DA+

Der Datenschutzbeauftragte – Anwalt, Berater, Haftungsobjekt?

Lesezeit 19 Min.

Datenschutzbeauftragte (DSB) sind seit Anwendbarkeit der DS-GVO begehrte Dienstleister. Jedoch existiert, abgesehen von den Anforderungen der DS-GVO an die Qualifikationen, keine offizielle staatlich gesteuerte oder überwachte Ausbildung. In der Praxis bieten die Dienstleistung als DSB daher Personen mit den verschiedensten beruflichen Hintergründen an. Seit dem 25. Mai 2018 war ein exponentielles Wachstum der Anzahl an Datenschutzexperten zu verzeichnen. Auch viele Rechtsanwälte sind als DSB tätig. Dies lässt sich eventuell auch damit begründen, dass sich durch die DS-GVO die Aufgaben von DSB mehr und mehr in den Bereich der rechtlichen Beratung entwickelt haben.

So obliegt dem DSB nach Art. 39 DS-GVO die Aufgabe der Unterrichtung und Beratung gegenüber Unternehmen und deren Beschäftigten hinsichtlich ihrer Rechtspflichten nach der DS-GVO und sonstigen geltenden Datenschutzvorschriften. Auch können sich betroffene Personen nach Art. 38 Abs. 4 DS-GVO mit allen Fragen, welche die Verarbeitung ihrer personenbezogenen Daten und die Wahrung ihrer Rechte nach der DS-GVO betreffen, an den DSB wenden. Möchte sich ein als Rechtsanwalt zugelassener Jurist zum DSB benennen lassen, muss er dabei jedoch eine Reihe von Aspekten beachten.

Mindestaufgaben des Datenschutzbeauftragten nach Art. 39 Abs. 1 DS-GVO

Die Kernaufgaben des DSB sind gesetzlich vorgeschrieben und zwar über die DS-GVO unmittelbar bindend in jedem Mitgliedstaat der Europäischen Union. Die Aufgaben in Art. 39 Abs. 1 DS-GVO enthalten einen nicht national-staatlich reduzierbaren Mindestaufgabenkatalog. Der Erfüllung der Aufgaben ist der risikobasierte Ansatz der DS-GVO zugrunde gelegt. Danach muss der DSB dem mit der Verarbeitung verbundenen Risiko gebührend Rechnung tragen (Art. 39 Abs. 2 DS-GVO).

1. Unterrichtung und Beratung

Nach Art. 39 Abs. 1 lit. a DS-GVO hat der DSB die Pflicht zur „Unterrichtung“ und „Beratung“. Die Begriffe der Unterrichtung und Beratung haben grundsätzlich eine unterschiedliche Zielrichtung. „Unterrichtung“ meint insbesondere, den Verantwortlichen und seine Beschäftigten allgemein über datenschutzrechtlich relevante Vorgänge zu informieren und sie für diese zu sensibilisieren. Dies umfasst allgemeine Mitteilungen und Hinweise zu relevanten rechtlichen Themen und Entwicklungen, beispielweise neuen gesetzlichen Vorgaben und neuer Rechtsprechung, aber auch neuen technischen Entwicklungen, die zu Datenschutzrisiken führen können oder umgekehrt zusätzliche Schutzinstrumente eröffnen. Die Aufgabe der „Beratung“ bezieht sich demgegenüber auf eine konkrete Arbeitssituation und eine damit einhergehende datenschutzrechtliche Frage- oder Problemstellung. Ziel der Unterrichtung und Beratung ist es, dem Verantwortlichen oder Auftragsverarbeiter sowie den konkret tätigen Mitarbeitern zu vermitteln, was bei einer Datenverarbeitung nach den einschlägigen Datenschutzbestimmungen zu beachten ist, sodass im Ergebnis eine datenschutzkonforme Handhabung durch die betreffende Stelle möglich wird.

