Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (20): Weitere Anmerkungen zum betrieblichen/behördlichen Datenschutzbeauftragten : aus der RDV 4/2015, Seite 187 bis 190
Ausgewählt und kommentiert von Prof. Peter Gola*
Interessenkonflikte des DSB Inwieweit bei einem „nebenamtlichen“ DSB auf Grund seiner sonstigen Aufgaben durch Interessenkonflikte die gesetzlich geforderte Zuverlässigkeit beeinträchtigt sein kann, beschäftigt die Aufsichtsbehörden immer wieder.
Probleme der Interessenkollision können sich auch bei der Bestellung behördlicher Datenschutzbeauftragter ergeben. Vor diese Frage sah sich der bayerische Landesbeauftragte für den Datenschutz gestellt, nachdem er feststellte, dass kleinere Gemeinden zunehmend den Hauptamtsleiter zum behördlichen DSB bestellen. Hiervon rät er jedoch mit u.a. folgen Argumenten ab (26. TB, 2014, Ziff. 2.3.11): Als selbstverständlich sieht er es zunächst an, dass die datenschutzrechtlich Verantwortlichen (z.B. der Bürgermeister) nicht zu Datenschutzbeauftragten bestellt werden, da sie sich selbst nicht wirksam kontrollieren können. Außerdem ist der Datenschutzbeauftragte der Leitung der öffentlich Stelle oder deren ständiger Vertretung bzw. in Gemeinden ggf. auch einem berufsmäßigen Gemeinderatsmitglied zu unterstellen. Ein Hauptamtsleiter sei zwar bereits in dieser Funktion dem Bürgermeister direkt unterstellt, allerdings aber auch in der Regel Interessenkonflikten ausgesetzt, da er gleichzeitig in verantwortlicher Position Aufgaben in anderen Bereichen wahrnehme. So entscheide er im Regelfall über die Einstellung, Einstufung, Beförderung oder Entlassung von Bediensteten zumindest mit. Überdies dürfte der Hauptamtsleiter häufig nicht über genügend Zeit auch noch zur Ausübung der Tätigkeit eines Datenschutzbeauftragten verfügen.
Bestellpflicht bei kleinem Webbetreiber
Keine Verpflichtung zur Bestellung eines DSB sah der Betreiber eines webbasierten Firmenverzeichnisses, da er nach seiner Ansicht keine personenbezogenen Daten erhebe oder verarbeite. Über die Webseite könnten ausschließlich Adressen und Kontaktdaten von Unternehmen recherchiert werden. Das Unabhängige Landeszentrum Datenschutz Saarland (25. TB, 2013/14, Ziff. 12.4.1) machte jedoch deutlich, dass der Personenbezug der Daten allein schon dadurch bestehen könne, dass bei einer Einzelfirma oder bei einem Einzelkaufmann gewerbliche Informationen und personenbezogene Daten des Inhabers deckungsgleich seien. Darüber hinaus können beispielsweise auch von dem Namen einer „Ein-Mann-GmbH“ Rückschlüsse auf den dahinter stehenden Gesellschafter gezogen werden.
Für die Anwendung des BDSG ist nicht entscheidend, wie groß der Anteil personenbezogener Daten an der Gesamtmenge der Firmendaten ist; ausschlaggebend für die Bewertung ist allein, dass überhaupt personenbezogene Daten erhoben und verarbeitet werden.
Folge des geschäftsmäßigen Umgang mit personenbezogenen Daten nach § 29 BDSG ist damit auch die Verpflichtung, das Verfahren der automatisierten Verarbeitung personenbezogener Daten nach § 4d Abs. 1 in Verbindung mit Abs. 4 Nr. 1 BDSG der Aufsichtsbehörde zu melden und für das Unternehmen nach § 4f Abs. 1 Satz 6 BDSG einen Beauftragten für den Datenschutz zu bestellen.
Eingeräumt wurde von der Aufsichtsbehörde, dass die erfolgte Anordnung der Bestellung eines Datenschutzbeauftragten für eine verantwortliche Stelle, die ohnehin lediglich einige wenige Mitarbeiter beschäftigt, im Hinblick auf den in § 9 Satz 2 BDSG normierten Verhältnismäßigkeitsgrundsatz auf den ersten Blick unverhältnismäßig erscheinen mag. Faktoren wie die mit der Bestellung verbundenen Kosten, die Unternehmensgröße oder die Art der betroffenen Daten, mit denen umgegangen wird, spielen bei der Bestellpflicht jedoch keine Rolle, wenn die Voraussetzungen des § 4f Abs. 1 Satz 6 BDSG vorliegen.
Trotz entsprechender Aufforderung wurde von der verantwortlichen Stelle weder das Verfahren im Sinne der Vorschrift gemeldet noch die Bestellung eines Beauftragten für den Datenschutz nachgewiesen, so dass schließlich gegenüber dem Betreiber der Webseite eine Anordnung auf Grundlage des § 38 Abs. 5 Satz 1 BDSG erlassen wurde. Erst nachdem ein Zwangsgeld fällig gestellt wurde, wurde seitens des Betreibers ein Beauftragter für den Datenschutz bestellt, welcher sodann auch das Verfahren im Sinne des § 4 Abs. 1 in Verbindung mit Abs. 4 BDSG meldete.
