Jusletter IT

Selbstkontrollmechanismen nach der DS-GVO: Der Datenschutzbeauftragte als Haftungsrisiko oder Schutzschild?

  • Author: Sebastian Meyer
  • Category: Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Conference Proceedings IRIS 2017
  • Citation: Sebastian Meyer, Selbstkontrollmechanismen nach der DS-GVO: Der Datenschutzbeauftragte als Haftungsrisiko oder Schutzschild?, in: Jusletter IT 23 February 2017
Die Datenschutz-Grundverordnung sieht die Bestellung eines betrieblichen Datenschutzbeauftragten vor, der Unternehmen bei der Einhaltung der datenschutzrechtlichen Vorgaben unterstützen soll. Bei Bestellung eines Datenschutzbeauftragten und seine Einbeziehung in alle wesentlichen Entscheidungen kann das Unternehmen sich im Hinblick auf Datenschutzverstöße gegebenenfalls damit exkulpieren, dass aufgrund der Einbeziehung des Datenschutzbeauftragten jedenfalls kein sanktionsbedürftiger Verstoß vorliegt. Bei Bestellung eines externen Datenschutzbeauftragten können sich außerdem Regressansprüche ergeben.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Bedeutung des Datenschutzbeauftragten und Vorgaben der DS-GVO
  • 2.1. Verpflichtung zur Bestellung
  • 2.2. Bestellung auf freiwilliger Basis
  • 3. Konsequenzen der Bestellung eines Datenschutzbeauftragten
  • 3.1. Stellung des Datenschutzbeauftragten
  • 3.2. Aufgabe des Datenschutzbeauftragten
  • 3.3. Verantwortlichkeit des Datenschutzbeauftragten
  • 3.3.1. Verantwortlichkeit im Außenverhältnis
  • 3.3.2. Verantwortlichkeit gegenüber dem Unternehmen
  • 3.3.3. Haftungsszenarien
  • 4. Der Datenschutzbeauftragter als Haftungsrisiko oder Schutzschild
  • 4.1. Auswirkung auf die externe Verantwortlichkeit
  • 4.2. Praktische Relevanz eines Datenschutzbeauftragten
  • 5. Ausblick
  • 6. Literatur

1.

Einleitung ^

[1]
Die Datenschutzrichtlinie1 hat bisher einen Mindeststandard für den Datenschutz vorgegeben, der auf nationaler Ebene von den Mitgliedsstaaten der Europäischen Union umzusetzen war. Auf diese Weise sollten die Unterschiede beim Datenschutzniveau zwischen den verschiedenen Mitgliedsstaaten reduziert und vor allem in materieller Hinsicht vergleichbare Standards in ganz Europa geschaffen werden.2
[2]
Trotz der Angleichung des Datenschutzniveaus ist es teilweise bei unterschiedlichen Anforderungen auf nationaler Ebene geblieben, insbesondere bezogen auf formale Vorgaben und Verfahrensabläufe. In Österreich ist beispielsweise vorgesehen, dass grundsätzlich für alle Verfahren zur Datenverarbeitung eine Meldepflicht erfüllt werden muss, sofern keine Ausnahmen für Standardverarbeitungen einschlägig sind.3 Es wurde mit dem Datenverarbeitungsregister (DVR) eine zentrale Datenbank geschaffen, die gem. § 53 DSG 2000 öffentlich einsehbar ist. In Deutschland ist zwar ebenfalls in der Theorie eine Meldepflicht gem. § 4d Abs. 1 BDSG vorgesehen, die allerdings ohne jede praktische Bedeutung geblieben ist. Die an sich vorgesehene Meldepflicht entfällt gem. § 4d Abs. 2 BDSG immer dann, wenn für das Unternehmen ein Datenschutzbeauftragter bestellt ist. Außerdem gibt es besondere Privilegierungen für kleinere Unternehmen mit maximal neun Mitarbeitern gem. § 4d Abs. 3 BDSG. Da gleichzeitig alle Unternehmen mit mehr als neun Mitarbeitern zwingend einen Datenschutzbeauftragten bestellen müssen, bleiben faktisch keine Unternehmen übrig, die noch der Meldepflicht unterfallen. Der Gesetzgeber hat sich in Deutschland bewusst für diese Möglichkeit entschieden, um interne Selbstkontrollmechanismen – die Kontrolle und Dokumentation der Datenverarbeitung durch einen betrieblichen Datenschutzbeauftragten – gegenüber einer staatlichen Aufsicht zu bevorzugen.4
[3]
An diesem Beispiel lässt sich schon erkennen, welche unterschiedlichen Ansätze bisher in den Mitgliedsstaaten verfolgt wurden. Durch die Datenschutz-Grundverordnung (DS-GVO)5 erfolgt jetzt auf europäischer Ebene eine Vollharmonisierung, soweit nicht explizit Öffnungsklauseln vorgesehen sind. Es wurde dabei versucht, ein Kompromiss zwischen verschiedenen Ansätzen zu finden, der für alle Mitgliedsstaaten akzeptabel ist.6

2.