2. Überwachung

Der DSB berät und unterrichtet allerdings nicht nur; ihm kommt auch eine Überwachungsfunktion zu. So überträgt Art. 39 Abs. 1 lit. b DS-GVO dem DSB die Pflicht zur Überwachung der Einhaltung der DS-GVO. Erwägungsgrund 97 DS-GVO gibt zudem vor, dass „der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von weiteren Personen unterstützt werden“ sollte. Angesprochen ist mit dieser Person der DSB. Überwachung der Einhaltung bedeutet jedoch wohl nicht, dass der DSB im Fall der Nichteinhaltung der DS-GVO-Vorgaben durch den Verantwortlichen oder Auftragsverarbeiter persönlich zur Verantwortung gezogen werden kann.

3. Zusammenarbeit mit und Anlaufstelle für Aufsichtsbehörden

Zur Erfüllung seiner Aufgaben ist der DSB verpflichtet, mit den Aufsichtsbehörden gemäß Art. 39 Abs. 1 lit. d DS-GVO zusammenzuarbeiten. Wie diese Pflicht in der Praxis konkret ausgestaltet ist, bleibt jedoch unklar. Es wird aber davon ausgegangen, dass der DSB zumindest den Zugang der Aufsichtsbehörden zu Dokumenten und Informationen zur Erfüllung ihrer Aufgaben gewährleistet, um die Ausübung ihrer Untersuchungs-, Abhilfe-, Genehmigungs- und beratenden Befugnisse zu erleichtern. Die Kooperationspflicht umfasst hingegen nicht, Datenschutzverstößen sofort gegenüber der Aussichtsbehörde zu melden. Die Pflicht der Zusammenarbeit hat also auch Grenzen, und man wird den DSB nicht als verlängerten Arm der Aufsichtsbehörde ansehen können. Rein bildlich gesprochen, steht er im Lager des Verantwortlichen oder Auftragsverarbeiters. Nach Art. 39 Abs. 1 lit. e DS-GVO fungiert der DSB darüber hinaus als Anlaufstelle (Mittler) der Aufsichtsbehörde. Die Behörde ist befugt, unmittelbar gezielt Auskünfte von dem DSB als fachkundiger Person einzuholen, ohne erst den Weg über den Verantwortlichen bzw. den Auftragsverarbeiter und die Geschäftsleitung einschlagen zu müssen.

Übernahme weiterer Aufgaben

In der Praxis endet das von dem DSB abgeforderte Pflichtenkontingent jedoch nicht an dieser Stelle. Vielfach wird er mit weiteren Aufgaben betraut. Eine Delegation weiterer, über Art. 39 Abs. 1 DS-GVO hinausgehender Aufgaben, kann durch Verantwortliche und Auftragsverarbeiter – nicht aber die Mitgliedsstaaten, da Art. 39 DS-GVO keine Öffnungsklausel enthält – erfolgen. Die Mitgliedsstaaten sind nach Art. 37 Abs. 4 DS-GVO lediglich befugt, die Pflicht für die Benennung eines DSB um weitere Fallgestaltungen zu ergänzen, insoweit sind sie aber auch an die Vorschriften des Art. 37, 38 und 39 DS-GVO gebunden. Die Aufgabenübertragung muss deshalb (dienst- bzw. arbeitsvertraglich) durch den Verantwortlichen bzw. den Auftragsverarbeiter, also etwa das Unternehmen oder die Behörde, erfolgen. Der Gesetzeswortlaut des Art. 39 Abs. 1 DS-GVO („zumindest“) lässt jedenfalls den Schluss zu, dass dem DSB weitere Aufgaben übertragen werden können. Verdeutlicht wird die nicht abschließende Aufgabenzuweisung mit der Erwähnung des DSB im Zusammenhang mit internen verbindlichen Datenschutzregeln in Art. 47 Abs. 2 lit. h DS-GVO und der in Erwägungsgrund 77 DS-GVO erwähnten Hinweisfunktion.