Keine Bestellpflicht bei „normaler“ Videoüberwachung
Bei einer Videoüberwachung ist auch unabhängig von der Anzahl der bei der Verarbeitung personenbezogener Daten beschäftigten Personen zur Wahrnehmung der zumeist erforderlichen Vorabkontrolle ein Datenschutzbeauftragter zu bestellen (vgl. Gola/Schomerus, BDSG, 12. Aufl. Rdn. 32). Das BayLDA sieht diese Verpflichtung bei „einfacher“ Videoüberwachung einer kleinen Tankstelle noch nicht, d.h. es geht beim Einsatz einer Videoüberwachung nicht generell von einer Vorabkontrollpflicht nach § 4d Abs. 5 und 6 BDSG aus. Für eine Vorabkontrollpflicht wegen des Einsatzes von Videokameras müssten weitere Umstände, z. B. besonders intensive Überwachungsformen, hinzukommen, damit von besonderen Risiken für die Rechte und Freiheiten der Betroffenen im Sinne von § 4d Abs. 5 BDSG durch die Videoüberwachung gesprochen werden könne. Beispiele nennt das LDA jedoch keine. Die fehlende Bestellung eines DSB entlässt den Tankstellenbetreiber jedoch nicht aus der Verpflichtung, die Videoüberwachung in einem Verfahrensverzeichnis zu dokumentieren und einsehbar zu halten (§ 4g Abs. 2 BDSG). Das BayLDA äußert sich hierzu zu dem vorliegenden Fall nicht. Die von der BfDI Niedersachsen (21. Tätigkeitsbericht, 2011/12 • 2. Datenschutz in der Wirtschaft, S. 75) gemachte Erfahrung zeigt auf, dass es hieran in kleineren Betrieben durchweg fehlt, wobei hinzukomme, dass der Mehrzahl der Unternehmen die Vorschriften des BDSG nicht einmal bekannt waren. Wünschenswert wäre es nach Ansicht der NdsBfDI, bei der Gründung von Unternehmen zum Beispiel bei der Gewerbeanmeldung oder auch bei Schulungen für Existenzgründer auf die entsprechenden Vorschriften hinzuweisen.
Widerruf der Bestellung bei langfristiger Erkrankung
Erkrankt der DSB längerfristig, so besteht zweifelsohne Handlungsbedarf der verantwortlichen Stelle. Die Lösung wird zunächst regelmäßig in der Bestellung eines befristet berufenen Stellvertreters (BayLDA, TB 2013/14, Ziff. 4.3) liegen. Eine über viele Monate andauernde langfristige Erkrankung mit nicht absehbarem Rückkehrzeitpunkt kann jedoch die zuverlässige Aufgabenerfüllung des Datenschutzbeauftragten im Sinne von § 4f Abs. 2 Satz 1 BDSG ausschließen, so dass für die verantwortliche Stelle ein Widerruf der Bestellung aus wichtigem Grund und eine Neubestellung einer anderen Person geboten sein kann.
Einsicht in Personalakten
Bestätigt wird durch das BayLDA (TB 2013/14, Ziff. 4.4), dass auch Personalakten von dem betrieblichen Datenschutzbeauftragten im Rahmen seiner Kontrollbefugnisse auf ihre korrekte Führung überprüft werden können. Das gilt auch für behördliche DSB (Gola/Schomerus, BDSG, 12. Aufl., § 4g Rdn. 10f). Das LDA verweist insoweit auf eine Entscheidung des BAG (RDV 1990, 184), nach der die Revisionsstellen einer Sparkasse im Rahmen ihres Prüfungsauftrags als befugt angesehen werden, im Einzelfall Personalakten stichprobenartig zur Nachprüfung der Personalaufwendungen einzusehen, d.h. auch hier gilt der Grundsatz der Verhältnismäßigkeit, d.h. der Beauftragte nimmt Stichproben vor oder wird anlassbezogen tätig. Das BAG weist auch darauf hin, dass sofern besonders vertrauliche Informationen in der Personalakte enthalten sind, besondere Vorkehrungen erforderlich sind, um den besonderen Schutz für sensible Daten zu gewährleisten. Konkret bedeutet dies: Enthalten die Personalakten Gesundheitszeugnisse, so kann des DSB die Tatsache selbst auf ihre Korrektheit prüfen, nicht aber vom Inhalt des Vorgangs Kenntnis nehmen.