Bedeutung des Datenschutzbeauftragten und Vorgaben der DS-GVO ^

[4]

Schon unter Geltung der Datenschutzrichtlinie war die Möglichkeit der Bestellung eines Datenschutzbeauftragten vorgesehen, der dann als unabhängige Instanz gem. Art. 18 Abs. 2 DSRL die Einhaltung der nationalen Datenschutzvorschriften überwachten sollte.7 In den meisten Mitgliedsstaaten wurde die Möglichkeit zur Bestellung eines Datenschutzbeauftragten nicht umgesetzt.8 Da mit der Bestellung eines Datenschutzbeauftragten auf freiwilliger Basis ohne gesetzliche Verankerung in den nationalen Datenschutzbestimmungen keine Vorteile verbunden waren, hat sich die Bestellung eines Datenschutzbeauftragten außerhalb von Deutschlands nicht besonders durchgesetzt.

[5]
Aus deutscher Perspektive hat sich die Verlagerung der Kontrollfunktion auf den Datenschutzbeauftragten aber bewährt, so dass im Rahmen der Verhandlungen für die Datenschutz-Grundverordnung vehement für die Beibehaltung der Funktion des Datenschutzbeauftragten gekämpft wurde. Österreich hat dabei die deutsche Position unterstützt und sich ebenfalls für eine Pflicht für Unternehmen zur Bestellung von Datenschutzbeauftragten auf europäischer Ebene ausgesprochen.9 Letztlich konnte im Rahmen des Trilogs ein Kompromiss in der Weise erreicht werden, dass unter bestimmten Voraussetzungen zwingend ein Datenschutzbeauftragter bestellt werden muss; außerdem existieren Öffnungsklauseln, die auf nationaler Ebene weitergehende Bestellpflichten ermöglichen.10

2.1.

Verpflichtung zur Bestellung ^

[6]
Zunächst sind gem. Art. 37 Abs. 1 DS-GVO drei Fälle vorgesehen, bei denen «auf jeden Fall» ein Datenschutzbeauftragter zu bestellen ist.
[7]

Die erste Alternative deckt die Tätigkeit von Behörden und öffentlichen Stellen ab, die unabhängig von ihrer Größe oder dem Umfang der Verarbeitung personenbezogener Daten einen Datenschutzbeauftragten bestellen müssen. Dies entspricht der bisherigen Praxis in Deutschland gem. § 4f Abs. 1 BDSG, wobei in einzelnen Bundesländern teilweise abweichende Regelungen in den Landesdatenschutzgesetzen vorgesehen sind.11

[8]

In der zweiten Alternative wird eine Bestellpflicht für Unternehmen12 konstituiert, deren Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert. Mit dieser Regelung, die sprachlich etwas ungenau formuliert ist, sollen solche Unternehmen zur Bestellung eines Datenschutzbeauftragten gezwungen werden, die in größerem Umfang personenbezogene Daten erfassen und auswerten, beispielsweise im Rahmen der Profilbildung oder Nutzeranalyse. In diese Gruppe von Unternehmen fallen nach allgemeiner Auffassung Auskunfteien und Detekteien, aber unter Umständen beispielsweise auch Versicherungen und Online-Händler.13

[9]
Mit der dritten Alternative werden Konstellationen erfasst, bei der die verantwortliche Stelle besonders sensible Daten verarbeitet, vor allem besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DS-GVO. Als typische Beispiele für Unternehmen mit einer Bestellpflicht aus diesem Bereich werden häufig Krankenhäuser und andere Einrichtungen des Gesundheitswesens genannt.14 Es dürften aber auch Beratungseinrichtungen, Rechtsanwaltskanzleien und Unternehmen aus dem Erotikbereich in den Anwendungsbereich der Norm fallen.15
[10]