Die Zulässigkeit der Übernahme weiterer Aufgaben steht jedoch unter der Voraussetzung, dass die ordnungsgemäße Erfüllung der nach Art. 39 Abs. 1 lit. a bis e DS-GVO in jedem Fall wahrzunehmenden Aufgaben und die Stellung des DSB durch die Übernahme nicht beeinträchtigt werden. Auch müssen die dazu erforderlichen zusätzlichen Ressourcen zur Verfügung gestellt werden (Art. 38 Abs. 2 DS-GVO). Eine weitere Bedingung ist, dass diese zusätzlichen Aufgaben nicht zu einem Interessenkonflikt (Art. 38 Abs. 6 S. 2 DS-GVO), also einem Missverhältnis zwischen Durchführungsverantwortung einerseits und Kontrollpflicht andererseits, führen. Die Problematik des Interessenkonflikts zwischen Durchführungs- und Überwachungsverantwortung manifestiert sich unter anderem bei der Frage, ob der DSB in einer aktiven Rolle an der Datenschutz-Folgeabschätzung mitwirken darf.

1. Die Funktion des Datenschutzbeauftragten bei einer Datenschutz-Folgeabschätzung

Gegen die Zulässigkeit der Erstellung einer Datenschutz-Folgeabschätzung (DSFA) als alleinige Aufgabe des DSB im Sinne des Art. 39 DS-GVO spricht, dass eine solche Aufgabenzuweisung aufgrund des damit verbundenen Arbeits- und Zeitaufwandes zu einer Beeinträchtigung der ordnungsgemäßen Erfüllung der Pflichtaufgaben führen könnte. Darüber hinaus ist die DSFA ausdrücklich dem Verantwortlichen zugewiesen. Unabdingbar ist danach, dass der DSB die ordnungsgemäße Durchführung der in Art. 35 DS-GVO geregelten DSFA überwacht. Die Wahrnehmung als Aufgabe würde folglich zu einem Interessenkonflikt führen, in welchem sich der DSB selbst überwachen würde. Neben der Überwachungspflicht obliegt dem DSB jedoch eine Pflicht zur aktiven Beratung. Der Verantwortliche hat dafür Sorge zu tragen, dass der DSB bei der DSFA zu Rate gezogen wird (Art. 35 Abs. 2 DS-GVO). Art. 39 Abs. 1 lit. c DS-GVO überträgt des Weiteren dem DSB die Pflicht, „Beratung – auf Anfrage – im Zusammenhang mit der [DSFA] und Überwachung ihrer Durchführung gemäß Art. 35 DS-GVO“ zu leisten.

Mit Blick auf die Pflicht zur frühzeitigen Einbindung des DSB (Art. 38 Abs. 1 DS-GVO), seine Hinweisfunktion nach Erwägungsgrund 77 DS-GVO und die auch nach Art. 39 Abs. 2 DS-GVO gebotene Risikoorientierung, erscheint eine Beteiligung des DSB schon bei der Ermittlung der Notwendigkeit einer DSFA sinnvoll. Wo in der Praxis genau die Grenze zwischen einer alleinigen Durchführung der DSFA einerseits und einer aktiven Beratung andererseits verläuft, ist sicherlich kaum vorab fest darstellbar, sondern sollte stets anhand der Gegebenheiten der jeweiligen DSFA festgelegt werden.

2. Die Funktion des Datenschutzbeauftragten bei der Führung von Verzeichnissen

Ob der DSB auch mit der Aufgabe betraut werden darf, das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO zu führen, ist zumindest in der Literatur umstritten.

a) Übertragung der Aufgabe des Führens des Verzeichnisses möglich

Die Art.-29-Datenschutzgruppe nennt in den „Leitlinien in Bezug auf Datenschutzbeauftragte“ das Führen des Verzeichnisses von Verarbeitungstätigkeiten als eine sinnvollerweise dem DSB zuzuweisende Aufgabe. So erstellen die DSB nach Ansicht der Aufsichtsbehörden in der Praxis oftmals Inventarlisten und führen Register der Verarbeitungsvorgänge auf der Grundlage der Informationen, die ihnen von den verschiedenen für die Verarbeitung personenbezogener Daten zuständigen Bereichen ihrer Einrichtung vorgelegt werden. Auf diesen Inventarlisten aufbauend, könnte folglich das Verzeichnis geführt werden. Aus dem Wortlaut des Art. 39 Abs. 1 DS-GVO („zumindest“) ergibt sich darüber hinaus eine Liste von Aufgaben, die der DSB als Mindestanforderungen wahrzunehmen hat. Den Verantwortlichen bzw. den Auftragsverarbeiter hindert somit nichts daran, dem DSB die Aufgabe zu übertragen, unter der Verantwortlichkeit (!) des Verantwortlichen oder des Auftragsverarbeiters ein Verzeichnis der Verarbeitungsvorgänge zu führen. Jene Listen sind als eines der Instrumente anzusehen, die den DSB in die Lage versetzen, die ihm in Bezug auf die Überwachung der Vorschrifteneinhaltung und die Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters obliegenden Aufgaben wahrzunehmen.

