Datenschutzbeauftragte sind eine besondere Kontaktperson für Personen, die Fragen oder Beschwerden zur Verarbeitung ihrer personenbezogenen Daten haben. Viele Unternehmen geben in ihren Datenschutzinformationen für den Kontakt zum Verantwortlichen und für den Kontakt zum Datenschutzbeauftragten (DSB) dieselbe E-Mail-Adresse an. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bewertet dies in seinem Tätigkeitsbericht 2025 ausdrücklich als unzulässig. Die eigene Kontaktadresse für den Datenschutzbeauftragten ist vielmehr eine konkrete rechtliche Anforderung.
Warum identische Kontaktadressen unzulässig sind
DSB sind nach Art. 38 Abs. 5 DSGVO zur Wahrung der Geheimhaltung und Vertraulichkeit verpflichtet. Diese Pflicht lässt sich nicht erfüllen, wenn betroffene Personen für den Kontakt zum DSB eine Adresse nutzen müssen, auf die auch der Verantwortliche Zugriff hat. Wer sich vertraulich an den DSB wenden möchte – etwa mit Hinweisen auf interne Datenschutzverstöße – muss sich sicher sein, dass die Nachricht ausschließlich den DSB erreicht. Ansonsten wäre die Geheimhaltungspflicht des DSB nicht gewahrt.
Dazu kommt: Gemäß Art. 13 und 14 DS-GVO müssen Verantwortliche in ihren Datenschutzinformationen sowohl ihre eigenen Kontaktdaten als auch die des DSB angeben. Wer dort dieselbe Adresse hinterlegt, erfüllt beide Anforderungen formal – aber eben nicht inhaltlich.
Rechtliche Grundlage: Art. 38 Abs. 2 DSGVO
Art. 38 Abs. 2 DSGVO verpflichtet den Verantwortlichen, dem DSB die Ressourcen bereitzustellen, die dieser zur Erfüllung seiner Aufgaben benötigt. Das BayLDA stellt klar: Dazu gehört ausdrücklich auch eine eigene Kontaktadresse für den Datenschutzbeauftragten, zu der ausschließlich der DSB, eine benannte Stellvertretung oder weisungsmäßig unterstelltes Personal Zugang haben darf.
So lässt sich die Anforderung praktisch umsetzen
Die Umsetzung ist technisch unkompliziert. Für den E-Mail-Kontakt empfiehlt das BayLDA eine eigens eingerichtete Funktionsadresse, etwa in der Form dsb@…. Dabei ist sicherzustellen, dass nur der DSB und ggf. seine Stellvertretung auf dieses Postfach zugreifen können – nicht der Verantwortliche selbst.
Daneben weist das BayLDA auch auf den postalischen Weg hin: Eingänge, die dem DSB zuzuordnen sind – erkennbar etwa durch einen Adresszusatz wie „Datenschutzbeauftragter“ – müssen dem DSB direkt und ungeöffnet zugeleitet werden. Auch hier gilt also: Der Verantwortliche darf keinen inhaltlichen Zugriff erhalten.
Häufiger Fehler in der Praxis
Das BayLDA macht deutlich, dass dieses Problem in regelmäßigen Abständen auffällt. Verantwortliche, die entweder aufgrund gesetzlicher Pflicht oder freiwillig einen DSB benannt haben, übersehen bei der Gestaltung ihrer Datenschutzinformationen häufig, dass zwei funktional unterschiedliche Kontaktkanäle nötig sind. Dabei betrifft die Anforderung sowohl verpflichtend benannte als auch freiwillig bestellte DSB.
Fazit: Eigene Kontaktadresse für den Datenschutzbeauftragten jetzt prüfen
Die eigene Kontaktadresse für den Datenschutzbeauftragten ist eine klare Vorgabe aus Art. 38 Abs. 2 und Abs. 5 DSGVO. Wer in seinen Datenschutzinformationen nur eine einheitliche Kontaktadresse für Verantwortlichen und DSB ausweist, riskiert nicht nur eine Rüge durch die Aufsichtsbehörde, sondern unterhöhlt die Vertraulichkeit des DSB strukturell. Verantwortliche laufen in diesem Falle auch Gefahr, dass Betroffene sich in diesen Fällen direkt an die Aufsichtsbehörde wenden.
Deshalb empfiehlt es sich, die eigenen Datenschutzinformationen zeitnah zu überprüfen und – soweit noch nicht geschehen – eine dedizierte Kontaktmöglichkeit ausschließlich für den DSB einzurichten. Das ist mit geringem technischem Aufwand möglich, schafft aber die nötige Klarheit und Rechtskonformität.
Quellenangabe: BayLDA, Tätigkeitsbericht 2025, Abschn. 5.1
Bei Fragen zum Datenschutz für Unternehmen, Selbständige und Vereine kontaktieren Sie mich gerne:
Tel: +49 234 29831858
Mail: anwalt@kolyvas.legal