All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Compliance & Recht

Die Haftung des betrieblichen Datenschutzbeauftragten

Die Haftung des betrieblichen Datenschutzbeauftragten

Fachanwalt für IT-Recht Dr. jur. Jens Bücking

- und die Chancen eines Haftungs-Outsourcings auf externe Datenschutzmandatsträger* + Nach dem Aufsehen erregenden Urteil des Bundesgerichtshofs aus dem Jahre 2009 zur Strafbarkeit des Compliance-Beauftragten als Unterlassungsgarant für die Verhinderung von Rechtsverstößen Urteil vom 17.07.2009, 5 StR 394/08) wird zwischenzeitlich auch eine entsprechende Anwendung der dortigen Urteilserwägungen auf den betrieblichen Datenschutzbeauftragten diskutiert.

Parallelen in Funktion, Aufgabenstellung und Verantwortungszuweisung nach Einfluss- und Risikobereichen sind nicht von der Hand zu weisen. Und auch eine zivilrechtliche Haftung für die Schadensfolgen im Unternehmen und bei Dritten aus Pflichtverstößen im Aufgabenkreis des Datenschutzbeauftragten - etwa beim Verlust oder dem Bruch der Vertraulichkeit von Daten – kommt grundsätzlich in Betracht. Ein Outsourcing dieses Bereichs unter dem Gesichtspunkt der Kosten- und Risikoverlagerung wird sich daher in der Praxis oftmals als kaufmännisch und rechtlich sinnvolle Alternative zur innerbetrieblichen Lösung erweisen, wie der nachfolgende Beitrag aufzeigt:

Strafrechtliche Verantwortlichkeit aus „Garantenstellung“

Ebenso wie beim Compliance-Beauftragten, dem der Bundesgerichtshof eine Garantenpflicht für die Datensicherheit auferlegt hatte, steht auch der betriebliche Datenschutzbeauftragte in der proaktiven Verpflichtung eines Hinwirkens auf die Einhaltung der datenschutz- und datensicherheitsrechtlichen Vorschriften im Unternehmen. Eine Verhinderung datenschutzrelevanter Straftaten und Ordnungswidrigkeiten im Unternehmen dürfte als ungeschriebene mittelbare Rechtspflicht aus seinem gesetzlichen Aufgabenkreis, als Beratungs- und Kontrollinstanz zu fungieren, ergeben. Als Beispiel aus dem Unternehmensalltag ist hier an die Unterbin-dung offener CC-Mailverteiler oder – insoweit auch von strafrechtlicher Relevanz – an die unverschlüsselte E-Mail-Kommunikation mit interner und ggf. schutzbedürftigen Informationen zu denken, die einen Verstoß gegen den Schutz von Geschäftsgeheimnissen, von Personendaten oder sonstige Compliance-Vorschriften darstellen kann (wie einer weiteren Entscheidung des Bundesgerichthofs aus 2013 entnommen werden kann: Beschluss vom  26.02.2013, KVZ 57/12).

Auch der betriebliche Datenschutzbeauftragte nimmt in leitender Funktion die Verantwortung für einen Vertrauensbereich in Anspruch. Es liegt daher nicht fern, aus dieser Funktion eine Garantenstellung im Sinne des Strafgesetzbuches abzuleiten, sodass sich der betriebliche Datenschutzbeauftragte ggf. wegen Beihilfe durch Unterlassung strafbar machen kann, wenn er betriebsbezogene Straftaten nicht durch geeignete technisch-organisatorische Maßnahmen, über die er das Management (Vorstand bzw. Geschäftsführung) aufklären und beraten und auf die er hinwirken muss, verhindert.