b) Übertragung der Aufgabe des Führens des Verzeichnisses nicht möglich

Eine andere Auffassung vertritt hingegen, dass die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten in Art. 30 DS-GVO ausdrücklich dem Verantwortlichen und Auftragsverarbeiter zugewiesen ist. Insbesondere die Erarbeitung sowie die Erstellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten kann daher nicht auf den DSB delegiert werden. Historisch betrachtet wurde in der Datenschutzrichtlinie 95/46/EG die Aufgabe zur Führung der Verarbeitungsverzeichnisse ausdrücklich als Aufgabe des DSB hervorgehoben. Der Umstand, dass die DS-GVO allerdings diese Aufgabe nicht in den Aufgabenkatalog übernommen hat, spreche dafür, die Führung der Verarbeitungsverzeichnisse nicht an den DSB zu übertragen. Die Einhaltung der Verpflichtung unterliegt darüber hinaus der Überwachung durch den DSB, was bei Bearbeitung durch ihn selbst einen Interessenkonflikt hervorrufen würde.

c) Vermittelnde Ansicht

Dazwischen wird als vermittelnde Lösung jedoch vertreten, dass der DSB bei der Führung des Verzeichnisses unterstützen kann, ohne dass eine vollständige Übertragung der Aufgabe erfolgt. Wird das Verzeichnis der Verarbeitungstätigkeit, wie von der Art.-29-Datenschutzgruppe empfohlen, von dem DSB geführt, müssten die Verzeichniseinträge oder die Verzeichnisdatensätze die Letztverantwortlichkeit des Verantwortlichen oder Auftragsverarbeiters eindeutig erkennen lassen. Damit wäre eine notwendige Aufgabentrennung zwischen Fachverantwortlichem und dem DSB gewahrt, um eine schleichende Verlagerung der Verantwortung für die Inhalte der Verarbeitungsübersichten zu vermeiden. Es wird jedoch auch empfohlen, die erstmalige Erarbeitung sowie die Erstellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten nicht auf den DSB zu delegieren. Dieser sollte vielmehr den Erstellungsprozess beratend, gegebenenfalls koordinierend beiseitestehen und zugleich dessen ordnungsgemäße Durchführung überwachen.

Rechtsanwalt als Datenschutzbeauftragter – die ewige Diskussion

Es war umstritten, ob ein Syndikusrechtsanwalt in seiner Hauptaufgabe als DSB eines Unternehmens agieren darf. Der BGH urteilte kürzlich, dass dies, bezogen auf den Einzelfall, durchaus möglich ist. Mit anderen Worten: Auch ein zugelassener Rechtsanwalt kann als DSB tätig sein. In dem konkreten Sachverhalt wollte eine Mitarbeiterin des öffentlichen Rundfunks, zusätzlich zu der bereits bestehenden Rechtsanwaltszulassung, im Rahmen einer Beschäftigung als DSB die Zulassung als Syndikusrechtsanwältin bei der örtlichen Anwaltskammer durchsetzen. Die Rechtsanwaltskammer lehnte die Zulassung unter anderem mit der Begründung ab, dass die Tätigkeit im öffentlichen Dienst als DSB nicht mit dem Beruf des Rechtsanwalts, insbesondere seiner Stellung als unabhängiges Organ der Rechtspflege, vereinbar sei, ohne dass das Vertrauen in die Unabhängigkeit der anwaltlichen Tätigkeit gefährdet sein könne.