Für alle Unternehmen, die nicht unter eine der drei vorgenannten Alternativen fallen, besteht auf europäischer Ebene keine generelle Bestellpflicht. Vor allem auf Druck aus Deutschland wurde in die Datenschutz-Grundverordnung allerdings in Art. 37 Abs. 4 DS-GVO eine Öffnungsklausel aufgenommen, wonach auf nationaler Ebene weitere Fälle vorgesehen werden können, die zu einer Pflicht zur Bestellung eines Datenschutzbeauftragten führen.16 Deutschland hat sich schon sehr früh darauf festgelegt, dass die bisherigen Vorgaben nach Möglichkeit auch unter Geltung der Datenschutz-Grundverordnung zumindest auf nationaler Ebene beibehalten werden sollten.17 Danach ist wieder mit einer generellen Pflicht zur Bestellung eines Datenschutzbeauftragten zu rechnen, wenn mehr als neun Personen mit der Verarbeitung personenbezogener Daten befasst sind.18 Bei den übrigen Mitgliedsstaaten ist dagegen eher damit zu rechnen, dass von der Öffnungsklausel kein Gebrauch gemacht wird, soweit auch bisher keine entsprechenden Pflichten im nationalen Recht vorgesehen waren. Auch für Österreich ist zu erwarten, dass keine zusätzlichen Bestellpflichten auf nationaler Ebene eingeführt werden.19

2.2.

Bestellung auf freiwilliger Basis ^

[11]
In der Datenschutz-Grundverordnung ist ausdrücklich geregelt, dass eine Bestellung gem. Art. 37 Abs. 4 DS-GVO auch auf freiwilliger Basis durch Unternehmen erfolgen kann, die an sich keiner Bestellpflicht unterliegen. Ein Unterschied zwischen einem zwingend zu bestellenden Datenschutzbeauftragten und einem freiwillig bestellten Datenschutzbeauftragten besteht dabei nicht, maßgeblich ist alleine die tatsächliche Bestellung.20
[12]
Vor allem für die Unternehmen, für die keine Bestellpflicht gem. Art. 37 Abs. 1 DS-GVO besteht, wird sich zukünftig die Frage stellen, ob es sinnvoll ist, auf freiwilliger Basis gem. Art. 37 Abs. 4 DS-GVO einen Datenschutzbeauftragten zu bestellen. Zur Beantwortung dieser Frage gilt es, die verschiedenen Vor- und Nachteile gegeneinander abzuwägen. Angesichts der Tatsache, dass diese Thematik in Deutschland bereits seit Jahren diskutiert wird, kann auch unter der Anwendbarkeit der Datenschutz-Grundverordnung weitgehend auf die diesbezüglichen Erfahrungen zurückgegriffen werden.

3.

Konsequenzen der Bestellung eines Datenschutzbeauftragten ^

[13]
Sofern ein Datenschutzbeauftragter zu bestellen ist oder freiwillig bestellt werden soll, wird dessen Stellung im Unternehmen durch Art. 38 DS-GVO definiert. Außerdem wird gem. Art. 39 Abs. 1 DS-GVO ein Mindestkatalog von Aufgaben vorgegeben, für die der Datenschutzbeauftragte zwingend zuständig ist. Unter Beachtung dieser Vorgaben der Datenschutz-Grundverordnung können Unternehmen die weitere Tätigkeit des Datenschutzbeauftragten aber gemeinsam mit diesem ausgestalten.

3.1.

Stellung des Datenschutzbeauftragten ^

[14]

Der Datenschutzbeauftragte muss zwingend so im Unternehmen verankert werden, dass die Stellung unabhängig und weisungsfrei ausgeübt werden kann.21 Mit Bestellung des Datenschutzbeauftragten ist außerdem sicherzustellen, dass ihm gem. Art. 38 Abs. 2 DS-GVO ausreichende Ressourcen zur Verfügung stehen. Unter der Geltung des Bundesdatenschutzgesetzes in Deutschland, das eine vergleichbare Verpflichtung vorsieht, wird die Vorgabe so interpretiert, dass bei Bestellung eines internen Datenschutzbeauftragten diesem ausreichende personelle, sachliche und finanzielle Mittel zur Verfügung zu stellen sind.22 Der Datenschutzbeauftragte hat danach Anspruch auf Räumlichkeiten mit entsprechender Ausstattung, auf angemessene Literatur und externe Unterstützung sowie auf die Möglichkeit zur Teilnahme an Fortbildungen.23 Sofern der interne Datenschutzbeauftragte zusätzlich noch andere Tätigkeiten wahrnimmt, darf sich hieraus gem. Art. 38 Abs. 6 DS-GVO keine Interessenkollision ergeben; im Hinblick auf die Abgrenzung der Tätigkeiten muss außerdem eine angemessene Freistellung von sonstigen Tätigkeiten erfolgen.24

3.2.

