Aktuelle Rechtsfragen aus der Marktforschungspraxis Recht und Legitimation des betrieblichen Datenschutzbeauftragten

Von Dr. Ralf Tscherwinka

Die Frankfurter Allgemeine Zeitung veröffentlichte im Feuilleton am 16. November 2012 (Seite 31) einen Abgesang auf die Durchsetzungsfähigkeit und den Nutzen betrieblicher Datenschutzbeauftragter. Unter dem Titel „Die überforderte Zunft“ wurde behauptet, Datenschutzbeauftragte seien generell „überfordert“, würden in der Regel nur als „Nörgler und Erfolgsbremse“ angesehen und Datenschutzbeauftragter werde nur, wer entweder „Idealist“ sei oder „nicht schnell genug weg lief“. Im Ergebnis – ungewöhnlich für die marktfreundliche Grundausrichtung der FAZ – müsse der Staat stärker ran, um dem Datenschutz zum Durchbruch zu verhelfen. Meines Erachtens verkennt dieser FAZ-Beitrag, dass Datenschutzbeauftragte im Alltagsgeschäft wichtige und detaillierte Arbeit verrichten. Sie stoßen nicht immer auf Begeisterung, aber auch nicht auf generelle Ablehnung. Unternehmen wären schlecht beraten, das Know-how der Datenschutzbeauftragten nicht zu nützen. Es liegt im eigenen rechtlichen und wirtschaftlichen Interesse von Unternehmen, das Instrument des Datenschutzes in persona eines Datenschutzbeauftragten zum eigenen Vorteil einzusetzen. Zu Recht wird die Institution des betrieblichen Datenschutzbeauftragten als Erfolgsmodell bezeichnet (Hören, Der betriebliche Datenschutzbeauftragte, Zeitschrift für Datenschutz 2012, S. 55). Nicht zufällig wird die von der Europäischen Kommission vorgestellte EU-Datenschutz-Grundverordnung (siehe marktforschung.de Kolumne vom Juni 2012 mit dem Titel „EU-Datenschutz-Grundverordnung“) das deutsche Modell des betrieblichen Datenschutzbeauftragten in ganz Europa implementieren. Der Ruf nach mehr Staat ist zurückzuweisen. Unternehmen sind an Selbstkontrolle interessiert, nicht an steigendem staatlichen Fremdeinfluss. Zu Recht wird über die unzureichende personelle Ausstattung der Aufsichtsbehörden gestöhnt – wie soll dann eine stärkere staatliche Einflussnahme betrieblicher Abläufe aussehen? Und wie soll man sich den Ruf nach mehr Staat eigentlich konkret vorstellen? Sollen staatliche Datenschutzkommissare eingesetzt werden? Will man wirklich verdeckte Ermittler oder Staatstrojaner oder soll eine finanzamtsähnliche Datenschutz-Außenprüfung angedacht werden? Ganz im Gegenteil: Die Institution des betrieblichen Datenschutzbeauftragten ist im Interesse des Datenschutzes und der betroffenen Unternehmen. Zu Rufen nach mehr Staat oder zu einem Abgesang auf den betrieblichen Datenschutzbeauftragten besteht kein Anlass.

1.  Fangen wir mit Verbesserungsvorschlägen an den Gesetzgeber an. Zutreffend ist es, dass die Aufsichtsbehörden personell verstärkt werden sollten – nicht zuletzt zur Unterstützung der betrieblichen Datenschutzbeauftragten. Bei der Meldung von Datenschutzproblemen oder Datenschutzverstößen in Unternehmen durch Datenschutzbeauftragte sollten diese ermutigt und nicht abgeschreckt werden. Abgeschreckt werden sie dann, wenn sie bei ihrer Kommunikation mit der Datenschutzbehörde Gefahr laufen, dass ihr Unternehmen einem Ordnungswidrigkeitsverfahren unterzogen wird. Daher wäre es sinnvoll, bei Kontaktaufnahme von Datenschutzbeauftragten mit der Aufsichtsbehörde Straffreiheit oder jedenfalls eine straffreie Karenzzeit von z.B. sechs Monaten zu normieren, um die nötigen Maßnahmen umzusetzen. Staatliche Förderprogramme und Ausbildungswege für Datenschutzbeauftragte sollten verstärkt angeboten werden. Unbefriedigend ist es ferner, dass nach derzeitiger Rechtsprechung (Bundesgerichtshof, NZA 1998, 385 ff.). der Datenschutzbeauftragte kein Recht hat, den Betriebsrat auf die Einhaltung der datenschutzrechtlichen Bestimmungen zu überprüfen, obwohl das Unternehmen Verantwortliche Stelle im Sinne des BDSG ist (selbst wenn z.B. der Betriebsrat einen eigenen Blog betreibt). Viele Datenschutzbeauftragte haben die Sorge, dass sie ähnlich wie Compliance Officer einer Garantenpflicht unterliegen und somit grundsätzlich Gefahr laufen, sich wegen Unterlassung strafbar machen zu können. Das sollte nicht erst der Rechtsprechung überlassen bleiben, hier eilt eine Klarstellung des Gesetzgebers. Manch andere Ergänzungen und Änderungen des Rechts des betrieblichen Datenschutzbeauftragten sind in der Diskussion. Manches davon erscheint sinnvoll, manches diskutabel.
   
