Der Datenschutzbeauftragte im Lichte des Verbandssanktionengesetzes

Datenschutzbeauftragte gehören nach dem geplanten Verbandssanktionengesetz (VerSanG) zu den sogenannten Leitungspersonen. Ihre Handlungen können eine Verbandshaftung auslösen. Die Hintergründe und Regelungen im Einzelnen beleuchtet dieser Beitrag.

Das VerSanG regelt künftig die Haftung von Unternehmen für Straftaten, die aus Verbänden heraus begangen werden. Was regelt das Verbandssanktionengesetz? – eine Übersicht. Für Taten, durch die Verbandspflichten verletzt worden sind oder durch die der Verband bereichert worden ist oder werden sollte, soll – neben der handelnden Person – der Verband haften.

Damit eine solche Straftat die Verbandshaftung auslöst, muss allerdings eine Leitungsperson involviert sein. Diese muss entweder selbst eine Verbandstat begangen haben. Oder sie muss angemessene Vorkehrungen unterlassen haben, die die Verbandstat einer sonstigen Person verhindert oder wesentlich erschwert hätten. Insoweit sieht das VerSanG zunächst nichts bahnbrechend Neues vor: Auch unter dem bisherigen Haftungsregime des Ordnungswidrigkeitenrechts haftet das Unternehmen in diesen Fällen.

Angesichts der doch zum Teil drastischen Bußgeldsteigerungen nach dem VerSanG und der geplanten Einführung des Legalitätsprinzips treffen das Unternehmen die Folgen der Haftung künftig jedoch ungleich härter.

Wer ist Leitungsperson?

Zu den Leitungspersonen gehören naturgemäß die Mitglieder von Organen, Vorstände, vertretungsberechtigte Gesellschafter, Generalbevollmächtigte.

Der Entwurf des VerSanG sieht in § 2 Abs. 1 Nr. 2 e) außerdem vor, dass als Leitungsperson auch jede „sonstige Person“ erfasst ist, die für die Leitung des Betriebs oder Unternehmens verantwortlich handelt. Dazu gehört auch die Überwachung der Geschäftsführung oder die sonstige Ausübung von Kontrollbefugnissen in leitender Stellung. Maßgeblich hierfür ist die Ausübung eines selbständigen Pflichtenkreises aus den Bereichen „Leitung“ oder „Überwachung“.

Der Entwurf benennt als Beispiele – je nach Ausgestaltung des übernommenen Verantwortungsbereichs – Rechnungsprüfer und die „mit Weisungsbefugnissen“ ausgestatteten Umwelt- oder Datenschutzbeauftragten, sowie die Compliance-Beauftragten und Leiter der Innenrevision.

Kontrollfunktion des Datenschutzbeauftragten

Die Einbeziehung von Datenschutzbeauftragten mag auf den ersten Blick überraschen. Stellt man aber darauf ab, dass dem Datenschutzbeauftragten nach Art. 39 DSGVO eine umfangreiche Beratungs- und Kontrollfunktion der Geschäftsführung bei datenschutzrechtlichen Themen zukommt, verwundert die Einbindung nicht mehr.

Zudem sind Datenschutzbeauftragte frei in ihrer Amtsausübung und grundsätzlich immun gegenüber Beeinflussungen der verantwortlichen Stelle. Damit kommt ihnen eine sehr starke Position gegenüber dem Verantwortlichen zu. Der Verband selbst ist wiederrum als Verantwortlicher nach Art. 4 Nr. 7 DSGVO zu klassifizieren, mit der Folge, dass ihn eine ganze Reihe von Pflichten trifft [vgl. hierzu Beitrag von Veil bei CR – Online]

Was spricht gegen den Datenschutzbeauftragten als Leitungsperson?

Andererseits gibt es womöglich auch Argumente gegen eine Einbindung von Datenschutzbeauftragten in das VerSanG: So fordert die Regierungsbegründung, dass die aufgezählten Personen mit Weisungsbefugnissen ausgestattet sein müssen (RegE, S. 75).

Der Erwägungsgrund Nr. 77 zur DSGVO führt aus, dass der Datenschutzbeauftragte dem Verantwortlichen hinsichtlich der Durchführung geeigneter Maßnahmen und Einhaltung der Anforderungen der DSGVO Hinweise gibt. Von Weisungen ist nicht die Rede. Die Literatur geht zudem davon aus, dass der Datenschutzbeauftragte Verbesserungen anregen, aber nicht selbstständig umsetzen und Weisungen erteilen kann (Niklas/Faas, Der DSB nach der Datenschutz-Grundverordnung, NZA 2017, 1091 ff.).

In vielen – zumeist größeren – Unternehmen wird daher mittlerweile zwischen der beratenden Funktion des Datenschutzbeauftragten und der umsetzenden Stelle unterschieden. So gibt es neben dem Datenschutzbeauftragten immer häufiger auch eine „Stabstelle Datenschutz“ oder einen „Datenschutzkoordinator“ bzw. „Datenschutzmanager“.