Aufgabe des Datenschutzbeauftragten ^

[15]
In der Datenschutz-Grundverordnung ist ein Katalog mit Pflichtaufgaben vorgesehen, die dem Datenschutzbeauftragten gem. Art. 39 Abs. 1 DS-GVO «zumindest» obliegen.25 Im Umkehrschluss lässt sich daraus ableiten, dass weitere Aufgaben zwischen der verantwortlichen Stelle und dem Datenschutzbeauftragten abgestimmt und vereinbart werden müssen.
[16]
In Deutschland wird die gesetzliche Definition der Aufgaben des Datenschutzbeauftragten bisher damit eingeleitet, dass dieser gem. § 4g Abs. 1 BDSG auf die Einhaltung der datenschutzrechtlichen Vorgaben «hinwirken» muss.26 Die Formulierung wird dabei so interpretiert, dass der Datenschutzbeauftragte im Ergebnis nicht für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich ist, also die Compliance des Unternehmens nicht sicherzustellen hat. Dieses Konzept wird mit der Datenschutz-Grundverordnung fortgesetzt, nach der der Datenschutzbeauftragte vor allem Ansprechpartner und Berater sein soll.27 Eine weitergehende Rolle kann dem Datenschutzbeauftragten letztlich auch nicht zukommen, weil ihm innerhalb des Unternehmens regelmäßig auch keine ausreichenden Weisungsrechte zustehen.28
[17]

Typische Aufgaben des Datenschutzbeauftragten sind die Unterstützung der Geschäftsführung bei Entscheidungen zu Fragen des Datenschutzes, die Dokumentation der Datenschutzstandards im Unternehmen, die Sensibilisierung der Mitarbeiter insbesondere durch Schulungen und die Kommunikation mit der zuständigen Aufsichtsbehörde für den Datenschutz. Der Datenschutzbeauftragte ist damit Ansprechpartner für die Unternehmensleitung, für die Mitarbeiter des Unternehmens, für Kunden und sonstige Geschäftspartner des Unternehmens sowie für die Aufsichtsbehörde, soweit datenschutzrechtliche Themen berührt werden.29

3.3.

Verantwortlichkeit des Datenschutzbeauftragten ^

[18]
Unabhängig von der Feststellung, dass der Datenschutzbeauftragte innerhalb des Unternehmens nicht dafür verantwortlich ist, dass alle datenschutzrechtlichen Vorgaben eingehalten werden, stellt sich die Frage, inwieweit der Datenschutzbeauftragte für Datenschutzverstöße verantwortlich gemacht werden kann. Es gibt verschiedene Konstellationen, bei denen insoweit eine Verantwortlichkeit des Datenschutzbeauftragten denkbar erscheint.

3.3.1.

Verantwortlichkeit im Außenverhältnis ^

[19]
Im Hinblick auf die Verantwortlichkeit wird dabei zwischen der Verantwortung im Außenverhältnis und der zivilrechtlichen Haftung im Verhältnis zwischen Unternehmen und Datenschutzbeauftragten zu differenzieren sein. Unabhängig von der Bestellung eines Datenschutzbeauftragten bleibt – wie ausgeführt – das Unternehmen Adressat der datenschutzrechtlichen Pflichten nach der Datenschutz-Grundverordnung. Wenn ein Unternehmen die bestehenden Verpflichtungen nicht beachtet, drohen diesem Unternehmen die Sanktionen, insbesondere die Verhängung von Geldbußen von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes gem. Art. 83 DS-GVO.30 Schon aus der Herleitung der Höhe der Geldbuße in Relation zum Jahresumsatz des Unternehmens ist zu erkennen, dass sich die Geldbußen primär gegen das Unternehmen als Verantwortlichen richten.31 Eine unmittelbar nach außen wirkende Verantwortlichkeit des Datenschutzbeauftragten dürfte dagegen eher selten in Betracht kommen. Denkbar ist sie dann, wenn dem Datenschutzbeauftragten persönlich ein Verstoß gegen datenschutzrechtliche Bestimmungen vorgeworfen wird.32 Darüber hinaus wird diskutiert, ob im Einzelfall eine zivilrechtliche Außenhaftung in Betracht kommt, sofern bestimmte Verpflichtungen Schutzwirkungen zugunsten Dritter darstellen oder eine deliktische Haftung wegen der Verletzung eines Schutzgesetzes begründet werden kann.33

3.3.2.