Der Bundesgerichthof hat die Haftung des Compliance-Beauftragten mit der Sonderverantwortlichkeit für die Integrität dieses Bereichs und den hieraus folgenden Obhutspflichten für eine bestimmte Gefahrenquelle begründet und leitet allein schon aus der Übernahme des betreffenden Amtes die Vermutung für eine Garantenstellung ab. Dieselben Überlegungen treffen freilich grundsätzlich auch auf Funktion und Aufgabenkreis des betrieblichen Datenschutzbeauftragten zu. Folge hiervon ist, dass dieser in einem Rechtsstreit schlüssig und substantiiert darlegen und unter Beweis stellen muss, alle erforderlichen und gebotenen (Präventiv- und Notfall-) Maßnahmen ergriffen zu haben. Dies bedingt freilich wiederum die aus dem Gesellschaftsrecht als Teil der „corporate governance“ bekannte Chefsache der Vorhaltung eines effizienten Risikomanagementsystems (einschließlich internem Kontrollsystem und fortzuschreibender Dokumentation der getroffenen Maßnahmen). Auch hier muss sich das Management im Schadensfall exkulpieren, mit anderen Worten darlegen und den Beweis führen alles Erforderliche getan zu haben, um existenzgefährdenden Risiken vorzubeugen. Gelingt dieser Entlastungsbeweis nicht, steht das Management gegenüber der Gesellschaft in der persönlichen Haftung.

Auch in der juristischen Fachliteratur spricht sich die (wohl) vorherrschende Meinung für eine Überwachungsgarantenstellung des betrieblichen Datenschutzbeauftragten aus. Durch seine Verpflichtung zur Aneignung des notwendigen Know-hows im Bereich des Datenschutzes und der Datensicherheit, die ihn allein erst in die Lage versetzt, die Geschäftsführung in Fragen des Datenschutzes zu beraten und auf die erforderlichen – auch technisch-organisatorischen – Maßnahmen hinzuwirken, nimmt der betriebliche Datenschutzbeauftragte schon kraft seines hierdurch begründeten Informationsvorsprunges eine Stellung ein, die ihn zum Herrscher über eine potenzielle Gefahrenquelle macht. Defizite in seinem Berichtswesen an das Management sind daher in erheblichem Maße schadensgeneigt, da sie regelmäßig dazu führen, dass keine geeigneten Schutzmechanismen etabliert und keine effizienten Notfallpläne für das Wiederanlaufen der betriebskritischen IT-Systeme im Desasterfall erstellt und getestet werden können.

Erlangt der Datenschutzbeauftragte mithin Kenntnis von Risiken aus dem Bereich des Datenschutzes und der IT-Sicherheit, so hat er diesen Risiken nachzugehen und Verdachtsmomente zu konkretisieren sowie unverzüglich in geordneter und nachvollziehbarer Form mit entsprechenden Handlungsempfehlungen an das Management Bericht zu erstatten. Die Verdachtsmomente für eine Gefährdungslage müssen hinreichend konkret und ausreichend gewichtig sein. Wird die Weiterverarbeitung der Information durch das zuständige Mitglied des Managements dem Datenschutzbeauftragten nicht signalisiert, und muss der Datenschutzbeauftragte aufgrund unbeantworteter Nachfragen den Eindruck gewinnen, dass keine Reaktion erfolgen wird, kann seine Pflicht sogar dahin gehen, die übrigen Mitglieder des Managements und - ggf. als weitere Eskalationsstufe fruchtlos gebliebener Hinweise – Kontrollgremien wie insbesondere den Aufsichtsrat zu informieren. Ein solches Vorgehen bezieht seine Rechtfertigung dieses Falls aus dem Gebot des kooperativen und vertrauenswürdigen Zusammenwirkens zwischen Management und Sonderbeauftragten. Dort endet freilich die Eskalationspflicht; es besteht keine Verpflichtung zur Erstattung einer Strafanzeige.

