Wie melde ich einen Datenschutzbeauftragten bei der Aufsichtsbehörde in Mecklenburg-Vorpommern?

Die Meldung eines Datenschutzbeauftragten (DSB) an die zuständige Aufsichtsbehörde erfolgt in Deutschland in der Regel online über ein Meldeformular auf der Website der jeweiligen Landesdatenschutzbehörde. Der genaue Ablauf kann je nach Bundesland leicht variieren, grundsätzlich sind aber folgende Schritte üblich: 1. **Online-Formular ausfüllen:** Die meisten Aufsichtsbehörden stellen ein spezielles Online-Formular zur Verfügung, in das die Kontaktdaten des Unternehmens und des Datenschutzbeauftragten eingetragen werden. Beispiele: - [Bayern](https://www.lda.bayern.de/de/meldung_dsb.html) - [NRW](https://www.ldi.nrw.de/kontakt/datenschutzbeauftragte-melden/index.php) - [Berlin](https://www.datenschutz-berlin.de/service/meldung-des-datenschutzbeauftragten/) 2. **Angaben machen:** Erforderlich sind in der Regel: - Name und Kontaktdaten des Unternehmens - Name, Anschrift, E-Mail und ggf. Telefonnummer des Datenschutzbeauftragten - Angaben zum Beschäftigungsverhältnis (intern/extern) 3. **Absenden:** Nach dem Ausfüllen wird das Formular elektronisch an die Behörde übermittelt. In manchen Fällen ist auch eine Meldung per E-Mail oder Brief möglich, dies ist aber seltener. 4. **Bestätigung:** Nach erfolgreicher Meldung erhält das Unternehmen meist eine Eingangsbestätigung. **Hinweis:** Die Meldung muss unverzüglich nach der Benennung des Datenschutzbeauftragten erfolgen (§ 37 Abs. 7 DSGVO). **Weitere Informationen:** Eine Übersicht der deutschen Aufsichtsbehörden und deren Meldeformulare findest du hier: https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_table.html **Wichtig:** Die Meldung ist verpflichtend, sobald ein Unternehmen nach DSGVO zur Benennung eines Datenschutzbeauftragten verpflichtet ist.

Datenschutzverletzungen, die der Aufsichtsbehörde gemeldet werden müssen, sind in der Datenschutz-Grundverordnung (DSGVO) festgelegt. Folgende Punkte sind dabei relevant: 1. **Verletzung des Schutzes personenbezogener Daten**: Jede Verletzung, die zu einer unrechtmäßigen Verarbeitung, Verlust oder Zerstörung von personenbezogenen Daten führt. 2. **Risiko für die Rechte und Freiheiten betroffener Personen**: Wenn die Verletzung ein Risiko für die Rechte und Freiheiten von Personen darstellt, muss dies gemeldet werden. Dazu gehören beispielsweise Identitätsdiebstahl, Verlust der Vertraulichkeit oder Diskriminierung. 3. **Meldung innerhalb von 72 Stunden**: Die Meldung an die Aufsichtsbehörde muss in der Regel innerhalb von 72 Stunden nach Bekanntwerden der Verletzung erfolgen, es sei denn, die Verletzung ist voraussichtlich nicht mit einem Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden. 4. **Inhalt der Meldung**: Die Meldung sollte Informationen über die Art der Verletzung, die betroffenen Daten, die Anzahl der betroffenen Personen, die wahrscheinlichen Folgen und die ergriffenen Maßnahmen zur Behebung der Verletzung enthalten. Es ist wichtig, die spezifischen Anforderungen und Verfahren der jeweiligen nationalen Aufsichtsbehörde zu beachten.

Datenschutzverstöße müssen in der Regel innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde gemeldet werden, sofern sie ein Risiko für die Rechte und Freiheiten von betroffenen Personen darstellen. Dies ist in der Datenschutz-Grundverordnung (DSGVO) festgelegt. Wenn der Verstoß voraussichtlich kein Risiko für die betroffenen Personen mit sich bringt, ist eine Meldung nicht erforderlich. Es ist jedoch ratsam, auch in solchen Fällen eine interne Dokumentation des Vorfalls zu führen.