Verantwortlichkeit gegenüber dem Unternehmen ^

[20]
Im Regelfall ist jedoch davon auszugehen, dass eine unmittelbare Verantwortlichkeit des Datenschutzbeauftragten weder besteht noch konstruiert werden kann, also das Unternehmen im ersten Schritt verantwortlich bleibt. Dieses wird sich jedoch fragen, wofür ein Datenschutzbeauftragter bestellt wird und die Ressourcen erhält, wenn dies das Unternehmen nicht vor einer Inanspruchnahme aufgrund von Datenschutzverstößen schützt.
[21]
Das Unternehmen kann bei einer Inanspruchnahme versucht sein, im zweiten Schritt bei dem bestellten Datenschutzbeauftragten Regress zu nehmen. Grundlage hierfür muss die Absprache sein, auf dessen Grundlage der Datenschutzbeauftragte seine Tätigkeit ausübt. Der Datenschutzbeauftragte kann dabei gem. Art. 37 Abs. 6 DS-GVO ein Beschäftigter des Unternehmen sein oder als externer Dienstleister tätig werden; es wird insoweit zwischen einem internen Datenschutzbeauftragten und einem externen Datenschutzbeauftragten unterschieden.34
[22]
Bestellt ein Unternehmen einen internen Datenschutzbeauftragten, besteht nur eine sehr eingeschränkte Regressmöglichkeit. Im Hinblick auf derartige Ansprüche gegen interne Datenschutzbeauftragte in Deutschland haben die Gerichte jedenfalls herausgearbeitet, dass ein Regress nur unter Berücksichtigung der Grundsätze der Arbeitnehmerhaftung in Betracht kommt.35 Danach scheidet eine Haftung außerhalb von grob fahrlässig oder vorsätzlich verursachten Schäden grundsätzlich aus. Zwar soll die Möglichkeit des Regresses sehr stark von den Umständen des Einzelfalles abhängen, gleichzeitig wird aber davon ausgegangen, dass eine Haftung wegen grober Fahrlässigkeit regelmäßig nicht begründet bzw. bewiesen werden kann.36
[23]
Bei einem externen Datenschutzbeauftragten, der regelmäßig auf Basis eines entgeltlichen Geschäftsbesorgungsvertrages tätig werden dürfte, bestehen derartige Einschränkungen dagegen nicht.37 Für die Haftung sind grundsätzlich die getroffenen Haftungsregelungen im Vertrag maßgeblich, sofern diese nicht ausnahmsweise unwirksam sind.38

3.3.3.

Haftungsszenarien ^

[24]

Potentiell risikoträchtig ist für einen Datenschutzbeauftragten vor allem die Beantwortung von Anfragen aus dem Unternehmen, die eine rechtliche Würdigung oder eine Interessenabwägung beinhalten. Gerade für die ab Geltung der Datenschutz-Grundverordnung ist zu erwarten, dass viele Streitfälle sich erst im Laufe der Zeit klären und bis zu verbindlichen Gerichtsentscheidungen noch einige Zeit vergeht. Insoweit besteht für Datenschutzbeauftragte die Gefahr, dass sich eine zunächst erteilte Einschätzung später als unzutreffend herausstellt, möglicherweise aufgrund neuer gerichtlicher oder behördlicher Entscheidungen. Das Verschulden mag in solchen Fällen gering sein, allerdings ist der Sorgfaltsmaßstab gerade für spezialisierte externe Berater bisher in Deutschland sehr hoch.

[25]

Einfacher ist die Haftungsfrage häufig dann zu beantworten, wenn der Datenschutzbeauftragte überhaupt nicht tätig geworden ist, obwohl er hätte tätig werden müssen. In diesem Fällen wird es aber darauf ankommen, ob der Datenschutzbeauftragte immerhin so informiert und in die Entscheidungswege einbezogen wurde, dass er hätte tätig werden können. Wenn der Datenschutzbeauftragte keine Anhaltspunkte für die Verletzung von datenschutzrechtlichen Bestimmungen hatte, ist es vielfach Ermessensfrage, inwieweit von dem Datenschutzbeauftragten verlangt werden konnte, sich selbst entsprechend zu informieren bzw. sein Unternehmen zu kontrollieren.

4.

Der Datenschutzbeauftragter als Haftungsrisiko oder Schutzschild ^

[26]
Aus den vorstehenden Ausführungen ergibt sich, dass die Übernahme der Tätigkeit als Datenschutzbeauftragter potentiell risikoträchtig ist, wenn auch vor allem im Verhältnis gegenüber dem eigenen Unternehmen. Basierend hierauf sollte geprüft werden, wie es sich auf die Haftung im Außenverhältnis auswirkt, ob ein Datenschutzbeauftragter bestellt ist. Möglicherweise kann es für ein Unternehmen selbst bei fehlender Regressmöglichkeit sinnvoll sein, einen Datenschutzbeauftragten zu bestellen. Dieser kann zwar vielleicht nicht die Funktion eines «Haftungspuffers» übernehmen, könnte aber als «Bauernopfer» in Betracht kommen.

