Haftet der Datenschutzbeauftragte künftig für Verstöße?

Die bisher rein deutsche Pflicht zur Bestellung eines Datenschutzbeauftragten wird mit Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 für Unternehmen in allen Mitgliedsstaaten relevant, sofern die Voraussetzungen des Artikel 37 (Absatz 1 b oder c) DSGVO vorliegen. Auch wenn in zahlreichen anderen Mitgliedsstaaten bisher eine freiwillige Bestellung eines Datenschutzbeauftragten möglich war, stand für die Regelungen aus Artikel 37 bis 39 Datenschutz-Grundverordnung maßgeblich deutsches Recht Pate. Trotzdem werden die neuen Vorschriften auch das in Deutschland bewährte Bild des Datenschutzbeauftragten ändern. In diesem Blogbeitrag erläutern wir die Neuregelungen und zeigen auf, welche Änderungen sich ergeben.

Der betriebliche Datenschutzbeauftragte im deutschen Recht

 In Deutschland ist der betriebliche Datenschutzbeauftragte als Schnittstelle zwischen Betroffenem, Verantwortlicher Stelle und Aufsichtsbehörden etabliert. In dieser Funktion ist er als vertrauensbildendes Element im Kunden- und Mitarbeiterkontakt bewährt und trägt dazu bei, Abstimmungen zwischen Unternehmen und Aufsichtsbehörden zu fördern. Er gilt daher als „Errungenschaft des deutschen Datenschutzrechts“ zur Sicherung eines angemessenen Datenschutzniveaus.
Der ursprüngliche Entwurf der EU-Kommission für die DSGVO sah eine europaweite Verpflichtung zur Bestellung eines Datenschutzbeauftragten vor, sobald ein Unternehmen mehr als 250 Mitarbeiter beschäftigte. Damit wäre die Grenze zwar vergleichbar pauschal wie bisher im deutschen Recht gewesen, jedoch erheblich höher. Doch bereits zu Beginn der Triloggespräche zwischen EU-Kommission, Rat und Parlament zeichnete sich ab, dass eine so umfangreiche Regelung nicht konsensfähig gewesen wäre.

Die Bestellpflicht nach der DSGVO

Die DSGVO verfolgt im Hinblick auf die Bestellung eines Datenschutzbeauftragten einen risikobasierten Ansatz und sieht eine verpflichtende Bestellung durch Unternehmen nur bei Verarbeitungsprozessen vor, die ein besonderes Risiko für die Rechte und Freiheiten der Betroffenen bedeuten. Dazu stellt Artikel 37 (Absatz 1) DSGVO auch klar, dass die Pflicht zur Bestellung sowohl den für die Verarbeitung Verantwortlichen, als auch den Auftragsdatenverarbeiter trifft. Neu ist auch, dass Artikel 37 Absatz 2 die Bestellung eines Konzerndatenschutzbeauftragten nun ausdrücklich erlaubt.
Artikel 37 (Absatz 1 b) DSGVO bestimmt eine Bestellpflicht für Unternehmen in zwei Fällen:
  1. Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund Art, Umfang oder Zweck eine umfangreiche, regelmäßige und systematische Überwachung der Betroffenen erforderlich machen.
  2. Das Unternehmen übt eine Kerntätigkeit aus, die in der umfangreichen Verarbeitung besonders sensibler Daten besteht.
Der Begriff der Kerntätigkeit meint die Verarbeitung personenbezogener Daten als Haupttätigkeit des Unternehmens – vergleiche Erwägungsgrund 97 DSGVO. Zumindest wenn die Datenverarbeitung vorrangiger Geschäftszweck des Unternehmens ist, wird wohl eine Kerntätigkeit vorliegen. Der erste Anwendungsbereich umfasst damit in erster Linie Auskunfteien aber auch umfangreiche Profilbildung zu Werbezwecken (als Hauptgeschäftszweck). Fraglich ist, ob bei dieser Auslegung des Erfordernisses der Kerntätigkeit nicht Schutzlücken entstehen. So würden große Online-Händler, deren primärer Geschäftszweck gerade nicht die Verarbeitung personenbezogener Daten ist, keiner Bestellpflicht unterliegen. Bei einer gleichzeitigen umfangreichen Kundenanalyse zur Optimierung von Produktvorschlägen wäre das Risiko für den Betroffenen aber ähnlich hoch wie bei einer Datenverarbeitung durch einen reinen Targeting-Dienst. Ähnlich unbestimmt ist der Begriff der umfangreichen Verarbeitung. Eine gewisse Orientierung ermöglicht das Gesetzgebungsverfahren. Ursprünglich sollte die Verarbeitung personenbezogener Daten von mehr als 5.000 Betroffenen innerhalb eines Jahres als umfangreich gelten. Diese Zahl könnte also einen Richtwert zur Auslegung der umfangreichen Verarbeitung liefern. Aber Gewissheit wird aber wohl erst die aufsichtsrechtliche und letztlich gerichtliche Praxis bringen.
 