In nicht wenigen Betrieben stehen dem Datenschutzbeauftragten faktisch jedoch Weisungsbefugnisse zu, die ihm in seinen Bereich zugewiesen werden. Unabhängig von dem gesetzlichen Leitbild der DSGVO, die eigentlich keine Weisungsbefugnisse vorsieht, übt der Datenschutzbeauftragte diese häufig dennoch aus. Für die Einordnung als Leitungsperson wird dies letztlich ausschlaggebend sein.

Unternehmen werden bei der Ausgestaltung der Rolle des Datenschutzbeauftragten in Zukunft daher konkrete Erwägungen anstellen müssen. Da der Verband für jedwede Art von Verbandstaten der Leitungspersonen haftet, geht damit ein erhebliches Risiko für den Verband einher.

Strafbarkeitsrisiken des Datenschutzbeauftragten

Anders als man möglicherweise intuitiv denken mag, sind Verbandstaten nicht auf bestimmte wirtschaftsnahe Delikte beschränkt. Sollte der Datenschutzbeauftragte beispielsweise also unberechtigt auf Daten zugreifen (§ 202a StGB), Daten unbefugt verändern (§ 303a StGB) oder auf Daten zugreifen, die dem Fernmeldegeheimnis unterliegen (§ 206 StGB) würde das Unternehmen hierfür haften.

Durch die Erteilung einer (faktischen) Weisungsbefugnis kann sich der Datenschutzbeauftragte auch nach § 42 BDSG strafbar machen. Bei diesem Delikt handelt es sich um die zentrale Vorschrift des Datenschutzstrafrechts. Strafbar macht sich, wer unbefugt Daten verarbeitet und mit einer besonderen Bereicherungs- oder Schädigungsabsicht handelt. Denkbar sind aber auch Straftaten, die nichts mit dem Bereich „Daten“ zu tun haben, etwa Korruption.

Das größte Haftungsrisiko wird aber für das Unternehmen dadurch begründet, dass der Datenschutzbeauftragte als Leitungsperson Aufsichtspflichten im Sinne des VerSanG zu erfüllen hat. Er muss sich also nicht selbst strafbar machen. Es genügt vielmehr, wenn ein Angestellter eine Verbandstat begeht. Wenn ein Mitarbeiter im Vertrieb z.B. Datensätze kauft, ohne dass die die Betroffenen hierzu ihre Einwilligung erteilen, ist ein Verbandssanktionenverfahren denkbar. Hätte der Datenschutzbeauftragte diese Tat durch angemessene Vorkehrungen verhindern oder wesentlich erschweren können, haftet das Unternehmen. Es kommt einzig darauf an, ob objektiv eine Aufsichtspflichtverletzung vorliegt. Unerheblich ist, ob sie dem Datenschutzbeauftragten auch vorwerfbar ist.

Hausgemachte Probleme durch zu viele Leitungspersonen?

Dieser Umstand offenbart jedoch weniger ein Problem, das speziell auf der Einordnung des Datenschutzbeauftragten als Leitungsperson beruht. Vielmehr ist dies die Zwickmühle, in die Unternehmen durch das VerSanG hinsichtlich der Haftung für Aufsichtspflichtverletzungen im Allgemeinen gedrängt werden. Um die Haftung für Aufsichtspflichtverletzungen zu verhindern, ist eine gute Organisation der Aufsicht gefragt. Je nach Größe des Unternehmens muss dieses dafür Sorge tragen, dass die Pflichten auf verschiedene Personen so verteilt werden, dass die einzelne Aufsichtsperson den Überblick über ihren Bereich behalten kann. Doch je mehr Leitungspersonen ein Unternehmen hat, desto mehr haftungsverursachende Verbandstaten sind möglich.

Fazit

Im Rahmen dieser Gratwanderung sollte genau abgewogen werden, ob wirklich der Datenschutzbeauftragte mit Weisungsbefugnissen ausgestattet werden sollte. Dafür mag seine Expertise im Bereich des Datenschutzes sprechen. Dagegen spricht, dass damit ein Mehr an Aufsichtspflichten einhergeht.

Ab einer bestimmten Unternehmensgröße wird es daher mehr Sinn machen, die Beratungsfunktion des Datenschutzbeauftragten von der Leitungs- und Umsetzungsfunktion zu trennen und zwei verschiedene Personen für diese Funktionen zu benennen.

Vermieden werden muss in jedem Fall, dass diese Weisungsbefugnis „unkontrolliert“ begründet wird. Ein Datenschutzbeauftragter, der faktisch über eine Weisungsbefugnis verfügt, aber nicht die Kapazitäten hat, seine Überwachungsfunktion auszuüben, wird unter dem Regime des VerSanG die schlechteste Alternative sein.