   Das Grundprinzip aber hat sich bewährt. Es sieht im Einzelnen so aus:
   
   
2. Die Bestellung des Datenschutzbeauftragten im Unternehmen ist als Bestandteil unternehmerischer Selbstkontrolle und Selbstregulierung zu sehen. Bei der Bestellung eines Datenschutzbeauftragten entfallen gesetzliche Meldepflichten (§ 4 d ff. Bundesdatenschutzgesetz – BDSG). Auch weitere datenschutzrechtliche Regelungen können als Bestandteil der unternehmerischen Selbstregulierung angesehen werden: § 9 BDSG überträgt Unternehmen die Verantwortung, „die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes … zu gewährleisten.“ Für Datenübermittlungen ins Ausland sind Standardvertragsklauseln von der Europäischen Kommission vorgesehen, die die Unternehmen (gegebenenfalls in Verbindung mit Code of Conduct- bzw. Safe-Harbor-Regelungen) eigenverantwortlich implementieren können. Gemäß § 38 a BDSG können Berufsverbände und andere Vereinigungen Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten. Ganz allgemein arbeiten Unternehmen im Rahmen ihrer Compliance-Pflichten daran, Selbstkontrolle und Selbstregulierung als Präventivschutz gegen Rechtsverstöße einzusetzen. Im Grundsatz wird durch die Institution und die Bestellung des betrieblichen Datenschutzbeauftragten (bDSB) ein liberaler, die Unternehmensfreiheit fördernder Ansatz umgesetzt – ganz im Gegensatz zu einem undifferenzierten Ruf nach „mehr Staat“.
   
   Bei nicht-öffentlichen Stellen differenziert der Gesetzgeber hinsichtlich einer gesetzlichen Verpflichtung zur Bestellung eines bDSB nach dem Mindestumfang der Datenverarbeitung. Keine Pflicht zur Bestellung eines bDSB besteht für nicht-öffentliche Stellen, die in der Regel höchstens 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Im Falle einer automatisierten Datenerhebung mit mindestens 10 Personen, die ständig mit der Verarbeitung personenbezogener Daten betraut sind, greift die gesetzliche Bestellungspflicht. Relevant für die Berechnung der Personenzahl sind auch Teilzeitkräfte, Auszubildende, Leiharbeiter und wohl auch freie Mitarbeiter. Für die Markt- und Meinungsforschung gilt eine generelle Pflichtbestellung. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen oder personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen, § 4 f Abs. 1 Satz 6 BDSG.
   
   Der Datenschutzbeauftragte muss schriftlich bestellt werden (§ 4 f Abs. 1 Satz 1 BDSG). Eine befristete Bestellung ist nach wohl herrschender Auffassung zulässig, obwohl mit der Befristung die Kündigungs- und Widerrufsschutzrechte eines Datenschutzbeauftragten unterlaufen werden können. Hinsichtlich der Wirksamkeit hintereinandergeschalteter Befristungen sollte man wegen dieser Umgehungsproblematik sehr vorsichtig umgehen. Der Betriebsrat hat kein Mitbestimmungsrecht bei der Bestellung des bDSB.
   
   
3. Der bDSB ist direkt der Geschäftsführung unterstellt (§ 4 f Abs. 3 Satz 1 BDSG). Er ist in datenschutzrelevanten Angelegenheiten weisungsfrei (§ 4 f Abs. 3 Satz 2 BDSG). Er unterliegt keinem Direktions- und Weisungsrecht des Arbeitgebers in datenschutzrechtlichen Angelegenheiten und unterliegt insoweit keinen arbeitsrechtlichen Sanktionen des Arbeitgebers. Zwar normiert das BDSG zu Gunsten des Datenschutzbeauftragten ein Benachteiligungsverbot, ähnlich wie beim Betriebsrat. Das Benachteiligungsverbot gegenüber dem Betriebsrat ist jedoch ergänzt durch eine ausdrückliche Sanktionierung, die beim Datenschutzbeauftragten (noch) fehlt.
   