4.1.

Auswirkung auf die externe Verantwortlichkeit ^

[27]
Bei der Bemessung der Geldbußen für Datenschutzverstöße gem. Art. 83 Abs. 2 DS-GVO sollen insbesondere die Schwere des Verstoßes, das Verschulden der verantwortlichen Stelle und erschwerende bzw. mildernde Umstände berücksichtigt werden. In diesem Zusammenhang stellt sich die Frage, ob bei der Bewertung eines Datenschutzverstoßes die Tatsache, dass dieser trotz Bestellung eines Datenschutzbeauftragten erfolgt ist, erschwerend oder mildernd berücksichtigt werden muss.
[28]
Soweit nicht ohnehin ein Datenschutzbeauftragter bestellt werden muss, kann die freiwillige Bestellung als mildernder Umstand gewertet werden, weil das Unternehmen sich offensichtlich überobligatorisch um den Datenschutz bemüht hat. Im Hinblick auf Zertifizierungsverfahren, die gem. Art. 42 Abs. 3 DS-GVO ebenfalls freiwillig sind, ist gem. Art. 83 Abs. 2 lit. j DS-GVO ausdrücklich vorgesehen, dass dies im Rahmen der Entscheidung über eine Geldbuße und deren Bemessung zu berücksichtigen ist, obwohl durch eine Zertifizierung die Verantwortlichkeit der verantwortlichen Stelle gem. Art. 42 Abs. 4 DS-GVO ausdrücklich nicht gemindert wird. Vergleichbare Erwägungen dürften durch die Aufsichtsbehörde auch für den Fall anzustellen sein, dass auf freiwilliger Basis ein Datenschutzbeauftragter bestellt wurde.
[29]
Offensichtlich ist die Wertung im umgekehrten Fall, wenn die Sanktionierung eines Datenschutzverstoßes droht und sich dabei herausstellt, dass kein Datenschutzbeauftragter bestellte wurde, obwohl dies gem. Art. 37 Abs. 1 DS-GVO oder aufgrund von nationalen Bestimmungen erforderlich gewesen wäre. Dies ist in jedem Fall zu Lasten des Unternehmens zu berücksichtigen, weil es offensichtlich grundlegende datenschutzrechtliche Verpflichtungen ignoriert und trotz entsprechender Verpflichtung nicht über interne Selbstkontrollmechanismen verfügt, die den Datenschutzverstoß möglicherweise hätten verhindern können.

4.2.

Praktische Relevanz eines Datenschutzbeauftragten ^

[30]
Die Erfahrungen aus Deutschland zeigen, dass ein Datenschutzbeauftragter häufig in der Lage ist, die Verhängung von Sanktionen insgesamt zu verhindern. Anders als nach den bisherigen Regelungen in Deutschland gehört es gem. Art. 37 Abs. 1 lit. d und e DS-GVO ausdrücklich zu den Aufgaben des Datenschutzbeauftragten, mit der Aufsichtsbehörde zusammenzuarbeiten und als «Anlaufstelle» für die Aufsichtsbehörde zur Verfügung zu stehen.39 Sofern es dem Datenschutzbeauftragten gelingt, die Aufsichtsbehörde davon zu überzeugen, dass in dem Unternehmen grundsätzlich geeignete Strukturen im Rahmen der Selbstkontrolle bestehen, um die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen sowie mögliche Verstöße zu erkennen und abzustellen, bedarf es regelmäßig keiner aufsichtsrechtlichen Maßnahmen. Auf diese Weise können bisher jedenfalls aufsichtsrechtliche Maßnahmen einschließlich der Verhängung von Geldbußen abgewendet werden, wenn die Aufsichtsbehörde zu dem Ergebnis gelangt, bei einem gegebenenfalls festgestellten Datenschutzverstoß handelt es sich um einen Einzelfall und nicht um ein systematisches Fehlverhalten, was durch fehlende Selbstkontrollmechanismen ermöglicht oder gefördert wurde.
[31]
Weiter kann sich ein Unternehmen bei Untersuchungen der Aufsichtsbehörde häufig darauf berufen, dass davon ausgegangen wurde, der Datenschutzbeauftragte würde auf Risiken aus dem Datenschutzbereich und Anhaltspunkte für Rechtsverletzungen hinweisen. Sofern der Datenschutzbeauftragte den fachlichen Anforderungen gem. Art. 37 Abs. 5 DS-GVO entspricht, stellt sich wirklich die Frage, ob von der Unternehmensleitung oder anderen Stellen innerhalb des Unternehmens erwartet werden kann, die Tätigkeit und Einschätzungen des Datenschutzbeauftragten qualifiziert zu überprüfen.
[32]
Sollte sich im Einzelfall bei einer Prüfung durch die Aufsichtsbehörde herausstellen, dass die Einschätzung des bestellten Datenschutzbeauftragten fehlerhaft war und sich hieraus ein Datenschutzverstoß ergeben hat, ist aus Sicht des Unternehmens die Strategie denkbar, die interne Verantwortung dem Datenschutzbeauftragten zuzuweisen und durch dessen Auswechslung sowie ergänzende Maßnahmen wie freiwillige Zertifizierungen der Aufsichtsbehörde zu demonstrieren, dass eine nachhaltige Verbesserung des Datenschutzniveaus angestrebt wird. Im deutschen Recht ist hierzu bisher sogar ausdrücklich vorgesehen, dass die Aufsichtsbehörde gem. § 4f Abs. 3 S. 4 BDSG bei Vorliegen eines wichtigen Grundes verlangen kann, dass die Bestellung widerrufen wird.40 Auch ein solches «Bauernopfer» kann dann bei der Entscheidung über weitere Sanktionen berücksichtigt werden.

