Meldepflicht

• Merkblatt zur Meldepflicht verantwortlicher nicht öffentlicher Stellen bei der Aufsichtsbehörde für den Datenschutz nach § 4d BDSG

• Anmeldeformular Hauptblatt (MS Word-Vorlage, 108 kB)
  
• Anlage (MS Word-Vorlage, 89 kB)
  
• Ausfüllhinweise (MS Word-Dokument, 181 kB)
  

Hinweis zur Meldepflicht nach § 4 d Bundesdatenschutzgesetz (BDSG) zum Register nach § 38 Abs. 2 BDSG beim Hessischen Datenschutzbeauftragten

Die Meldung nach § 4 d BDSG kann ab sofort in elektronischer Form abgegeben werden. Das hier bereit gestellte Formular kann am Bildschirm ausgefüllt werden und direkt per E-Mail an den Hessischen Datenschutzbeauftragten übermittelt werden. Anstelle der bisher zu leistenden Unterschrift geben Sie bitte zukünftig einen Ansprechpartner in der Meldung an, der Fragen zur Registermeldung beantworten kann.

Stand: 16.02.2012
 
 

Merkblatt zur Meldepflicht verantwortlicher nicht öffentlicher Stellen bei der Aufsichtsbehörde für den Datenschutz nach § 4d BDSG

1. Allgemeines

Das Bundesdatenschutzgesetz (BDSG) ist bei der Erhebung, Nutzung und Verarbeitung personenbezogener Daten anzuwenden, wenn die Daten unter Einsatz von Datenverarbeitungsanlagen (also automatisiert) oder in oder aus nicht automatisierten Dateien verarbeitet oder genutzt oder dafür erhoben werden und dies nicht ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt (§ 1 Abs. 2 Nr. 3 BDSG).




2. Zur Meldepflicht

Was ist Gegenstand der Meldepflicht?
Grundsätzlich müssen alle Verfahren automatisierter Verarbeitungen personenbezogener Daten bei der Datenschutzaufsichtsbehörde gemeldet werden. Unter Verfahren ist die Gesamtheit an Verarbeitungen zu verstehen, mit denen eine oder mehrere miteinander verbundene Zweckbestimmung(en) realisiert werden sollen. Daher kann ein Verfahren eine Vielzahl von DV-Dateien umfassen.


Die Verfahren automatisierter Verarbeitungen, in denen personenbezogene Daten geschäftsmäßig


• zum Zweck der Übermittlung (§ 29 BDSG, z. B. Auskunfteitätigkeit, Adresshandel) oder
• zum Zweck der anonymisierten Übermittlung (§ 30 BDSG, z.B. Markt- u. Meinungsforschung)
gespeichert werden, unterfallen ohne Ausnahme der Meldepflicht (§ 4d Abs. 4 BDSG).


In welchen Fällen gelten Ausnahmen von der Meldepflicht?
Für Verfahren automatisierter Verarbeitungen personenbezogener Daten, die anderen Zwecken dienen, entfällt die Meldepflicht unter folgenden Voraussetzungen:


• Wenn die verantwortliche Stelle einen betrieblichen Datenschutzbeauftragten (DSB) bestellt hat (§ 4d Abs. 2 BDSG). Bestimmte Stellen müssen immer einen DSB bestellen und sind dann von der Meldepflicht befreit, sobald sie der Pflicht zur Bestellung eines DSB nachgekommen sind. Eine Pflicht zur DSB-Bestellung besteht, wenn die verantwortliche Stelle
• in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder
• automatisierte Verarbeitungen vornimmt, die einer Vorabkontrolle nach § 4d Abs. 5 BDSG unterliegen oder
• personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erhebt, verarbeitet oder nutzt. (Die Meldepflicht kann hier aber nur für Verfahren entfallen, die nicht diesen Zwecken dienen, z.B. Gehaltsabrechnung bei Auskunfteien.)

Wenn keine Pflicht zur Bestellung eines DSB besteht, können verantwortliche Stellen freiwillig einen DSB bestellen und sind dann ebenfalls von der Meldepflicht befreit.

• Wenn verantwortliche Stellen personenbezogene Daten für eigene Zwecke erheben, verarbeiten oder nutzen, hierbei höchstens neun Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind und entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient, besteht ebenfalls keine Meldepflicht (§ 4d Abs. 3 BDSG).