Der BGH nahm jedoch an, dass die Tätigkeit als DSB nach den Umständen des Einzelfalls die Voraussetzungen einer Anwaltstätigkeit im Sinne des § 46 Abs. 3 BRAO erfüllen kann. Danach liegt eine anwaltliche Tätigkeit vor, wenn die auszuübende Tätigkeit durch die Prüfung von Rechtsfragen (§ 46 Abs. 3 Nr. 1 BRAO), die Erteilung von Rechtsrat (§ 46 Abs. 3 Nr. 2 BRAO), die Ausrichtung der Tätigkeit auf die Gestaltung von Rechtsverhältnissen (§ 46 Abs. 3 Nr. 3 BRAO) sowie die Befugnis, nach außen verantwortlich aufzutreten (§ 46 Abs. 3 Nr. 4 BRAO) geprägt ist. Begründet wird die Annahme einer Anwaltstätigkeit mit der Änderung der Aufgaben des DSB mit der Einführung der DS-GVO. So ist laut dem BGH die Komplexität der mit der DS-GVO verbundenen rechtlichen Fragen gestiegen. Der Kern und der Schwerpunkt der Tätigkeit eines DSB lägen grundsätzlich in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung und Einhaltung dieser datenschutzrechtlichen Vorgaben. Dass der DSB nicht nur rechtliches Wissen, sondern vielmehr tiefgreifendes Verständnis im Datenschutz beherrschen muss, spreche dabei nicht gegen die Annahme einer anwaltlichen Tätigkeit, sodass ein DSB im Einzelfall auch als Syndikusanwalt zugelassen sein darf.

Fraglich und bislang höchstrichterlich nicht geklärt ist, wie sich diese Begründung des BGH auf einen Rechtsanwalt in einer Kanzlei auswirkt, der als externer DSB für ein Unternehmen tätig werden möchte. Grundsätzlich ist dem Anwalt ein Zweitberuf erlaubt, wenn gem. § 14 Abs. 2 Nr. 8 BRAO der gewählte Beruf mit dem Anwaltsberuf vereinbar und das Vertrauen in seine Unabhängigkeit nicht gefährdet ist. Nach dem oben zitierten Urteil des BGH ist aber schon fraglich, ob die Tätigkeit als (externer) DSB überhaupt als ein Zweitberuf anzusehen ist, sondern nicht vielmehr als originäre anwaltliche Tätigkeit. Denn der Kern und der Schwerpunkt der Tätigkeit eines DSB liegen grundsätzlich in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung der Einhaltung dieser Vorgaben. Eine Abgrenzung kann im Einzelfall sicher schwierig sein. Im Hinblick auf § 3 Abs. 1 BRAO wird bei Rechtsangelegenheiten im Zweifel aber eine anwaltliche Tätigkeit anzunehmen sein. Und der Datenschutz wird vom BGH zur Rechtsangelegenheit des Verantwortlichen (etwa eines Unternehmens) gezählt.

Geht man von einem Zweitberuf aus, darf der Anwalt gemäß § 45 Abs. 1 Nr. 4 BRAO in seinem Zweitberuf nicht in Angelegenheiten tätig werden, in denen er bereits beruflich tätig war. Interessenkonflikte können dabei die notwendige Unabhängigkeit beeinträchtigen. Denkbar sind solche Interessenkonflikte nach Ansicht der Art.-29-Datenschutzgruppe, wenn Rechtsanwälte zu DSB benannt werden und diese den Verantwortlichen gleichzeitig in datenschutzrelevanten Angelegenheiten vor Gericht vertreten. Dabei ist jedoch immer auf den Einzelfall abzustellen. Eine Beratung des Verantwortlichen durch eine Anwaltskanzlei, die gleichzeitig den externen DSB stellt, führt somit nicht automatisch zu einem relevanten Interessenkonflikt. Teilweise wird zwar in der der Literatur ein Interessenkonflikt mit der Verpflichtung externer Berater zur Wahrnehmung von Mandatsinteressen begründet, diese Auffassung überzeugt jedoch nicht in der Hinsicht, dass Rechtsanwälte als Organ der Rechtspflege zu einer objektiven Beratung geeignet und verpflichtet sind. Insbesondere, wenn auf Seiten der externen Berater eine klare Aufgabenzuweisung an einzelne Mitarbeiter sowie eine personelle Trennung zwischen der Beratungstätigkeit und der Aufgabe als externer DSB existiert, spricht nichts gegen eine solche Tätigkeit. So hat die Art.-29-Datenschutzgruppe aus gutem Grund die möglichen Interessenkonflikte auf den Fall einer gerichtlichen Tätigkeit eines Rechtsanwalts in datenschutzrechtlichen Angelegenheiten beschränkt.