An der Umsetzung der vorgeschlagenen Maßnahmen bzw. des Gegenstands zu einer Beratung hat der Datenschutzbeauftragte allerdings selbst nicht mitzuwirken, da dies letztlich im Widerspruch stünde zu seiner Funktion als unabhängige und weisungsfreie betriebsinterne Datenschutzkontrollinstanz. Eine „Handelndenhaftung“ auf operativer Ebene kommt daher – anders als der Unterlassungshaftung kraft Garantenstellung – grundsätzlich nicht in Betracht. Die Datenschutzkonzeption als solche und die Umsetzung dieser Konzeption sind somit personell aufzutrennen. Dem Datenschutzbeauftragten obliegen insbesondere die Kontrolle der ordnungsgemäßen Anwendungen der IT im Unternehmen in Bezug auf personenbezogene Daten, unter anderem mittels einer internen Verarbeitungsübersicht, die datenschutzrechtliche Schulung der Mitarbeiter, Vorabkontrollen bei besonders sensiblen Bearbeitungsvorgängen sowie die Führung des öffentlichen Verfahrenverzeichnisses. Betriebsintern ist er in alle IT-relevanten Planungs- und Entscheidungsabläufe einzubinden, was sich aus seiner Verpflichtung zur Führung des Verfahrensverzeichnisses denknotwendig ergibt.

Zivilrechtliche Haftung

Die zivilrechtliche Haftung des Datenschutzbeauftragten besteht zunächst spiegelbildlich zur strafrechtlichen Verantwortlichkeit und erfasst alle Nachteile, die dem Unternehmen durch das Untätigbleiben innerhalb der Garantensphäre entstehen. Sie geht aber andererseits über diesen Bereich angesichts der Mannigfaltigkeit denkbarer Pflichtverstöße in der täglichen Datenschutzpraxis deutlich hinaus.

Grundsätzlich gilt im Bereich der zivilrechtlichen Einstandspflicht für Schäden, die dem Unternehmen durch Fehler im Pflichtenkreis des betrieblichen Datenschutzbeauftragten entstehen, dass dem Datenschutzbeauftragten als Arbeitnehmer in der Regel das arbeitsrechtliche Privileg der schadensgeneigten Arbeit zur Seite stehen wird. In diesem Fall wäre nur bei Vorsatz und grober Fahrlässigkeit eine persönliche Haftung gegenüber dem Arbeitgeber und etwaigen Drittbetroffenen sowie eine spätere Regressnahme des Arbeitgebers für die vom Datenschutzbeauftragten verschuldeten Schäden (an materiellen und immateriellen Rechtsgütern und Vermögen, aber auch durch Bußgelder und Geldstrafen der Aufsichtsbehörden) gegeben. Derlei Konstellationen sind eröffnet in Fällen adäquatkausaler Schadensfolgen fehlerhafter Beratung, unterbliebener Hinweise oder mangelhaft durchgeführter Kontrollverfahren. Freilich wird bei mittlerer Fahrlässigkeit ein solcher Schaden quotal aufgeteilt zwischen Arbeitgeber und Arbeitnehmer, im Bereich leichter Fahrlässigkeit besteht gar eine vollständige Haftungsfreistellung zugunsten des Arbeitnehmers.

Fazit

Die fehlende Möglichkeit, beim betrieblichen Datenschutzbeauftragten Regress zu nehmen, die hohen Prämien für die Absicherung seiner Pflichtverletzungen, die Ausstattung, die Abstellungspflicht für die Fortbildung etc. stellen gewichtige Argumente dar für die alternative Mandatierung externer Fachleute als Datenschutzbeauftragte. Diese bringen einerseits das erforderliche Know-how bereits mit, was Risiken minimiert und Kosten vermeidet, und können sich andererseits im Falle von Pflichtversäumnissen gegenüber ihrem Auftraggeber gerade nicht auf eine arbeitsrechtliche Haftungsfreistellung berufen sondern haften selbst in Fällen leichter Fahrlässigkeit grundsätzlich unbegrenzt für alle adäquat-kausalen Schadensfolgen, ob unmittelbar oder mittelbar und auch im Bereich reiner Vermögensschäden, für die sie voll einstandspflichtig sind. Verträge mit externen Spezialisten, die die Funktion des Datenschutzbeauftragten als Mandat bekleiden, bieten mithin unter arbeitsseitigen wie auch unter rechtlichen Gesichtspunkten Unternehmen die Chance eines effektiven Outsourcings zeit- und kostenintensiver Aufgaben und der damit korrespondierenden Rechtspflichten und Haftungsrisiken.