5.

Ausblick ^

[33]
Mit der Datenschutz-Grundverordnung wird erstmals europaweit eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten eingeführt, wenn auch nur in einem relativ engen Rahmen mit nationalen Öffnungsklauseln. Unternehmen, die dieser Bestellpflicht unterfallen, sollten – auch unter Haftungsgesichtspunkten – sorgfältig prüfen, wer als Datenschutzbeauftragter in Betracht kommt.
[34]
Die Bestellung eines Datenschutzbeauftragten dürfte vielfach aber auch für solche Unternehmen sinnvoll sein, die nicht der Bestellpflicht unterfallen. Mit der Datenschutz-Grundverordnung wird eine Vielzahl neuer Verpflichtungen eingeführt, auch im Hinblick auf Dokumentationsaufgaben.41 Vor diesem Hintergrund wird ohnehin die interne Verantwortlichkeit für diese Themen geklärt werden müssen. Der Schritt zur förmlichen Bestellung der verantwortlichen Person ist dann nicht mehr weit und kann für das Unternehmen auch in der Außenwirkung durchaus Vorteile haben.
[35]
Es ist zu erwarten, dass sich – ähnlich wie bereits in Deutschland geschehen – ein neues Tätigkeitsfeld für berufsmäßige Datenschutzbeauftragte ergibt. Da die Beauftragung und Bestellung externer Datenschutzbeauftragter in allen Bereichen ausdrücklich erlaubt wird, dürfte die Nachfrage nach derartigen Leistungen zukünftig zunehmen, zumal die externe Beauftragung unter haftungsrechtlichen Gesichtspunkten für Unternehmen interessant ist. Externe Datenschutzbeauftragte können und sollten sich ihrerseits durch entsprechende Haftungsvereinbarungen und einen korrespondierenden Versicherungsschutz absichern, damit ein Regress für drohende Schäden und Sanktionen nicht existenzbedrohend wird.42

6.

Literatur ^

Abel, Ralf, Der behördliche Datenschutzbeauftragte, MMR 2002, S. 289.

Albrecht, Jan Philipp, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, S. 88.

Bornemann, Dirk/Wetzel, Lennart, Die EU-Datenschutz-Grundverordnung in der Umsetzung: Eine Diskussion über Chancen und Herausforderungen, RDV 2016, S. 253.

Feiler, Lukas, Öffnungsklauseln in der Datenschutz-Grundverordnung – Regelungsspielraum des österreichischen Gesetzgebers, jusIT 2016, S. 210.

Gola, Peter/Piltz, Carlo, Die Datenschutz-Haftung nach geltendem und zukünftigem Recht – ein vergleichender Ausblick auf Art. 77 DS-GVO, RDV 2015, S. 279.

Gola, Peter/Schomerus, Rudolf, Bundesdatenschutzgesetz, 12. Aufl. 2015

Horn, Bernhard, Die neue Rolle des Datenschutzbeauftragten nach der DS-GVO, jusIT 2016, S. 195.

Jaspers, Andreas/Reif, Yvettte, Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben, RDV 2016, S. 61.

Kreindl, Ricarda, Datenschutz-Grundverordnung ante portas: Vom Datenverarbeitungsregister zur Datenschutz-Folgeabschätzung, jusIT 2016, S. 153.

Lepperhoff, Niles, Dokumentationspflichten in der DS-GVO, RDV 2016, S. 197.

