber in vielen Fällen falsch eingetragen. Beispielsweise wurden
"öffentlich zugängliche" Stellen wie Apotheken, Tankstellen oder
Anwaltskanzleien als "öffentliche Stellen" eingetragen. Auch nicht alle
öffentlichen Stellen sind als solche eingetragen (z.B. Gemeinden, Ämter).
Die Meldungen werden entgegengenommen und erfasst, aber nicht korrigiert
(es sei denn, der Verantwortliche legt korrigierte Informationen zu
seinem Eintrag vor). Daher enthält die Zahl von 7.436 auch einige
Doppelnennungen und falsche Einträge.
Eine Zuordnung zu Kreisen und Postzeitzahlen liegt ebenfalls nicht für
uns einfach auswertbar vor.
Im Ergebnis ist die Zahl 7.436 also zu hoch. Eine realistischere Zahl
nur bezogen auf Unternehmen (also abzüglich der öffentlichen Stellen und
ohne Doppelmeldungen) wäre ca. 5.000 (grobe Schätzung). Möglicherweise
ist diese Zahl auch noch zu hoch, weil einige Meldungen aus der
Anfangszeit der Geltung der DSGVO und des BDSG stammen und später mit
Änderung des § 38 Abs. 1 S. 1 BDSG die Mindestzahl der Personen, die
sich "in der Regel ... ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschäftigten" von zehn auf zwanzig gehoben
wurde. Einige Verantwortliche - aber sicher nicht alle, die davon
betroffen waren - hatten daraufhin mitgeteilt, dass sie nun keinen
Datenschutzbeauftragten mehr hätten.
Sie fragen außerdem, welche Tätigkeiten das Unabhängige Landeszentrum
für Datenschutz unternimmt, um Unternehmen zu identifizieren, die ihrer
Meldepflicht/Bestellpflicht nicht nachkommen:
Dazu antworte ich Ihnen, dass wir schon aus Ressourcengründen zurzeit
keine strukturierten Kontrollen durchführen, um derartige Unternehmen zu
identifizieren. Solche Verstöße (Unterlassen einer Benennung/Mitteilung)
können aber eine Rolle spielen, sofern bei der Bearbeitung von
Beschwerden oder Durchführung von Prüfungen deutlich wird, dass ein
Verantwortlicher der Pflicht der Benennung einer/eines
Datenschutzbeauftragten oder der Mitteilung der Daten an meine Behörde
nicht nachgekommen ist.
Für diese Auskunft werden keine Gebühren erhoben. Es handelt sich um
eine einfache Auskunft.
Mit freundlichen Grüßen