Bericht : Kommentar zu Stephan Pötters, Peter Gola: Wer ist datenschutzrechtlich „Verantwortlicher“ im Unternehmen? Betriebsrat und andere selbstständige Einheiten als Adressaten des Datenschutzrechts, RDV 6/2017 : aus der RDV 1/2018, Seite 55 bis 56
In ihrem Aufsatz gelangen die Autoren bezüglich der Definition von „Verantwortlicher“ in Art. 4 Nr. 7 DS-GVO zu der Feststellung: „Im Ergebnis ist also (nur) jede juristische Person Verantwortlicher, das Datenschutzrecht ist sozusagen gesellschaftsrechtsakzessorisch. […] Selbstständig agierende Stellen innerhalb einer juristische Person […] sind hingegen lediglich als Teil des Verantwortlichen Adressat des Datenschutzrechts, auch wenn sie selbst über Zwecke und Mittel der Datenverarbeitung entscheiden“ (RDV 6/2017, S. 281). Dies geht vollkommen an Art. 4 Nr. 7 DS-GVO vorbei. Denn das entscheidende Kriterium für die Bestimmung eines Verantwortlichen ist die selbständige Entscheidung über Zwecke und Mittel der Datenverarbeitung. Dieses Kriterium allein ist die Bedingung, die erfüllt sein muss, um Verantwortlicher im Sinne der DS-GVO zu sein. Und diese Bedingung kann eine juristische Person, aber eben auch eine natürliche Person oder eine Behörde oder eine Einrichtung oder irgendeine andere Stelle erfüllen. Wenn also eine natürliche Person (etwa Beschäftigte eines Unternehmens) oder auch eine Stelle (z.B. Niederlassung, Abteilung oder Betriebsrat) „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art 4 Nr. 7 DS-GVO), ist sie Verantwortlicher. In Art. 4 Nr. 7 DS-GVO ist keinerlei Ausnahme formuliert für den Fall, dass eine natürliche Person oder eine Stelle als Teil einer wie auch immer verfassten Organisation agiert.
Eine Ausnahme findet sich nur in Art. 29 DS-GVO. Danach darf „jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, […] diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten“. Natürliche Personen (und auch Stellen, die ja von einer natürlichen Person repräsentiert werden), die als Teile einer juristischen Person personenbezogene Daten verarbeiten, dürfen dies nur weisungsgemäß tun. Wenn sie das tun, entscheiden sie nicht über Zwecke und Mittel der Datenverarbeitung und sind somit auch keine Verantwortlichen im Sinne der DS-GVO; soweit die Ausnahme.
Wenn aber Beschäftigte oder Stellen innerhalb eines Unternehmens ohne oder gegen Weisung der Unternehmensleitung personenbezogene Daten verarbeiten und damit die vorgegebene Zweckbindung übertreten, entscheiden sie eigenständig über Zwecke und auch Mittel (auch das Nutzen von Ressourcen der Organisation ist dann eine eigenständige Entscheidung für ein Mittel) und werden dadurch gemäß Art. 4 Nr. 7 DS-GVO selbst zu Verantwortlichen, mit allen sich daraus ergebenden Konsequenzen.[1] Damit sind Beschäftigte gesetzlich in die Pflicht genommen, sich bei der Datenverarbeitung an die im Unternehmen geltenden Vorgaben zu halten, und es ist klargestellt, dass ein Missachten solcher Vorgaben auch gesetzliche Konsequenzen hat. Für die oberste Leitung einer Organisation ist Art. 29 DS-GVO die Verpflichtung, ihre Rolle als Verantwortlicher so auszufüllen, dass alle Organisationsteile, bis hin zu einzelnen Beschäftigten, klare Vorgaben zur Verarbeitung personenbezogener Daten erhalten. Diese Verpflichtung ist ein wichtiger Aspekt der in Kapitel IV der DS-GVO umrissenen Anforderung, eine sorgfältig geplante Datenschutzorganisation (ein Datenschutzmanagement) wirksam zu implementieren. Die Schadensersatz- und Haftungsvorschriften in Art. 82 und 83 DS-GVO, die auf Unternehmen in ihrer Gänze zielen, setzen den Anreiz, das Datenschutzmanagement von der obersten Leitungsebene einer Organisation her zu organisieren und dies eben nicht einzelnen Organisationsteilen zu überlassen.
Das bedeutet auch, die mit Verweis auf Art. 3 Abs. 1 DS-GVO erfolgte Aussage in dem hier kommentierten Aufsatz: „Wenn also z.B. ein amerikanisches Unternehmen Standorte in London und Frankfurt hat, sind nicht diese Niederlassungen datenschutzrechtlich verantwortlich, sondern nur die amerikanische Gesellschaft“ (RDV6/2017, S. 280), ist nur korrekt, wenn man ergänzt: sofern nicht diese amerikanischen Gesellschaft so organisiert ist, dass ihre Niederlassungen eigenständig über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden (dann sind die Niederlassungen Verantwortliche), freilich mit dem Risiko, dennoch für Datenschutzverstöße einer Niederlassung gesamtgesellschaftlich (mit) in der Haftung zu stehen. Und das wird mutmaßlich regelmäßig der Anlass für Muttergesellschaften sein, Tochtergesellschaften und Niederlassungen gerade nicht die Verantwortung über Verarbeitungen personenbezogener Daten zu überlassen, sondern diese Verantwortung selbst wahrzunehmen und durch eine von oben implementierte und gesteuerte Datenschutzorganisation abzusichern, sodass alle mit der Datenverarbeitung befassten Personen in den einzelnen Organisationsteilen diese Verarbeitung gemäß Art. 29 DS-GVO ausschließlich weisungsgemäß vornehmen, also im Sinne und unter Kontrolle des letztlich Haftenden und gegebenenfalls Schadenersatzpflichtigen.