Marschall, Kevin, Strafrechtliche Haftungsrisiken des betrieblichen Datenschutzbeauftragten, ZD 2014, S. 66.

Piltz, Carlo, Die Datenschutz-Grundverordnung – Teil 3: Rechte und Pflichten des Verantwortlichen und Auftragsverarbeiters, K&R 2016, S. 709.

Plath, Kai-Uwe, Bundesdatenschutzgesetz, 2013.

Schantz, Peter, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 1016, S. 1841.

Simitis, Spiros, Bundesdatenschutzgesetz, 8. Auflage 2014.

Thode, Jan-Christoph, Die neuen Compliance-Pflichten nach der Datenschutz-Grundverordnung, CR 2016, S. 714.

  1. 1 Richtlinie 95/46/EG. ABl. L 1995/281, 31.
  2. 2 Schantz, NJW 2016, 1841.
  3. 3 Kreindl, jusIT 2016, 153, 154.
  4. 4 Gola/Schomerus, §4d Rn. 3; Simits, § 4f Rn. 5.
  5. 5 Verordnung (EU) 2016/679, ABl. L 2016/119, 1.
  6. 6 Albrecht, CR 2016, 88, 89; Bornemann/Wetzel, RDV 2016, 253, 254.
  7. 7 Plath-v.d.Bussche, § 4f Rn. 1; Gola/Schomerus, § 4f Rn. 3.
  8. 8 Gola/Schomerus, § 4f Rn. 4a.
  9. 9 Albrecht, CR 2016, 88, 94.
  10. 10 Jaspers/Reif, RDV 2016, 61.
  11. 11 Abel, MMR 2002, 289.
  12. 12 Der Begriff des Unternehmens ist in Abgrenzung zu öffentlichen Stellen im Sinne von Art. 4 Nr. 18 DS-GVO zu verstehen, was weitgehend einer nicht-öffentliche Stellen im Sinne von § 2 Abs. 4 BDSG entspricht. Zahlreiche Ausführungen lassen sich aber auch auf öffentliche Stellen übertragen.
  13. 13 Jaspers/Reif, RDV 2016, 61, 62; Horn, jusIT 2016, 195, 196.
  14. 14 Thode, CR 2016, 714, 717; Piltz, K&R 2016, 709, 717.
  15. 15 Jaspers/Reif, RDV 2016, 61, 62; Horn, jusIT 2016, 195, 196.
  16. 16 Jaspers/Reif, RDV 2016, 61, 62; vgl. allgemein zu den Öffnungsklauseln Feiler, jusIT 2016, 210.
  17. 17 Horn, jusIT 2016, 195.
  18. 18 Thode, CR 2016, 714, 717.
  19. 19 Horn, jusIT 2016, 195.
  20. 20 Article 29 Data Protection Working Party, Guidelines on Data Protection Officers, S. 5; Horn, jusIT 2016, 195.
  21. 21 Jaspers/Reif, RDV 2016, 61, 64.
  22. 22 Gola/Schomerus, § 4f Rn. 55.
  23. 23 Horn, jusIT 2016, 195, 200.
  24. 24 Plath-v.d.Bussche, § 4f Rn. 45.
  25. 25 Piltz, K&R 2016, 709, 716.
  26. 26 Gola/Schomerus, § 4g Rn. 2.
  27. 27 Horn, jusIT 2016, 195, 198.
  28. 28 Thode, CR 2016, 714, 718 geht davon aus, dass die Frage der «Garantenstellung» erst noch zu klären ist.
  29. 29 Piltz, K&R 2016, 709, 717.
  30. 30 Thode, CR 2016, 714, 716.
  31. 31 Gola/Piltz, RDV 2015, 279, 282.
  32. 32 Plath-v.d.Bussche, § 4g Rn. 54; Marschall, ZD 2014, 66 zur strafrechtlichen Verantwortlichkeit unter dem Bundesdatenschutzgesetz.
  33. 33 Gola/Schomerus, § 4g Rn. 32.
  34. 34 Horn, jusIT 2016, 195, 200.
  35. 35 Simitis, § 4g Rn. 100.
  36. 36 Gola/Schomerus, § 4g Rn 35; Simits, § 4g Rn 100.
  37. 37 Plath-v.d.Bussche, § 4g Rn. 50.
  38. 38 Gola/Schomerus, § 4g Rn 35.
  39. 39 Jaspers/Reif, RDV 2016, 61, 67.
  40. 40 Simitis, § 4f Rn. 192.
  41. 41 Lepperhoff, RDV 2016, 197.
  42. 42 Simitis, § 4g Rn. 113.