Update: Separate Kontaktmöglichkeit zum Datenschutzbeauftragten – Bestätigung durch die Aufsichtsbehörde

von Nadja-Maria

Die Anforderungen an eine vertrauliche Kommunikation mit dem Datenschutzbeauftragten (DSB) sind in der Praxis seit langem Gegenstand rechtlicher Diskussionen.

Wir stellten bereits hier unsere Einschätzung zu diesem Thema dar: https://aigner-business-solutions.com/blog/vertrauliche-kommunikation-mit-dem-datenschutzbeauftragten-rechtliche-grundlagen-und-praktische-umsetzung/

Diese Auffassung wurde nun durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) im Tätigkeitsbericht 2025 (https://www.lda.bayern.de/media/baylda_report_15.pdf) ausdrücklich bestätigt und weiter konkretisiert. Die Aufsichtsbehörde schafft damit Klarheit für die praktische Umsetzung und verschärft zugleich die Anforderungen an Unternehmen.

Kernaussage der Aufsichtsbehörde: Identische Kontaktadresse ist unzulässig

Das BayLDA stellt fest, dass es unzulässig ist, für den Verantwortlichen und den Datenschutzbeauftragten dieselbe E-Mail-Adresse anzugeben. Nach Auffassung der Behörde sei die erforderliche Vertraulichkeit nicht gewährleistet, wenn betroffene Personen zur Kontaktaufnahme mit dem DSB einen Kommunikationskanal nutzen müssen, der auch vom Verantwortlichen eingesehen werden kann.

Die Aufsichtsbehörde führt insoweit aus, dass Datenschutzbeauftragte gemäß Art. 38 Abs. 5 DSGVO zur Geheimhaltung und Vertraulichkeit verpflichtet seien. Diese Verpflichtung könne nicht eingehalten werden, wenn der Kommunikationsweg strukturell nicht geschützt ist. Daraus folgt zwingend, dass Unternehmen einen separaten Kontaktkanal bereitstellen müssten, auf den ausschließlich der DSB-Zugriff hat.

Rechtliche Einordnung: Konkretisierung der Anforderungen aus Art. 38 DSGVO

Die Ausführungen des BayLDA sind keine neue Rechtslage, sondern eine konsequente Auslegung der bestehenden gesetzlichen Anforderungen. Bereits aus Art. 38 DSGVO ergibt sich, dass der Datenschutzbeauftragte seine Aufgaben unabhängig und frei von Einflussnahme erfüllen muss.

Wie bereits im ursprünglichen Beitrag dargestellt, folgt aus Art. 38 Abs. 4 DSGVO, dass betroffene Personen den DSB konsultieren können müssen. In Verbindung mit Erwägungsgrund 97 DSGVO ergibt sich, dass diese Kontaktaufnahme ohne Kontrolle durch den Verantwortlichen möglich sein muss.

Das BayLDA konkretisiert diese abstrakte Anforderung nun ausdrücklich dahingehend, dass eine organisatorische und technische Trennung der Kommunikationswege zwingend erforderlich sei. Ergänzend verweist die Behörde auf Art. 38 Abs. 2 DSGVO und stellt klar, dass die Bereitstellung eines separaten Kommunikationskanals als notwendige Ressource zur Aufgabenerfüllung des DSB zu verstehen sei.

Praktische Konsequenzen: Klare Trennung der Kommunikationskanäle

Für die Praxis bedeutet dies, dass Unternehmen ihre bestehenden Kontaktstrukturen überprüfen müssen. Insbesondere folgende Konstellationen sind kritisch:

·       Nutzung einer gemeinsamen E-Mail-Adresse für Datenschutzanfragen und DSB

·       Zugriffsmöglichkeiten der IT oder Geschäftsleitung auf das DSB-Postfach

·       fehlende organisatorische Trennung zwischen allgemeinem Datenschutzkontakt und DSB-Kommunikation

Die vom BayLDA empfohlene Lösung besteht regelmäßig in der Einrichtung einer dedizierten Funktionsadresse, beispielsweise „dsb@unternehmen.de“

Entscheidend ist jedoch nicht die Bezeichnung, sondern die tatsächliche Zugriffsbeschränkung. Der Zugriff darf ausschließlich dem Datenschutzbeauftragten sowie gegebenenfalls einer klar definierten Stellvertretung vorbehalten sein.

Darüber hinaus weist die Aufsichtsbehörde darauf hin, dass diese Anforderungen nicht nur für elektronische Kommunikation gelten. Auch postalische Eingänge müssen entsprechend behandelt werden. Schreiben, die eindeutig an den Datenschutzbeauftragten adressiert sind, sind ungeöffnet und unmittelbar an diesen weiterzuleiten.

Erweiterung der bisherigen Bewertung: Von Empfehlung zur klaren Erwartung

Während die Einrichtung separater Kommunikationskanäle bislang teilweise als „Best Practice“ eingeordnet wurde, ist durch die Positionierung des BayLDA nun von einer klaren aufsichtsbehördlichen Erwartung auszugehen. Unternehmen, die diese Anforderungen nicht umsetzen, bewegen sich in einem erhöhten Compliance-Risiko.

Handlungsempfehlung: Überprüfung und Anpassung bestehender Strukturen

Unternehmen sollten kurzfristig prüfen, ob ihre aktuellen Kontaktangaben und Kommunikationswege den dargestellten Anforderungen entsprechen. Dabei ist nicht nur die formale Einrichtung einer separaten E-Mail-Adresse relevant, sondern insbesondere deren tatsächliche Ausgestaltung.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

/assets/images/t/Nadja-22bmdatj0e84j29.png
Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.