§ 4d BDSG: Die Meldepflicht von datenverarbeitenden Unternehmen

Keine automatisierte Datenverarbeitung ohne Meldung bei der Datenschutzbehörde

§ 4d BDSG regelt die Meldepflicht von nicht-öffentlichen Stellen bei einer automatisierten Datenverarbeitung.

§ 4d BDSG regelt die Meldepflicht von nicht-öffentlichen Stellen bei einer automatisierten Datenverarbeitung.

Wenn Unternehmen bei ihrer Arbeit automatisiert personenbezogene Daten nutzen, erheben oder verarbeiten, müssen sie ihrer Meldepflicht nach § 4d Bundesdatenschutzgesetz (BDSG) nachkommen.

Das heißt, sie müssen die automatisierte Datenverarbeitung und die damit verbundene Speicherung personenbezogener Daten bei der zuständigen Behörde melden. In der Regel ist das die Datenschutzbehörde des jeweiligen Bundeslandes.

Ohne eine entsprechende Meldung dürfen große Datensammlungen mit personenbezogenen Daten weder angelegt noch verwendet werden.

Die Meldepflicht erleichtert es dem Gesetzgeber, die Regelungen zum Datenschutz so umzusetzen, wie es in der EU-Datenschutz-Grundverordnung (EU-DSGVO) vorgeschrieben ist.

Die Meldepflicht nach § 4d BDSG

Grundsätzlich gilt diese Datenschutz-Meldepflicht für alle Verfahren, bei denen personenbezogenen Daten automatisiert verarbeitet werden. Hierunter fallen z. B. die folgenden Verfahren:

  • die Verwaltung von Kunden- und Lieferantendaten, z. B. für einen Onlineshop
  • die Verwaltung von Bank- und Kreditdaten eines Kreditinstituts
  • die Erfassung von Telefondaten
  • die Videoüberwachung

Diese Meldepflicht gilt nach § 4d Absatz 4 BDSG ausnahmslos für automatisierte Verarbeitungsverfahren, wenn personenbezogene Daten geschäftsmäßig aus folgenden Gründen gespeichert werden:

  • zum Zweck der Übermittlung nach § 29 BDSG (Hierunter fallen insbesondere der Adresshandel, Werbung und Auskunfteien.)
  • für die anonymisierte Übermittlung im Sinne von § 30 BDSG
  • für die Markt- und Meinungsforschung gemäß § 30 a BDSG

Wer muss melden?

Zur Meldung verpflichtet ist immer die Stelle, die für die Verarbeitung der personenbezogenen Daten verantwortlich ist.

Unternehmen können diese Pflicht nicht dadurch abwälzen, dass sie ein anderes Dienstleistungsunternehmen mit der Datenverarbeitung beauftragen. Dies geht aus § 11 BDSG hervor. Das heißt, seine Meldepflicht zum Datenschutz bleibt auch im Falle einer solchen Beauftragung bestehen.

Wann muss die Meldung erfolgen?

Die Meldung hat bereits vor der Inbetriebnahme der entsprechenden Datenverarbeitung zu erfolgen. Auch Änderungen zu den meldepflichtigen Verfahren und deren Beendigung müssen vorher gemeldet werden.

Ausnahmen von der Meldepflicht zum Datenschutz nach § 4d BDSG

Die Meldepflicht nach § 4d BDSG besteht bereits vor Inbetriebnahme der Datenverarbeitung.

Die Meldepflicht nach § 4d BDSG besteht bereits vor Inbetriebnahme der Datenverarbeitung.

Werden personenbezogene Daten zu anderen Zwecken gespeichert bzw. verarbeitet, kann diese Verpflichtung unter bestimmten Voraussetzungen entfallen. Hat die verantwortliche Stelle einen betrieblichen Datenschutzbeauftragten (DSB) bestellt, so entfällt diese Meldepflicht nach § 4 Absatz 2 BDSG.

Eine weitere Ausnahme sieht Absatz 3 dieser Vorschrift vor. Sie greift unter folgenden Voraussetzungen:

  1. Die verantwortliche Stelle erhebt, verarbeitet oder nutzt diese Daten nur für eigene Zwecke.
  2. In der Regel sind maximal neun Personen mit der Erhebung, Nutzung oder Verarbeitung beschäftigt.
  3. Es liegt eine Einwilligung der betroffenen Personen vor oder
  4. die Erhebung, Nutzung oder Verarbeitung dient der Begründung, Durchführung oder Beendigung eines Schuldverhältnisses mit dem Betroffenen.

Was muss gemeldet werden – Der Inhalt der Meldung

Der Inhalt der Meldung ergibt sich aus § 4e BDSG. Danach sind folgende Angaben zu machen:

  • Firmenname der verantwortlichen Stelle
  • Name der Firmenleitung und idealerweise Name des Datenschutzbeauftragten
  • Anschrift der Firma bzw. verantwortlichen Stelle
  • Zweck der Datenverarbeitung, -erhebung oder –nutzung
  • Übersicht zu den betroffenen Personen, deren Daten erfasst werden
  • Empfänger der Daten bzw. Kategorien von Empfängern
  • Fristen für die Datenlöschung
  • Datenübermittlung an Drittstaaten, soweit diese geplant sind
  • eine Beschreibung zur Datensicherheit bzw. zu getroffenen Sicherheitsmaßnahmen

Verletzung der Meldepflicht

Verstöße gegen die Pflicht stellen eine Ordnungswidrigkeit dar. Wenn ein Verantwortlicher seine Meldung unterlässt oder ihr zu spät bzw. nur unvollständig nachkommt, riskiert er ein Bußgeld in Höhe von 50.000 Euro.

§ 4d BDSG regelt die Meldung automatisierter Verarbeitungsverfahren. Hiervon zu unterscheiden ist die Möglichkeit, dem Datenschutzbeauftragten eine konkrete Verletzung zu melden. Diese Möglichkeit besteht sogar dann, wenn der Meldende von der Verletzung nicht selbst betroffen ist.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (64 Bewertungen, Durchschnitt: 4,20 von 5)
Loading...

Verfasse einen neuen Kommentar


Bußgeldkatalog als PDF
Der aktualisierte Newsletter 2018 des VFBV e.V. zum Download und Ausdrucken.
Jetzt kostenlos per E-Mail anfordern:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.