Über den Autor RA und Fachanwalt für IT-Recht Dr. jur. Jens Bücking
Jens Bücking ist in Stuttgart als Anwalt tätig. Neben seiner Beratungs- und Prozesspraxis fungiert er als Rechtsgutachter, Fachbuchautor, externer Datenschutzbeauftragter und Lehrbeauftragter (Hochschule für Technik, Stuttgart; Prof. assoc.  E.N.U., Kerkrade). Als Gründungspartner der Kanzlei e|s|b berät er Industrie, Handel und öffentliche Verwaltung vorwiegend im Recht der Informationstechnologien (z.B. IT-Prozessgestaltung, Produktauswahlberatung, Projektrecht, Organisationsberatung und Vertragsgestaltung), dem weiten Feld der „IT-Compliance“, dem Marken-/Domain-, Urheber- und Wettbewerbsrecht und dem Arbeitsrecht. Seine Qualifikation ist durch zahlreiche Fachpublikationen, Vortragsveranstaltungen und Inhouse-Schulungen für namhafte - auch global agierende - Unternehmen und öffentlich-rechtliche Institutionen belegt.

           

 

Kontakt:
Dr. Jens Bücking
e/s/b Rechtsanwälte
Schockenriedstr. 8A
70565 Stuttgart
Fon 0711/46 90 58 0
www.kanzlei.de 

Diesen Artikel empfehlen

Web-Security-Suite mit ausgezeichnetem DDoS-Frühwarnsystem

Ab sofort ist „DDoS-Radar“ auch integraler Bestandteil von „8ackProtect“ in der Datacenter-Edition. „8ackProtect“ ist das Flaggschiffprodukt von 8ack. Die Web-Security-Suite schützt jegliche Art von E-Commerce- und Online-Präsenzen kleiner und großer Unternehmen bis hin zu Providern und...

IT-Sicherheitsgesetz: Was ist "Stand der Technik"?

Die Handreichung soll den anwendenden Unternehmen und Anbietern (Hersteller, Dienstleister) gleichermaßen Hilfestellung zur Bestimmung des "Standes der Technik" geben. Das von einer interdisziplinären Expertengruppe erarbeitete Dokument enthält in strukturierter Form detaillierte,...

Next Generation WAF Roadmap

DenyAll kündigt die Verfügbarkeit der neuen Versionen für die gesamte Platte Web Application Firewalls (WAF)-Linie an: Version 6.1 der DenyAll Web Application Firewall (WAF), DenyAll Web Services Firewall (WSF) und DenyAll Web Access Manager (WAM), ist die neueste Version der DenyAll Next...

Die Haftung des CIO und des IT-Sicherheitsbeauftragten

I.  IT-Risikomanagement Für die zivilrechtliche Haftung gelten die allgemeinen Vorschriften des Gesellschaftsrechts, hier insbesondere - als Ausgangspunkt aller Überlegungen - die Rechtspflicht zur Gewährleistung einer effizienten IT-Sicherheit, die sich ableitet aus dem Gebot zur...

1. Safe Harbor 2. EU-US Privacy Shield 3. EU - No Privacy & No Shield

So sehr ich mich auf ein Gespräch mit einem Fachanwalt für Informationstechnologierecht freue, so gedämpft bleibt meine Erwartungshaltung. ++ Glauben Sie, dass die neue Regelung ein echter Fortschritt zum Datenschutz ist? ++ Was, wenn die neue Regelung sich als ein noch größerer Coup erweist!? ++...