Folglich ist der Anwaltsberuf grundsätzlich mit der Tätigkeit als DSB vereinbar und verstößt nicht gegen die „Stellung als unabhängiges Organ der Rechtspflege“ im Sinne von § 7 Nr. 8 BRAO. Eventuell ist sogar davon auszugehen, dass eine Tätigkeit als externer DSB als Anwalt wahrgenommen werden kann und keinen Zweitberuf darstellt. Neben etwaigen Interessenkonflikten ist jedoch ratsam, auch das erweiterte Haftungsrisiko des Anwalts aufgrund des umfangreicheren Pflichtenkreises zu beachten. Außerdem werden nach der bisher wohl herrschenden Ansicht externe DSB gewerblich tätig, sodass eine klare Abgrenzung zwischen Anwaltsberuf und der Tätigkeit als DSB für nicht als Kapitalgesellschaft organisierte Einheiten empfehlenswert ist, damit die Umsätze der Tätigkeit als Anwalt nicht gewerbesteuerlich belegt werden.

Haftung des Datenschutzbeauftragten

Aus der DS-GVO geht klar hervor, dass es Sache des Verantwortlichen ist, „geeignete technische und organisatorische Maßnahmen [umzusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“ (Art. 24 Abs. 1 DS-GVO). Die Einhaltung datenschutzrechtlicher Bestimmungen fällt somit in den Aufgabenbereich des Verantwortlichen und nicht des DSB. Damit scheidet eine persönliche Haftung des DSB, im Falle der Nichteinhaltung der DS-GVO-Vorschriften durch den Verantwortlichen, aus.

Der DSB kann aber als Täter, Mittäter oder Anstifter handeln und so gegen §§ 41, 42 BDSG verstoßen. Dies ist etwa der Fall, wenn er sich über seine Befugnisse hinwegsetzt. Eine eigene Strafbarkeit kommt insbesondere auch wegen Verstoßes gegen § 203 StGB in Betracht. Derartige Verstöße des DSB dürften in der Praxis aber eher die Ausnahme darstellen. Bei Realisierung eines Schadens, kommt jedoch ein Haftungsrückgriff des Verantwortlichen auf den DSB nach den allgemeinen Vorschriften des BGB in Betracht.

1. Vertragliche bzw. dienstliche Haftung

Eine zivilrechtliche Haftung gegenüber dem Verantwortlichen kann sich daraus ergeben, dass eine falsche, unvollständige oder zu späte Unterstützung oder Beratung erfolgt. Dasselbe gilt bei einer unterbliebenen oder mangelhaft durchgeführten unternehmens- oder behördeninternen Überwachung. Dabei bedarf es jedoch einer zusätzlichen Prüfung, inwiefern eine konkrete Pflichtverletzung vorliegt, also eine vertragliche oder dienstliche Pflicht betroffen ist, da der DSB grundsätzlich in der Aufgabenwahrnehmung frei und unabhängig ist. Seine besondere Stellung wirkt sich folglich auch auf seinen Pflichtenkreis aus. Bei einem internen DSB sind des Weiteren die Grundsätze der beschränkten Arbeitnehmerhaftung anwendbar. Danach ist das betrieblich veranlasste Schadensrisiko grundsätzlich beim Arbeitgeber anzusiedeln, da es sich um eine betrieblich veranlasste Tätigkeit handelt und die Haftung des Arbeitnehmers abhängig vom Grad des Verschuldens zu betrachten ist.

