Am Rande der Legalität

Von: Thomas Heinen

In vielen Unternehmen besteht ein gehöriges Maß an Rechtsunsicherheit, wenn es um das Thema Datenschutz geht. Das betrifft etwa die Verarbeitung von Kundendaten beim Erstellen der Adresslisten für einen Newsletter oder Maßnahmen des Webtrackings, bei denen etwa das Nutzerverhalten von Besuchern der Firmenwebseite mittels Google Analytics oder ähnlichen Werkzeugen ausgewertet wird.

„Dürfen wir diese Daten verarbeiten?“ Mit dieser Frage sieht sich so mancher Geschäftsführer oder IT-Leiter konfrontiert und blickt dabei in die ratlosen Gesichter seiner Mitarbeiter, die beispielsweise mit der Verarbeitung personenbezogener Daten im Rahmen einer Marketingaufgabe betraut wurden. Im Zweifelsfall ist da guter Rat teuer. Karl-Uwe Lüllemann, ausgebildeter Datenschutzbeauftragter und Senior Consultant in der SK-Firmengruppe, kennt das Problem: „Viel zu viele Unternehmen können keinen Sachverstand im Datenschutzrecht abrufen. Der Hausanwalt weiß viel, aber im Bereich Datenschutz in aller Regel viel zu wenig.“

Auch Rechtsanwalt Rolf Becker (siehe Bild rechts), Partner der Rechtsanwälte Wienke & Becker – Köln und Rechtsexperte des E-Commerce-Center Handel (ECC-Handel),  weiß um die Rechtsunsicherheit auf Seiten der Unternehmen, wenn es zum Beispiel um das Kundendatenschutzrecht geht. Er berichtet: „Besonders große Unsicherheit besteht bei den für bestimmte Datenverwendungen erforderlichen Einwilligungen. Wie etwa muss eine Einwilligung formuliert sein, mit der ich meinen Kunden per E-Mail bewerben kann? Wo muss die Einwilligung abgefragt werden? Genügt ein Opt-Out, also ein Widerspruch?“ Händler würden in den meisten Fällen im Rahmen des Marketings mit dem Datenschutz konfrontiert und sähen sich Betroffenen gegenüber, die Fragen stellten oder Ansprüche erhöben. Darüber, wie dem zu begegnen sei und Rechtsverletzungen verhindert werden könnten, bestehe große Unsicherheit.

Es trifft nicht nur die großen Betriebe

Begünstigt wird die Rechtsunsicherheit auch dadurch, dass das mehrfach novellierte Bundesdatenschutzgesetz (BDSG) nach Auffassung von Experten nicht für genügend Klarheit sorgt. „Eine Vielzahl der im Jahr 2009 in Kraft getretenen Regelungen enthalten Unklarheiten“, erklärt etwa Dr. Jens Eckhardt (siehe Bild rechts), Rechtsanwalt der in Düsseldorf ansässigen Kanzlei Juconomy Rechtsanwälte und Mitglied der Kompetenzgruppe Recht & Compliance des Verbands Eurocloud Deutschland_eco e.V. Drastischer noch formuliert es Prof. Dr. Thomas Hoeren (siehe Bild rechts unten), Universitätsprofessor an der Juristischen Fakultät der Westfälischen Wilhelms-Universität Münster und Richter am OLG Düsseldorf: „Das BDSG ist gerade nach den jüngsten Novellen kaum noch verständlich.“ Es fehlten klare Regelungen zum Arbeitnehmerdatenschutz und die Aufgaben der Aufsichtsbehörden seien unklar. Zudem sei nicht hinreichend geklärt, wann ein Betroffener wie seine Einwilligung zur Datennutzung geben könne. Hoerens Meinung nach müsse das Datenschutzrecht im Kern komplett novelliert werden.

Eine andere Meinung vertritt Rolf Becker, der zu bedenken gibt: „Man darf nie vergessen, dass ein Mehr an Datenschutz die wirtschaftliche Entfaltung behindert.“ Nach seiner Auffassung habe der Gesetzgeber nach den letzten beiden Novellen einen richtigen Schritt vollzogen, der Datenschutz und wirtschaftliche Erwägungen gleichermaßen berücksichtige.

Für Unternehmen ist das Thema in jedem Fall höchst brisant. Schließlich kann ein Verstoß gegen das Datenschutzrecht schwerwiegende finanzielle und imageschädigende Konsequenzen nach sich ziehen. „Man denke nur an die zuletzt gegen verschiedene Gesellschaften verhängten Bußgelder, etwa gegen die Lidl Gruppe in Höhe von 1,42 Mio. Euro, oder gegen die Deutsche Bahn in Höhe von 1,1 Mio. Euro“, erinnert Dr. Christian Klostermann (siehe Bild rechts unten), der sich in eigener Kanzlei in Zwickau mit Fragen des Internet-, Computer- und Datenschutzrechts beschäftigt.

„Es trifft aber nicht nur die großen Betriebe“, ergänzt Klostermann, „Auch Mittelständler und Einzelpersonen mussten schon Bußgelder zahlen.“ So sei etwa ein Bußgeld in Höhe von 80.000 Euro gegen die nordrhein-westfälische Tönnies Gruppe verhängt worden.

