Persönliche Haftung des Datenschutzbeauftragten: Garant für die Datensicherheit? (BGH, Urteil vom 17.07.2009, 5 StR 394/08)
Rechtsanwalt und Fachanwalt für IT-Recht Dr. Jens Bücking, Stuttgart
Zugleich eine Erörterung der Haftung des IT-Sicherheitsbeauftragten
Nach einem Aufsehen erregenden Urteil des Bundesgerichtshofs (BGH) zur Strafbarkeit des Compliance-Officers als Unterlassungsgarant für die Verhinderung von Rechtsverstößen wird zwischenzeitlich auch eine entsprechende Anwendung der dortigen Urteilserwägungen auf den betrieblichen Datenschutzbeauftragten diskutiert.
Ebenso wie beim der Compliance-Officer ist es nämlich pro-aktive Aufgabe des Datenschutzbeauftragten, auf die Einhaltung der datenschutz- und datensicherheitsrechtlichen Vorschriften hinzuwirken. In der Praxis findet sich zudem oftmals die delikate Konstellation einer Personalunion von Compliance-Officer und Datenschutzbeauftragtem wegen der teilweisen Aufgabenüberschneidung (und eines teilweise ähnlich ausgestalteten Weisungsgefüges).
Diese Vermengung birgt freilich schon funktional das Problem einander widerstreitender Interessen bei der Implementierung von Maßnahmen zur Überwachung der Einhaltung betrieblicher und/oder gesetzlicher Compliance-Vorschriften.
Dies bringt es mit sich bringt, dass für eine solche Personalunion eine strikte Trennung der jeweiligen Verantwortungsbereiche dokumentiert sein muss. Die unternehmerische Verpflichtung zum Aufbau eines IT-/Datenschutz-Compliance-Systems darf nicht in Konflikt mit der Weisungsfreiheit und Unabhängigkeit des Datenschutzbeauftragtenmandats geraten.
Aus diesem Grunde wird zunehmend der Weg des Outsourcing der Aufgaben des betrieblichen Datenschutzbeauftragten an externe Fachleute gegangen.
Aus der BGH-Entscheidung ist nun allerdings – auch wenn Gegenstand der Beurteilung der Pflichtenkreis eines Compliance-Officers und nicht eines betrieblichen Datenschutzbeauftragten war – die Tendenz abzuleiten, dass alle Sonderbeauftragten entsprechende Pflichten treffen können. Darüber hinaus kann sich eine entsprechende Verpflichtung aber auch bereits (gegebenenfalls auch stillschweigend) aus dem Anstellungsvertragsverhältnis in seiner gelebten Praxis ergeben. Dies gilt insbesondere dann, wenn eine Rechtspflicht zur Vermeidung von (insbesondere) Wirtschaftsdelikten Gegenstand des Pflichtenkreises ist, insbesondere also Überwachungs- und Schutzpflichten übernommen werden. Dies gilt zwar in erster Linie für Compliance-Beauftragte, deren originäre Verpflichtung ja gerade die Unterbindung von Rechtsverstößen ist; mit dem BGH muss hier ein besonderes Vertrauensverhältnis hinzukommen, das das Management dazu veranlasst hat, besondere Schutzpflichten zu überantworten. Über den unmittelbaren Anwendungsbereich des Urteils hinaus lassen sich diese Grundsätze allerdings auch auf andere Sonderbeauftragte übertragen, was insbesondere für Datenschutzbeauftragte gelten könnte.
Um die Betroffenen „aus der Schusslinie“ zu nehmen, wäre – neben dem Erfordernis eines effizienten und fortwährend durch interne Kontrollsysteme zu überprüfenden Compliance-System – auch notwendig, die entsprechenden Verantwortungsbereiche der Sonderbeauftragten klar von einander abzugrenzen und – insbesondere, was den Datenschutzbeauftragten anbelangt – mit klarstellenden Verantwortlichkeitszuweisungen zu versehen, um hier im Schadensfalle eine Haftungsfreistellung bewirken zu können.
Denn zwar trifft es zu, dass der Datenschutzbeauftragte grundsätzlich in der Ausübung seines Mandats weisungsfrei ist, hierbei nicht benachteiligt werden darf und im Gegenteil durch das Unternehmen bzw. die Behörde bei der Umsetzung seiner Aufgaben zu fördern und zu unterstützen ist. Allerdings stehen im Fokus insbesondere die Gemengelagen einer Personalunion oder sich überschneidender Verantwortlichkeitsbereiche. Das erforderliche ganzheitliche IT-Risikomanagement beinhaltet hierbei auch ein Sicherheitskonzept, das in technischer Hinsicht konzipiert und überwacht wird im Verantwortungsbereich der IT-Sicherheit – und damit originäre Aufgabe des IT-Sicherheitsbeauftragten und (übergeordnet) des Compliance-Officers ist. Das Datenschutzkonzept ist jedoch ein Teil dieses übergeordneten Konzepts. Besonders schützenswerte Daten – etwa solche, die der Vorabkontrollpflicht unterfallen – stellen wiederum besondere Anforderungen an die IT-Compliance, die also in ihrer Abhängigkeit vom Schutzgrad der zu schützenden Daten und IT-Systeme in einer datenschutz-/datensicherheitsrechtlichen Wechselwirkung steht.
Sind hier die Verantwortungsbereiche nicht klar abgegrenzt, besteht keine Veranlassung, von den durch den BGH im Falle des Compliance-Officers aufgezeigten Maßstäben abzuweichen.
Dieselben Überlegungen gelten für den IT-Sicherheitsbeauftragten, insbesondere, wenn dieser als sogenannter CIO auf der Führungsebene angesiedelt ist.