Art. 29 DS-GVO gewährleistet also einerseits, dass der Verantwortliche Herr über die unter seiner Verantwortung vorgenommene Verarbeitung personenbezogener Daten bleibt, auch wenn er dazu Erfüllungsgehilfen einsetzt. Andererseits sichert Art. 29 DSGVO diese Erfüllungsgehilfen ab, da sie, solange sie personenbezogene Daten gemäß den Weisungen eines Verantwortlichen verarbeiten, selber nicht Verantwortliche werden und somit nicht für mögliche durch diese weisungsgebundene Verarbeitung verursachte Datenschutzverstöße in die Haftung genommen werden können. Letzteres ergibt sich auch daraus, dass ein Auftragsverarbeiter nur dann haftet, wenn er gegen die an ihn adressierten Anforderungen der DS-GVO verstößt oder „unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“ (Art. 82 Abs. 2 Satz 2 DSGVO).
Wenn nun ein Betriebsrat nicht Verantwortlicher im Sinne der DS-GVO wäre, sondern statt seiner das Unternehmen als die juristische Person, zu der der Betriebsrat gehört, stellte sich die Frage, wie in diesem Verhältnis mit Art. 29 DS-GVO umzugehen ist. Denn wendete man Art. 29 DS-GVO auf solche einem datenschutzrechtlich Verantwortlichen unterstellten Betriebsräte an, die zweifelsfrei Zugang zu personenbezogenen Daten haben und diese auch verarbeiten, dürften diese Betriebsräte dies nur gemäß den Weisungen des Verantwortlichen, also der juristischen Person, also der diese juristische Person repräsentierenden Unternehmensleitung tun. Damit würden § 78 und § 80 Abs. 2 Satz 2 BetrVG teilweise durch die DS-GVO verdrängt, was zu einer nicht unerheblichen Beschränkung der Betriebsratsarbeit führte. Der mögliche Einwand gegen die Anwendbarkeit des Art. 29 DS-GVO auf Betriebsräte, nämlich dass ein Betriebsrat nicht der Unternehmensleitung unterstellt ist, greift nicht. Denn ein Betriebsrat ist unbestritten Teil des Unternehmens, und wenn man annimmt, die juristische Person Unternehmen ist der datenschutzrechtlich Verantwortliche für alle zu ihr gehörenden Teile, dann ist auch der Betriebsrat datenschutzrechtlich dieser juristischen Person unterstellt. Und der Repräsentant eines Unternehmens ist nun mal die Geschäftsführung, nicht der Betriebsrat. Doch hypothetisch angenommen, der Betriebsrat ist nicht Verantwortlicher und er unterfällt auch nicht der Weisung des Verantwortlichen gemäß Art. 29 DS-GVO: Das schüfe für Unternehmen mit Betriebsrat die Situation, Verantwortliche für Datenverarbeitungen zu sein, über die sie nicht bestimmen können, für die sie aber haftbar und gegebenenfalls schadenersatzpflichtig sind. Und Betriebsräte hätten einen Freibrief, personenbezogene Daten eigenverantwortlich verarbeiten zu dürfen, ohne an irgendwelche Datenschutzstandards gebunden zu sein und ohne für Datenschutzverstöße in die Haftung genommen werden zu können. Denn die Regelungen der DS-GVO, inklusive der Pflichten zum Ergreifen technischer und organisatorischer Maßnahmen zum Schutz der Rechte und Freiheiten Betroffener und zur Datensicherheit sowie der Bestimmungen zu Haftung und Schadenersatz, sind ausschließlich adressiert an Verantwortliche und Auftragsverarbeiter, was Betriebsräte aber beides nicht wären. Beides widerspräche der Ausrichtung der DS-GVO, die, wie oben dargelegt, einerseits darauf abzielt, diejenigen, die über die Verarbeitung personenbezogener Daten bestimmen, voll in die Verantwortung zu nehmen, und andererseits Verantwortlichen die Grundlage liefert, die uneingeschränkte Kontrolle über Datenverarbeitungen ausüben zu können, für die sie gegebenenfalls haften.
Da jedoch Betriebsräte sinnvollerweise allein oder gemeinsam mit der Unternehmensleitung (in Rahmen von Betriebsvereinbarungen) über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden und weisungsfrei Datenverarbeitungen vornehmen, erfüllen sie ohnehin die maßgebliche Bedingung in Art. 4 Nr. 7 DSGVO für die Bestimmung von Verantwortlichen.
Volker Caumanns
[1] Entsprechend regelt Art. 28 Abs. 10, dass ein Auftragsverarbeiter Verantwortlicher wird, wenn er, gegen die Regelungen der DS-GVO verstoßend, Zwecke und Mittel der Verarbeitung bestimmt, da der Auftragsverarbeiter dann außerhalb der Weisungen des Verantwortlichen agiert. Schon jetzt können auch einzelne Beschäftigte eines Unternehmens datenschutzrechtlich Verantwortliche sein, wie Beispiele von Bußgeldern gegen Beschäftigte wegen Versendung offener E-Mail-Verteiler durch das Bayerische Landesamt für Datenschutzaufsicht zeigen (6. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht für die Jahre 2013 und 2014, Nr. 13.1, S. 85).