Die Pflichten des DSB gegenüber betroffenen Personen nach Art. 38 Abs. 4 DS-GVO weisen keinen Charakter einer schuldrechtlichen Sonderverbindung auf. Damit lässt sich aus der weiteren Formulierung des Art. 38 Abs. 4 DS-GVO auch nicht entnehmen, dass der DSB vertragliche Schutzpflichten zugunsten der betroffenen Person zu beachten hätte. Vertragliche Ansprüche von Dritten gegenüber dem DSB scheiden damit von vorn herein aus.

2. Deliktische Haftung

Deliktische Haftungsfälle des DSB können vorliegen, wenn der Verstoß unmittelbar auf den DSB zurückzuführen ist. Dies kann etwa bei Verstößen gegen die Verschwiegenheitspflicht, die aktive Falschberatung der benennenden Stelle oder das Unterlassen von Überwachungsmaßnahmen nach Art. 39 Abs. 1 lit. b DS-GVO gegeben sein. Keine Haftung ist hingegen anzunehmen, wenn der DSB datenschutzrechtliche Defizite in einem Verfahren nicht erkannt hat und daher der Verantwortliche keine Veranlassung sah, Korrekturen am Datenverarbeitungsprozess vorzunehmen. In diesen Fällen wird darauf abgestellt, ob es dem DSB möglich war, entsprechende Defizite zu erkennen. Dies setzt allerdings voraus, dass der Verantwortliche dem DSB alle erforderlichen Unterlagen zur Bewertung zur Verfügung gestellt hat und er auch über die notwendigen organisatorischen und personellen Mittel verfügt. Auch müsste bei Vornahme der gebotenen Handlung der tatbestandliche Erfolg mit an Sicherheit grenzender Wahrscheinlichkeit ausgeblieben sein. Die Pflichtverletzung des DSB muss demnach für die eingetretene Rechtsgutverletzung kausal gewesen sein und die Rechtsgutverletzung den Schaden verursacht haben. In der Praxis dürfte es jedoch schwerfallen, eine Datenschutzverletzung eines Betroffenen auf eine fehlende, oberflächliche oder unter fachlichen Mängeln leidende Kontrolltätigkeit eines DSB zurückzuführen. So dürfte es schon fraglich sein, ob ohne den aufdeckenden Kontrollbericht die jeweilige Verarbeitungstätigkeit verändert oder unterlassen worden wäre.

3. Haftung wegen Unterlassen

Praxisrelevanter ist die Frage, ob eine Strafbarkeit des DSB wegen Beteiligung durch Unterlassen in Betracht kommt. Eine Teilnahme, welche für die Beteiligung an einem Unterlassungsdelikt ursächlich ist, kann sich etwa daraus ergeben, dass der DSB nicht die gebotenen Prüfungen im Unternehmen durchführt oder die Führungskräfte nicht auf aktuelle datenschutzrechtliche Entwicklungen hingewiesen hat. Eine Strafbarkeit durch Unterlassen setzt nach § 13 StGB voraus, dass der DSB eine Garantenstellung einnimmt.

Der BGH entschied, dass eine Garantenstellung des Compliance-Officers aus seiner Verpflichtung, Rechtsverstöße zu verhindern, resultiert. Im Rahmen des BDSG a.F. wurde diesbezüglich diskutiert, ob die BGH-Rechtsprechung zur Garantenstellung und Haftung eines Compliance-Officers auf den DSB übertragbar ist. Dies ist im Rahmen der DS-GVO von den Pflichten des DSB abhängig. In Bezug auf eine Garantenstellung muss hinterfragt werden, ob der DSB verpflichtet ist, Rechtsverstöße zu verhindern. Gemäß Art. 39 Abs. 1 lit. a und b DS-GVO obliegt dem DSB primär eine beratende und überwachende Funktion und explizit keine Compliance-Verantwortung, welche grundsätzlich der Geschäftsleitung im Unternehmen zukommt. Allerdings hat der DSB kraft Gesetzes im Rahmen des unternehmerischen Compliance-Management-Systems seinen Beitrag zur Compliance des Unternehmens zu leisten. Dies gilt beispielweise für unternehmerische Informationspflichten. So besteht die Verpflichtung des DSB zur Unterrichtung über datenschutzrechtliche Pflichten nicht nur gegenüber dem Unternehmen, sondern auch gegenüber den Beschäftigten. Allerdings richten sich die Vorgaben zur Erfüllung der Informations- und Betroffenenrechte der Art. 13 ff. DS-GVO ausschließlich an den Verantwortlichen. Von wesentlicher Bedeutung ist darüber hinaus, dass die Überwachungspflicht auch die Organisations-, die Informations- und die diesbezüglichen Überprüfungspflichten des Unternehmens umfasst. Der DSB wird damit zum Kontrolleur des unternehmerischen Compliance-Management-Systems, allerdings ohne selbst Verantwortung dafür zu tragen.