   
4. Häufig wird die Abwägung zwischen der Bestellung eines internen oder eines externen Datenschutzbeauftragten diskutiert. Beim internen Datenschutzbeauftragten muss darauf geachtet werden, dass zwischen dem bDSB und der Verantwortlichen Stelle getrennt und eine Interessenkollision vermieden wird. Nach herrschender Auffassung ist diese Unabhängigkeit nicht gewährleistet bei Geschäftsführern, Leiten der Rechtsabteilung und Personalleitern. Je nach den Umständen des Einzelfalles ist die Unabhängigkeit bei einem leitenden Angestellten oder der Leiter der EDV- oder Revisionsabteilung im Einzelfall kritisch zu prüfen. Die Unabhängigkeit externer Datenschutzbeauftragter wird verneint bei Rechtsanwälten, Wirtschaftsprüfern und Unternehmensberatern, die für das Unternehmen tätig sind. Bei Konzerndatenschutzbeauftragten ist meines Erachtens die Unabhängigkeit nicht gewahrt, wenn der Konzerndatenschutzbeauftragte Angestellter eines (Ober-) Konzernunternehmens ist und Datenschutzbelange auch der Unter-Unternehmen verantwortlich regeln soll. Immerhin erleichtert das Gesetz die Übermittlung von Daten an den externen Datenschutzbeauftragten, da dies keine Übermittlung im Sinne von § 3 Abs. 4 BDSG darstellen soll: Auch der externe bDSB ist Teil der Organisation und kein Dritter im Sinne des § 3 Abs. 8 Satz 2 BDSG.
   
   Priorität sollte meines Erachtens die Bestellung eines internen Datenschutzbeauftragten haben. Externe Datenschutzbeauftragte haben zwar in der Regel nicht weniger Rechts- oder Sachkenntnis, häufig mangelt es ihnen jedoch an der erforderlichen Kenntnis der betrieblichen, internen Abläufe und der besonderen unternehmensspezifischen Risikofaktoren. Zeit- und Kapazitätsprobleme kommen hinzu. Auch wird häufig über die Kostenbelastung durch externe Datenschutzbeauftragte geklagt.
   
   
5. Die Bestellung des bDSB kann nur auf Verlangen der Aufsichtsbehörde und dann widerrufen werden, wenn ein wichtiger Grund im Sinne von § 626 BGB vorliegt. Dies gilt übrigens sowohl bei externen als auch bei internen bDSB. Gemäß § 626 BGB liegt ein fristloser Kündigungsgrund aus wichtigem Grund stets dann vor, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.
   
   Der interne, angestellte bDSB genießt Sonderkündigungsschutz während seiner Bestellung: „Ist nach § 4 f Abs. 1 BDSG ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen“ (§ 4 f Abs. 3 Satz 5 BDSG). Ein Datenschutzbeauftragter, der ohne gesetzliche Bestellungspflicht bestellt wurde, genießt somit keinen Sonderkündigungsschutz. Auch nach der Abberufung genießt der bDSB innerhalb eines Jahres nach Beendigung seiner Bestellung fortdauernden Sonderkündigungsschutz (§ 4 f Abs. 3 Satz 6 BDSG). In seiner Entscheidung vom 23. März 2011 hat das Bundesarbeitsgericht entschieden: Allein der Beschluss, statt einer internen Datenschutzbeauftragten einen externen Datenschutzbeauftragten zu installieren, stellt keinen wichtigen Grund im Sinne der vorgenannten Kündigungsbestimmungen dar.
   
   
6. Zu den Aufgaben des bDSB zählt es, die Einhaltung des BDSG zu überwachen und sich in Zweifelsfällen an die Behörde zu wenden. Der bDSB muss vom Unternehmen rechtzeitig unterrichtet werden und es muss ihm die Möglichkeit gegeben werden, sich mit den jeweiligen besonderen Erfordernissen des Datenschutzes auch im Einzelfall vertraut zu machen. Er hat jedoch keine eigenen gesetzlichen Eingriffsbefugnisse zur Durchsetzung von Datenschutzmaßnahmen (gar gegen den Willen der Unternehmensleitung). Das Gesetz sieht eindeutig den Vorrang der Geschäftsführung vor. Problematisch ist nach wie vor, wie oben bereits angesprochen, die Situation, wenn sich der Datenschutzbeauftragte an die Aufsichtsbehörde wendet. Dazu ist er zweifelslos berechtigt (§ 4 g Abs. 1 Satz 2 BDSG), auch wenn dadurch Verstöße gegen Datenschutzregelungen ans Licht kommen. Der bDSB hat sogar grundsätzlich eine Verpflichtung, sich an die Aufsichtsbehörde zu wenden, wenn ihm Datenschutzverstöße bekannt werden. Wenn der bDSB allerdings die Einleitung eines Ermittlungsverfahrens auslöst, wenn er sich an die Aufsichtsbehörde wendet, fördert dies die Kooperations- und Auskunftsbereitschaft nicht. Daher plädiere ich dafür, in diesen Fällen dem Unternehmen Straffreiheit oder jedenfalls eine Karenzzeit zur Umsetzung der erforderlichen Verbesserungsmaßnahmen zu gewähren (siehe oben 1.).
   