Wer muss melden?
Die Meldepflicht trifft immer die Stelle, die für die Verarbeitung verantwortlich ist. Verantwortlich im Sinne des BDSG sind Stellen nicht nur, wenn sie die Verarbeitung selbst ausführen, sondern auch dann, wenn sie sich hierbei eines Dienstleistungsunternehmens bedienen, das die Verarbeitung in ihrem Auftrag vornimmt (§ 3 Abs. 7 BDSG). Ggf. trifft also den Auftraggeber die Meldepflicht.

Wann muss gemeldet werden?
Nach § 4d Abs. 1 BDSG hat die Meldung bereits vor der Inbetriebnahme des meldepflichtigen Verfahrens zu erfolgen. Auch Änderungen der meldepflichtigen Angaben und die Beendigung des meldepflichtigen Verfahrens sind vorher mitzuteilen (§ 4e Satz 2 BDSG).


Bei wem muss gemeldet werden?
Die Meldung muss bei der nach § 38 BDSG zuständigen Aufsichtsbehörde für den Datenschutz erfolgen, in deren Aufsichtsbezirk die meldepflichtige Stelle ihren Sitz hat. An welchem Ort im Inland die Datenverarbeitung erfolgt, ist für die Meldung also unerheblich. Wenn die meldepflichtige Stelle ihren Sitz außerhalb der Europäischen Union und außerhalb eines Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum (EWR: Island, Norwegen und Liechtenstein) hat, muss die Meldung bei der Aufsichtsbehörde erfolgen, in deren Zuständigkeitsbereich der im Inland ansässige Vertreter der meldepflichtigen Stelle seinen Sitz hat.

3. Notwendiger Inhalt der Meldungen

Welche Angaben bei der Meldung gemacht werden müssen, ist aus dem zu verwendenden Meldeformular ersichtlich. Die rechtliche Notwendigkeit für die im Formular geforderten Angaben ergibt sich aus § 4e BDSG.

Das Hauptblatt mit den geforderten Angaben zur verantwortlichen Stelle und den dortigen Verantwortungsträgern ist von jeder Stelle nur einmal auszufüllen. Die Angaben zu den jeweiligen automatisierten Verfahren sind mit dem

Formular Anlagen für jedes einzelne betriebene Verfahren gesondert zu melden. Der Name und die Anschrift der verantwortlichen Stelle müssen im Kopf der Anlage nochmals angegeben werden. Wenn eine meldepflichtige Stelle nach der Meldung weitere meldepflichtige Verfahren durchführt oder durchführen lässt, genügt es, wenn sie lediglich eine neue Anlage ausfüllt und vorlegt.


Ebenso ist zu verfahren, wenn sich Änderungen bei bereits gemeldeten Verfahren ergeben (wobei dann die Nummerierung der geänderten Anlage anzugeben ist). Das Hauptblatt ist nur dann neu auszufüllen, wenn sich auch insoweit Änderungen ergeben.


Die geforderten Angaben zu dem im Inland ansässigen Vertreter einer außerhalb der Europäischen Union oder des Gebietes des EWR gelegenen verantwortlichen Stelle sind nach § 1 Abs. 5 Satz 3 BDSG notwendig.


Für die Stellen, die trotz der Bestellung eines betrieblichen Datenschutzbeauftragten der Meldepflicht unterliegen (siehe II.), ist die Benennung des DSB sinnvoll, da dieser nach § 4f Abs. 5 Satz 2 BDSG auch der Ansprechpartner für Bürgerinnen und Bürger ist.


Das Meldeformular kann beim Hessischen Datenschutzbeauftragten, der Aufsichtsbehörde für den Datenschutz im nicht öffentlichen Bereich telefonisch unter der Nummer 0611/1408-0 oder per E-Mail (postelle@datenschutz.hessen.de) angefordert werden. Es kann auch aus dem Internet unter der Adresse www.datenschutz.hessen.de heruntergeladen werden.




4. Ordnungswidrigkeiten

Wenn eine verantwortliche nichtöffentliche Stelle vorsätzlich oder fahrlässig entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2 BDSG, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, begeht sie nach § 43 Abs. 1 Nr. 1 BDSG eine Ordnungswidrigkeit, die mit einer Geldbuße bis zu 50.000 € geahndet werden kann.

---

Erstellt vom Regierungspräsidium Darmstadt als vormalige Aufsichtsbehörde für den nicht öffentlichen Bereich

Stand: 19.07.2011