In Deutschland ist die zuständige Aufsichtsbehörde für Datenschutzfragen in der Regel die Landesdatenschutzbehörde des jeweiligen Bundeslandes. Für spezifische Anliegen oder Beschwerden zur Datenschutz-Grundverordnung (DSGVO) kannst du dich an die Datenschutzbehörde deines Wohnsitzlandes wenden. Eine Übersicht der Datenschutzbehörden in Deutschland findest du auf der Website der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Nein, frage.de oder die dahinterstehenden Betreiber kontrollieren dich nicht. Deine Fragen und Eingaben werden verarbeitet, um passende Antworten zu generieren, aber es findet keine Überwachung oder Kontrolle deiner Person statt. Die Nutzung des Dienstes unterliegt den Datenschutzbestimmungen und Nutzungsbedingungen von frage.de. Weitere Informationen findest du auf der Website von frage.de: [https://www.frage.de](https://www.frage.de).

Ein Löschkonzept beschreibt, wie personenbezogene Daten in einem Unternehmen oder einer Organisation systematisch und datenschutzkonform gelöscht werden. Es ist insbesondere im Rahmen der DSGVO (Datenschutz-Grundverordnung) wichtig. Die Erstellung eines Löschkonzepts erfolgt in mehreren Schritten: 1. **Dateninventur durchführen** Erfasse alle Systeme, Anwendungen und Speicherorte, in denen personenbezogene Daten verarbeitet werden. Dokumentiere, welche Datenarten (z. B. Name, Adresse, E-Mail) wo gespeichert sind. 2. **Rechtsgrundlagen und Aufbewahrungsfristen ermitteln** Bestimme für jede Datenart die rechtlichen Grundlagen der Verarbeitung und die jeweiligen Aufbewahrungsfristen (z. B. steuerrechtliche, handelsrechtliche oder branchenspezifische Vorgaben). 3. **Löschfristen festlegen** Leite aus den Aufbewahrungsfristen konkrete Löschfristen ab. Definiere, wann und wie Daten nach Ablauf der Frist gelöscht oder anonymisiert werden. 4. **Löschverfahren definieren** Beschreibe, wie die Löschung technisch und organisatorisch erfolgt (z. B. physische Vernichtung, Überschreiben, Anonymisierung). Berücksichtige dabei auch Backups und Archivsysteme. 5. **Verantwortlichkeiten festlegen** Bestimme, wer im Unternehmen für die Umsetzung und Überwachung der Löschprozesse verantwortlich ist. 6. **Dokumentation und Nachweisführung** Halte alle Prozesse, Fristen und Verantwortlichkeiten schriftlich fest. Sorge dafür, dass die Löschung nachweisbar ist (z. B. durch Protokolle). 7. **Regelmäßige Überprüfung und Anpassung** Überprüfe das Löschkonzept regelmäßig und passe es bei Änderungen in der Datenverarbeitung oder der Rechtslage an. **Tipp:** Ein Löschkonzept sollte möglichst einfach und verständlich formuliert sein, damit es im Alltag auch praktisch umgesetzt werden kann. **Weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe zur Löschung personenbezogener Daten](https://www.datenschutzkonferenz-online.de/media/oh/20170516_oh_loeschung.pdf) - [DSGVO Art. 17 – Recht auf Löschung („Recht auf Vergessenwerden“)](https://dsgvo-gesetz.de/art-17-dsgvo/) Ein gut ausgearbeitetes Löschkonzept hilft, Datenschutzrisiken zu minimieren und gesetzlichen Anforderungen zu entsprechen.

Grundsätzlich unterliegen alle Servertypen dem Datenschutz, sobald sie personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) verarbeiten. Es kommt also nicht auf den Servertyp selbst an, sondern darauf, ob und welche Daten darauf verarbeitet werden. Typische Servertypen, die häufig personenbezogene Daten verarbeiten und damit dem Datenschutz unterliegen, sind zum Beispiel: - **Mailserver** (verarbeiten E-Mails mit personenbezogenen Daten) - **Webserver** (verarbeiten z.B. IP-Adressen, Kontaktformulardaten) - **Datenbankserver** (speichern und verarbeiten personenbezogene Informationen) - **Dateiserver** (halten personenbezogene Dokumente und Dateien vor) - **Anwendungsserver** (verarbeiten Nutzerdaten im Rahmen von Softwareanwendungen) - **Cloud-Server** (hosten und verarbeiten Daten in der Cloud, oft auch personenbezogene) Auch andere Servertypen (z.B. Backup-Server, Authentifizierungsserver, Printserver) können dem Datenschutz unterliegen, wenn sie personenbezogene Daten speichern oder verarbeiten. **Fazit:** Nicht der Servertyp ist entscheidend, sondern die Art der Datenverarbeitung. Sobald ein Server personenbezogene Daten verarbeitet, gelten die Vorgaben des Datenschutzes, insbesondere der DSGVO. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Nein, bei der Erhebung von Verarbeitungstätigkeiten im Sinne der Datenschutz-Grundverordnung (DSGVO) geht es nicht nur um systemgestützte (also elektronische) Verarbeitung. Die DSGVO erfasst grundsätzlich **alle Arten der Verarbeitung personenbezogener Daten**, unabhängig davon, ob sie automatisiert (z. B. durch IT-Systeme) oder nicht automatisiert (z. B. in Papierakten) erfolgt, **sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen**. Das bedeutet: Auch manuelle, papierbasierte Verarbeitungsvorgänge, bei denen personenbezogene Daten in einer strukturierten Ablage (z. B. Aktenordner, Karteikarten) geführt werden, müssen im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden. Relevant ist also nicht nur die IT-gestützte Verarbeitung, sondern jede strukturierte Verarbeitung personenbezogener Daten. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_04_26_auslegung_verzeichnis_von_verarbeitungstaetigkeiten.pdf) oder direkt in [Art. 30 DSGVO](https://dsgvo-gesetz.de/art-30-dsgvo/).