Der zweite Anwendungsfall betrifft die umfangreiche Verarbeitung besonders sensitiver Daten nach Artikel 9 (Absatz 1) und Artikel 10 DSGVO. Gemeint sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Zudem umfasst sind Gesundheitsdaten, Angeben zum Sexualleben oder der sexuellen Orientierung, sowie genetische und biometrische Daten und personenbezogen Daten über strafrechtliche Verurteilungen und Straftaten.

Freiwillige Bestellung und Öffnungsklausel

Die Öffnungsklausel des Artikel 37 (Absatz 4) DSGVO gewährt dem nationalen Gesetzgeber die Möglichkeit, die Bestellpflicht nach nationalen datenschutzrechtlichen Maßgaben auch in anderen Fällen verpflichtend vorzusehen. Davon scheint der deutsche Gesetzgeber Gebrauch machen zu wollen: Gemäß dem Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutzgrundverordnung vom 5. August 2016 soll die aktuell nach dem BDSG geltende Regelung auch nach Mai 2018 fortgeführt werden. Die Bestellpflicht greift also aller Voraussicht nach auch künftig, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Anforderungen und Stellung des Datenschutzbeauftragten

  • Die zukünftige Stellung des Datenschutzbeauftragten im Unternehmen selbst unterscheidet sich auf den ersten Blick nicht wesentlich von der jetzigen Rechtslage nach Bundesdatenschutzgesetz (BDSG). Seine Bestellung muss aufgrund seiner Qualifikation und seines Fachwissens erfolgen. Die Anforderungen bemessen sich an der Art der zu erfüllenden Aufgaben, Artikel 37 Absatz 5 DSGVO – vergleiche Paragraf 4f (Absatz 1 Satz 1 und 2) BDSG.
  • Ferner kann weiterhin sowohl ein Externer als auch ein Beschäftigter des Unternehmens diese Aufgabe wahrnehmen, Artikel 37 (Absatz 6) DSGVO – vergleiche Paragraf 4f (Absatz 1 Satz 3) BDSG.
  • Beschäftigte unterliegen als Datenschutzbeauftragte einem besonderen Schutz gegen Benachteiligung oder gar einer Abberufung wegen der Erfüllung ihrer Aufgaben, Artikel 38 (Absatz 3 Satz 2) DSGVO. Hier fällt die DSGVO gegenüber dem vom BDSG gewährten Schutz nach Paragraf 4f (Absatz 3 Satz 3 bis 5) BDSG etwas ab. Ähnlich wiederum wie schon unter dem BDSG ist der Datenschutzbeauftrage auch unter der DSGVO weisungsfrei und nur der höchsten Management-Eben berichtspflichtig, Artikel 38 (Absatz 3 Satz 1 und 3) DSGVO – vergleiche Paragraf 4f (Absatz 3 Satz 1 und 2) BDSG.
  • Das Unternehmen, für das er tätig wird, muss ihm Zugang zu allen für seine Aufgabenerfüllung relevanten Daten und Prozessen gewähren und wohl auch erforderliche Fortbildungsmaßnahmen finanziell und organisatorisch sicherstellen, Artikel 38 (Absatz 2) DSGVO – vergleiche Paragraf 4f (Absatz 3 Satz 6 und Absatz 5 Satz 1), sowie Paragraf 4g (Absatz 1 Satz 3 Nr. 1 und Absatz 2) BDSG.

Aufgaben des Datenschutzbeauftragten

Artikel 39 normiert die Aufgaben des Datenschutzbeauftragten. Diesem obliegt insbesondere die Unterrichtung und Beratung der datenverarbeitenden Stelle und deren Beschäftigten hinsichtlich datenschutzrechtlicher Pflichten, Artikel 39 (Absatz 1 a) DSGVO – vergleiche Paragraf 4g (Absatz 1 Satz 1) BDSG. Insbesondere gehört zu seinen Aufgaben die Überwachung der Einhaltung datenschutzrechtlicher Vorgaben. Dazu zählt nicht nur die vollumfängliche Überwachung der Strategie der datenverarbeitenden Stelle zum Schutz personenbezogener Daten, sondern auch die Sensibilisierung, Schulung und Überprüfung der Mitarbeiter, Artikel 39 (Absatz 1 b) DSGVO – vergleiche Paragraf 4g (Absatz 1 Satz 3 Nr. 1 und 2) BDSG. Daneben berät er das Unternehmen im Zusammenhang mit der Datenschutzfolgeabschätzung, Artikel 39 (Absatz 1 c) DSGVO. Er dient also auch im Gefüge der DSGVO als Anlaufstelle und Schnittstelle zwischen Unternehmen und Aufsichtsbehörden, Artikel 39 (Absatz 1 d und e) DSGVO. Spiegelbildlich dazu steht dem Betroffenen ein Anrufungsrecht in Artikel 38 (Absatz 4) zu – vergleiche Paragraf 4f (Absatz 5 Satz 2) BDSG. Im Rahmen seiner Aufgabenerfüllung ist der Datenschutzbeauftragte zur Verschwiegenheit und Geheimhaltung verpflichtet, Artikel 38 (Absatz 5) DSGVO – vergleiche Paragraf 4f (Absatz 5) BDSG.