Folgerichtig sind daher auch in den Regelungen der Art. 82 ff. DS-GVO keine eigenen Haftungsregelungen für den DSB vorgesehen. Zuletzt wird die Abgrenzung der Verantwortung der Geschäftsleitung von der Beratungs- und Überwachungsfunktion des DSB mit Blick auf die DSFA deutlich. Im Rahmen dieser wird der DSB lediglich beratend, überwachend und nur auf Anfrage hinzugezogen, währenddessen der Verantwortliche selbst verpflichtet ist, den Rat des DSB einzuholen, sodass die Verantwortung für dessen Einbeziehung beim verantwortlichen Unternehmen liegt. Die Pflichten des Compliance-Officers sind daher deutlich von der Beratungs- und Überwachungsfunktion des Datenschutzbeauftragen abzugrenzen. Ein aktives Eingreifen zur Beseitigung oder Verhinderung einzelner Verstöße liegt hingegen nicht im Pflichtenkreis des DSB. So muss der Verantwortliche die entsprechenden Maßnahmen ergreifen, damit das Unternehmen datenschutzkonform arbeitet, sodass eine entsprechende Verhinderungspflicht und damit eine Garantenstellung zu verneinen ist.

Fazit

Ein DSB (ggfs. auch als Rechtsanwalt) wird wohl nicht in vergleichbarer Funktion wie ein Compliance-Officer tätig, sondern beratend und überwachend. Dabei erstreckt sich sein Haftungspotenzial auf Pflichtverstöße, die aus einer Verletzung dieser beratenden bzw. überwachenden Funktion erwachsen. Eine aktive Verhinderungspflicht von Rechtsverstößen ist ihm gerade nicht zuzuschreiben

Pflichten des Datenschutzbeauftragten

Artikel der DS-GVO

Inhalt der Pflicht

Art. 37 Abs. 5

Der DSB muss über berufliche Qualifikationen und insbesondere Fachwissen im Bereich Datenschutzrecht und Datenschutzpraxis verfügen.

Art. 38 Abs. 3

Der DSB berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.

Art. 38 Abs. 5

Der DSB ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder Vertraulichkeit gebunden.

Art. 39 Abs. 1 lit. a

Der DSB muss den Verantwortlichen oder Auftragsverarbeiter sowie deren Beschäftigte, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DS-GVO sowie anderen Datenschutzvorschriften unterrichten und beraten.

Art. 39 Abs. 1 lit. b

Der DSB überwacht die Einhaltung der DS-GVO und anderer Datenschutzvorschriften der Union und der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder Auftragsverarbeiters zum Schutz personenbezogener Daten. Dazu gehört die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter sowie deren Überprüfung.

Art. 39 Abs. 1 lit. c

Der DSB berät – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung (DSFA) und überwacht deren Durchführung gemäß Art. 35 DS-GVO.

Art. 39 Abs. 1 lit. d

Der DSB arbeitet mit der Aufsichtsbehörde zusammen.

Art. 39 Abs. 1 lit. e

Der DSB fungiert als Anlaufstelle für die Aufsichtsbehörde in Fragen zur Verarbeitung und berät gegebenenfalls.

Art. 39 Abs. 2

Der DSB trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko angemessen Rechnung, wobei er die Art, den Umfang, die Umstände und den Zweck der Verarbeitung berücksichtigt.