Für die Erstellung eines Verarbeitungsverzeichnisses gemäß Art. 30 DSGVO können folgende Arbeitspakete sinnvoll sein: 1. **Projektvorbereitung und Zieldefinition** - Verantwortlichkeiten festlegen - Ziele und Umfang des Verzeichnisses definieren 2. **Informationssammlung** - Erhebung aller Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden - Identifikation der verantwortlichen Abteilungen und Ansprechpartner 3. **Prozesserhebung und -dokumentation** - Detaillierte Erfassung der einzelnen Verarbeitungstätigkeiten (Zweck, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen, technische und organisatorische Maßnahmen) - Nutzung von Fragebögen oder Interviews zur Datenerhebung 4. **Strukturierung und Erstellung des Verzeichnisses** - Zusammenführung und Strukturierung der gesammelten Informationen - Erstellung des Verzeichnisses in der geforderten Form (z. B. Excel, spezielle Software) 5. **Abstimmung und Validierung** - Überprüfung der Inhalte mit den Fachabteilungen - Korrekturen und Ergänzungen einarbeiten 6. **Freigabe und Dokumentation** - Endgültige Freigabe durch die verantwortliche Stelle (z. B. Datenschutzbeauftragter) - Ablage und Sicherstellung der Verfügbarkeit für Aufsichtsbehörden 7. **Schulung und Sensibilisierung** - Information und Schulung der Mitarbeitenden über das Verarbeitungsverzeichnis und deren Mitwirkungspflichten 8. **Regelmäßige Aktualisierung** - Festlegung eines Prozesses zur regelmäßigen Überprüfung und Aktualisierung des Verzeichnisses Diese Arbeitspakete können je nach Unternehmensgröße und Komplexität angepasst werden.

Die Durchführung und die Bereitstellung von Verarbeitungstätigkeiten sind aus datenschutzrechtlicher Sicht unterschiedliche Rollen. **Durchführung von Verarbeitungstätigkeiten** bedeutet, dass eine Partei (z. B. ein Unternehmen oder ein Dienstleister) tatsächlich personenbezogene Daten verarbeitet – also erhebt, speichert, verändert, übermittelt oder löscht. Wer die Verarbeitung durchführt, ist entweder **Verantwortlicher** oder **Auftragsverarbeiter** im Sinne der Datenschutz-Grundverordnung (DSGVO). **Bereitstellung von Verarbeitungstätigkeiten** ist kein fest definierter Begriff in der DSGVO, wird aber oft so verstanden, dass eine Partei die Infrastruktur, Software oder Plattform zur Verfügung stellt, mit der andere dann personenbezogene Daten verarbeiten können. Wer lediglich die technische Möglichkeit zur Verarbeitung bereitstellt, ohne selbst über die Zwecke und Mittel der Verarbeitung zu entscheiden, ist in der Regel **Auftragsverarbeiter**. **Fazit:** - Wer die Verarbeitung **durchführt** und über Zwecke und Mittel entscheidet, ist **Verantwortlicher**. - Wer die Verarbeitung **durchführt**, aber im Auftrag und nach Weisung eines anderen, ist **Auftragsverarbeiter**. - Wer nur die technische **Bereitstellung** ermöglicht, ist meist **Auftragsverarbeiter**, kann aber im Einzelfall auch Verantwortlicher sein, wenn er eigene Zwecke verfolgt. Die Rollen sind also unterschiedlich und hängen davon ab, wer über die Zwecke und Mittel der Verarbeitung entscheidet und wie die tatsächliche Tätigkeit ausgestaltet ist. Weitere Informationen findest du direkt bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder im [Text der DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).