Haftung und strafrechtliche Verantwortlichkeit des Datenschutzbeauftragten

Stellung und Aufgabenbeschreibung des Datenschutzbeauftragten mögen sich auf den ersten Blick nicht von der jetzigen Rechtslage abheben. Hinsichtlich der zivilrechtlichen Haftung und strafrechtlichen Verantwortlichkeit des Datenschutzbeauftragten ergeben sich aber grundlegende Änderungen.

Es erscheint denkbar, dass für den Datenschutzbeauftragten eine Haftung und sogar eine Strafbarkeit durch Unterlassen in Betracht kommt, wenn man ihm nach neuem Recht eine Garantenstellung im Sinne von Paragraf 13 Strafgesetzbuch (StGB) zuschreiben muss. Eine Garantenstellung besteht, wenn dem Datenschutzbeauftragten die Rechtspflicht zukommt, einen strafrechtlichen Erfolg abzuwehren. Ob eine solche Rechtspflicht besteht, bestimmt sich nach der gesetzlichen Aufgabennormierung. Paragraf 4g (Absatz 1 Satz 1) BDSG beschränkt sich auf die Formulierung, dass der Datenschutzbeauftragte lediglich auf die Einhaltung der Gesetze hinzuwirken habe. Eine Rechtspflicht, die zur Begründung einer Garantenstellung ausreichend sein soll, ließ sich daraus nach allgemeiner Ansicht bisher nicht begründen.

Demgegenüber bestimmt Artikel 39 (Absatz 1 b) DSGVO, dass dem Datenschutzbeauftragten die „Überwachung der Einhaltung dieser Verordnung“ obliegt. Dies könnte als Rechtspflicht zur Überwachung der Einhaltung datenschutzrechtlicher Vorschriften und zur Meldung etwaiger Verstöße interpretiert werden. Dann ginge diese Formulierung weiter als ein bloßes „Hinwirken“ und begründet möglicherweise konkrete Rechtspflichten, deren Unterlassen sowohl eine zivilrechtliche Haftung gegenüber dem Betroffenen und der datenverarbeitenden Stelle, als auch eine persönliche Strafbarkeit begründen kann. Der Datenschutzbeauftragte rückte bei diesem Verständnis in seiner Stellung damit an einen Compliance Officer heran. Für diese hat die Rechtsprechung bereits in der Vergangenheit eine Haftung aus Garantenstellung anerkannt (BGH Urteil vom 17. Juli 2009 – 5 StR 394/08).

Trotzdem ist diese Interpretation derzeit alles andere als gesichert. Die Aufsichtsbehörden haben sich – soweit ersichtlich – noch nicht klar positioniert. Es ist auch zu berücksichtigen, dass die deutsche Sprachfassung leider an vielen Stellen nicht exakt mit der englischen Fassung übereinstimmt, so dass die Gefahr von Fehlinterpretationen bestehen. Die Überwachung eines Zustandes muss noch lange nicht eine Verpflichtung mit sich bringen, für bestimmte Ergebnisse einzustehen.

Bei systematischer Betrachtung ist auch Artikel 39 (Absatz 1 c) DSGVO in den Blick zu nehmen. Danach wird der Datenschutzbeauftragte im Rahmen der Datenschutzfolgeabschätzung nur „auf Anfrage“ tätig. Wenn aber der Datenschutzbeauftragte selbst bei diesem zentralen Compliance-Mechanismus überhaupt nur auf Anfrage des Unternehmens Hinweise erteilen können soll, kann er schwerlich insgesamt eine Garantenstellung innehaben. Insgesamt ist deshalb das Maß der zukünftige Verantwortung des Datenschutzbeauftragten unklar. Eine Ausweitung der Verantwortung erscheint aber möglich.

Ausblick

Das in Deutschland bewährte Institut des betrieblichen Datenschutzbeauftragten hat seinen Weg in die DSGVO gefunden und hat nun entsprechende europaweite Geltung. Zwar hat der Europäische Gesetzgeber das deutsche Regelungsregime nicht identisch übernommen, trotzdem sind die Unterschiede zwischen dem Datenschutzbeauftragten nach BDSG und dem Datenschutzbeauftragten nach DSGVO eher gering.

Es ist auch zu erwarten, dass Deutschland von der Möglichkeit Gebrauch macht, die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten auf das derzeit schon nach dem BDSG bestehende Maß auszudehnen. Dann wären zumindest in Deutschland wohl kaum Unterschiede beim „Ob“ der Bestellung vorhanden. In jedem Fall müssen Datenschutzbeauftragte die neuen Haftungsrisiken beachten und diesen gegebenenfalls durch höheren Dokumentationsaufwand entgegentreten.

Dr. Marc Störing
Geposted von Dr. Marc Störing

Dr. Marc Störing ist im Kölner Büro von Osborne Clarke seit 2008 als Rechtsanwalt tätig und berät Unternehmen im Schwerpunkt zum Datenschutzrecht.

Kommentieren

Pflichtfelder sind markiert*