   
7. Eine der wesentlichen Aufgaben der Aufsichtsbehörden liegt in der Beratung und Unterstützung der betrieblichen Datenschutzbeauftragten. Der bDSB hat einen Anspruch auf Beratung durch die Aufsichtsbehörde. Die Aufsichtsbehörde ist zur Verhängung einer Ordnungswidrigkeit berechtigt, wenn trotz gesetzlicher Verpflichtung ein betrieblicher Datenschutzbeauftragter nicht bestellt wurde. Die Aufsichtsbehörde kann die Abberufung des bDSB mangels Fachkunde und Zuverlässigkeit verlangen.
   
   
8. Die Unabhängigkeit des bDSB ist recht gut abgesichert. Gegenüber der Geschäftsleitung ist er in datenschutzrechtlicher Hinsicht weisungsfrei. Er kann (und muss) mit der Aufsichtsbehörde kooperieren. Seine Bestellung kann nur eingeschränkt widerrufen werden. Als interner Datenschutzbeauftragter genießt er Sonderkündigungsschutz während und auch nach seiner Bestellungsphase. Er hat Anspruch auf Fortbildung.
   
   
9. Als Datenschutzbeauftragter darf nur bestellt werden, wer die erforderliche Fachkunde mitbringt (§ 4 f Abs. 2 Satz 2 BDSG). Dies wird dadurch unterstützt, dass der bDSB einen Anspruch auf ordentliche Ausstattung mit Literatur, Sachmitteln, Mitarbeitern und Fortbildung hat. Eine juristische Ausbildung ist für bDSB nicht zwingend erforderlich. Allerdings zeigt die Erfahrung, dass ohne ein Grundverständnis gesetzlicher Regelungen innerhalb und außerhalb des BDSG keine erfolgreiche Arbeit als bDSB geleistet werden kann. Wichtig ist aus meiner Sicht eine umfassende Betriebskenntnis. Ohne Kenntnis der Abläufe im Betrieb, ohne Kenntnis der datenschutzrelevanten Verfahren und ohne Kenntnis der unternehmensspezifischen Risikogebiete kann der bDSB die für ein Unternehmen wertvolle Arbeit nicht ansatzweise leisten. Wertvoll deshalb, weil die rechtzeitige Einschaltung des bDSB die Gefahr von Ordnungswidrigkeiten, Bußgeldern und öffentlichkeitswirksamen Datenverstößen reduziert.
   
   
10. Bei der Haftung der Datenschutzbeauftragten ist zwischen internen und externen bDSB zu unterscheiden. Der interne Beauftragte unterliegt als Arbeitnehmer der einschränkenden Rechtsprechung des Bundesarbeitsgerichts zum Umfang des Betriebsrisikos und der Arbeitnehmerhaftung. Grundsätzlich haftet er daher gegenüber seinem Unternehmen nur bei grober Fahrlässigkeit. Für externe bDSB gilt diese Haftungseinschränkung nicht, sie haften grundsätzlich voll, es sei denn, im Bestellungsvertrag wurden spezifische Haftungsklauseln und Haftungsbeschränkungen vereinbart.
    
    
11. Betriebliche Datenschutzbeauftragte sind ein Sicherheitsventil und eine rechtliche Präventivmaßnahme gegen Rechtsverstöße. Gerade im datenschutzrechtlichen Bereich sind Verstöße nicht nur öffentlichkeitsschädlich (man denke an die echten und vermeintlichen Datenschutzskandale der vergangenen Jahre), Datenschutzverstöße können auch zu Ordnungswidrigkeitsbescheiden mit erheblichen Bußgeldern führen. Gegenüber Auftraggebern, Auftragnehmern und Betroffenen personenbezogener Daten besteht im eigenen Interesse jedes Unternehmens eine umfassende Verpflichtung zum rechtskonformen Umgang mit personenbezogenen Daten. Richtig verstanden und konstruktiv eingesetzt ist der bDSB daher ein wichtiger Begleiter und Berater eines Unternehmens.