Auditierung der DSB-Tätigkeit
Das BayLDA (TB 2013/14, Ziff. 4.1). betont zur derzeitigen Rechtslage zutreffend, dass sich ein Datenschutzbeauftragter anlässlich der Auditierung seines Unternehmens durch externe Prüfer nicht uneingeschränkt dem Auditierungsverfahren unterziehen lassen muss. Aufgrund der besonderen Rechtsstellung des Datenschutzbeauftragten nach § 4f BDSG, insbesondere der weisungsfreien Ausübung der Fachkunde auf dem Gebiet des Datenschutzes gemäß § 4f Abs. 3 Satz 2 BDSG und der besonderen Verschwiegenheitspflicht gemäß § 4f Abs. 4 BDSG sei eine Auditierung seiner Tätigkeit nur in allgemeiner Form möglich. Ausgeschlossen sein muss u.a. die Möglichkeit einer inhaltlichen Kenntnisnahme der beim Datenschutzbeauftragten anhängigen oder bearbeiteten Eingaben und Beschwerden.
Mangelhafte Datenschutzorganisation einer Gewerkschaft
Der Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit über die Überprüfung der Datenschutzorganisation der Dienstleistungsgewerkschaft Ver.di (BlnBDI 2014, Ziff. 6.6) zeigt ein Beispiel dafür, dass das, was man von anderen fordert, für sich selbst nicht gelten muss. Aus den festgestellten organisatorischen und strukturellen Mängeln seien zwei berichtet.
Gerügt wurde, dass es alleine einem betrieblichen Datenschutzbeauftragten nebst einem Sachbearbeiter in der Zentrale in Berlin übertragen war, auf den datenschutzkorrekten Umgang mit den Daten von über zwei Millionen Mitgliedern und mehreren tausend Beschäftigten in einer Vielzahl von Geschäftsstellen „hinzuwirken“. Als erforderlich angesehen wurde eine ergänzende dezentrale Organisation mit „Vertrauensleuten“ vor Ort bei den Landesverbänden.
Eine weitere Beanstandung betraf die Tatsache, dass allen Beschäftigten, die mit der Mitgliederbetreuung betreut sind, ein unbeschränkter Lesezugriff zur Mitgliederdatei eingeräumt ist.
Erreicht werden sollte dadurch, dass Mitgliedern unabhängig von deren originär zuständiger Geschäftsstelle bundesweit ein allgemeiner Service geboten werden könne. Der legitime Servicegedanke befreit nach dem BlnBDI nicht davon, durch geeignete Maßnahmen missbräuchlichen Datenabrufen vorzubeugen. Dies kann durch die Protokollierung aller getätigten Leseabrufe und regelmäßige Stichprobenkontrollen durch den betrieblichen Datenschutzbeauftragten geschehen.
Zum Schluss ein Fall, in dem ein DSB wohl zu viel Eifer an den Tag legte.
Amtsanmaßung eines selbstständigen Datenschutzbeauftragten
Der Fall eines selbständigen Datenschutzbeauftragten, der in seiner Aufgabenwahrnehmung weit über das Ziel hinausgeschossen ist, beschäftigte das Unabhängige Datenschutzzentrum Saarland (23. TB, 2013/14, Ziff. 2.4.2). Anlass war der Anruf eines sehr erbosten Einzelhändlers, der sich über das seines Erachtens ungerechtfertigte und ungewöhnliche Vorgehen eines angeblichen Mitarbeiters der Aufsichtsbehörde erregte. Der Anrufer erklärte, er habe hinsichtlich der in seinem Laden angebrachten Videoüberwachungsmaßnahme und wegen des Impressums seiner Webseite mehrfach E-Mails von einem Mitarbeiter der Datenschutzaufsicht erhalten, in denen Bußgelder und Abmahnungen angedroht würden.
Da das Datenschutzzentrum bislang mit dem Ladeninhaber nicht in Kontakt gestanden hatte, geschweige denn ein Verwaltungsverfahren gegen diesen führte, wurde der Ladeninhaber um Zurverfügungstellung der besagten E-Mails gebeten. Aus diesen ging hervor, dass ein selbstständiger Datenschutzbeauftragter diese E-Mails an den Ladeninhaber adressierte und darin, entsprechend der Schilderung des Ladeninhabers, Bußgelder androhte. Zudem vermittelte der Verfasser der E-Mails durch seine Wortwahl bewusst den Eindruck, dass er im gesetzlichen Auftrag handelt und einer staatlichen Stelle Meldung über das Verhalten des Ladeninhabers erstatten müsse.
Auf Grundlage dieser E-Mails wurde der Vorgang wegen Verdachts der Amtsanmaßung an die Staatsanwaltschaft weitergegeben. Die Staatsanwaltschaft folgte der rechtlichen Bewertung des Sachverhalts durch das Datenschutzzentrum und beantragte im Hinblick auf die im Raum stehende Amtsanmaßung den Erlass eines Strafbefehls.
Das zuständige Amtsgericht beraumte die Hauptverhandlung an, um dem Datenschutzbeauftragten Gelegenheit zur Stellungnahme zu geben. Das Gericht sah jedoch abschließend den Tatvorwurf der Amtsanmaßung bestätigt und verurteilte den Datenschutzbeauftragten zu einer Geldstrafe. Der Datenschutzbeauftragte legte gegen dieses Urteil Berufung ein, über dessen Ergebnis der Tätigkeitsbericht nicht mehr vermeldet.
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.