Nach den konkreten Haftungsrisiken für Unternehmen gefragt, gibt Rolf Becker an: „Das Gesetz kennt umfangreiche Bußgeldvorschriften und auch einen Strafbestand. Die Sanktionen wurden im Rahmen der letzten Novelle erhöht und Bußgelder zwischen 50.000 Euro und 300.000 Euro können abeschreckende Wirkung entfalten.“ Neben dem finanziellen Risiko führt Karl-Uwe Lüllemann weiterhin an: „Sollten bestimmte sensible Daten (siehe § 42a) in unbefugte Hände Dritter gelangen, so sind der Betroffene, die Aufsichtsbehörde und unter Umständen die Öffentlichkeit mit halbseitigen Anzeigen in bundesweit erscheinenden Tageszeitungen zu informieren.“ Der resultierende Imageschaden lasse sich natürlich nicht beziffern.

Jens Eckhardt erklärt außerdem: „Die Haftung teilt sich in zwei große Bereiche auf: Haftung gegenüber dem Staat in Form von Strafbarkeit und Bußgeldern zum einen und Haftung gegenüber dem/den Geschädigten, insbesondere in Form von Schadensersatz.“ Beides könne, müsse aber nicht zwingend parallel zum Tragen kommen.

Kein belangloses personen-bezogenes Datum

Damit sich Unternehmen rechtskonform verhalten können, sollten sie sich zunächst darüber im Klaren sein, welche der Daten, mit denen sie umgehen, rechtlich als schützenswert zu betrachten sind. Wenigstens das ist eine klare Sache. „Aus Sicht des Datenschutzes sind alle Daten mit Personenbezug schützenswert“, sagt Lüllemann. „Dabei ist die Haarfarbe grundsätzlich genauso geschützt wie es Daten über die sexuelle Orientierung eines Betroffenen sind“, ergänzt Rolf Becker. Das betreffe auch die Adresse sowie Kontonummern, sonstige Zahlungsdaten und unmittelbare Kaufdaten. Professor Hoeren umreißt den rechtlichen Rahmen folgendermaßen: „Es kommt nicht darauf an, wie schutzbedürftig und sensibel das einzelne Datum ist. Das BDSG ist insofern im Lichte des Volkszählungsurteils¹ zu lesen, wonach es ein belangloses personenbezogenes Datum im Zeitalter der EDV nicht geben kann.“ Selbstverständlich betrifft das Mitarbeiterdaten in gleichem Maße wie Kundendaten.

Doch wer im Unternehmen ist zum Schutz der Daten verpflichtet? Ist es der Geschäftsführer? Ist es der Mitarbeiter, der die Daten erhebt? Sind es die mit der Verarbeitung der Daten beauftragten Personen? – Auch hier fällt die Antwort generalistisch aus. Rolf Becker erläutert: „Das Gesetz richtet sich an alle, die mit den Daten umgehen. Das ist nicht nur die erhebende und speichernde Stelle, sondern auch der einzelne Mitarbeiter, der ebenfalls Adressat zur Einhaltung des Datengeheimnisses ist.“

Karl-Uwe Lüllemann sagt, dass zwar primär das Unternehmen selbst und damit dessen Geschäftsführung zum Datenschutz verpflichtet sei, doch auch Mitarbeitern sei es gemäß § 5 BDSG untersagt, „personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.“ „Konkret bedeutet das“, stellt er klar, „dass der einzelne Mitarbeiter prinzipiell haftbar ist, wenn er ohne Rechtsgrundlage personenbezogene Daten erhebt, verarbeitet oder nutzt.“

Auch Jens Eckhardt weist daraufhin, dass die Umsetzungspflicht zum Datenschutz wenigstens in gewissem Umfang auf Unternehmensmitarbeiter übertragen werden könne. „Eine vollständige Verlagerung der Verantwortung auf Mitarbeiter ist jedoch nicht möglich“, führt er an. Christian Klostermann erklärt in diesem Zusammenhang, dass bei Datenrechtsverstößen in jedem Fall das Unternehmen nach außen verantwortlich sei, „und damit auch die Geschäftsleitung, wenn sie die Fragen und Belange des Datenschutzes organisatorisch nicht ausreichend beachtet hat.“

Datenschutzbeauftragter gefordert

Zur Umsetzung von Datenschutzmaßnahmen sind Unternehmen dazu angehalten, technische und organisatorische Maßnahmen zu treffen, um die Ausführung der geltenden BDSG-Vorschriften zu gewährleisten. „Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Ein-gabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungsprinzip sind konkrete Schlagwörter, die beschreiben, wie die innerbetriebliche Organisation gestaltet werden muss, um dem Datenschutz gerecht zu werden“, mahnt Rolf Becker. Dabei gehe es im Kern darum, nur solchen Personen den Zugriff auf Daten zu ermöglichen, die zwingend damit zu tun haben und Daten nur zu den Zwecken zu erheben und zu verarbeiten, die zuvor festgelegt wurden.

„Ohnehin“, erklärt Klostermann, „ist jeder Betrieb ab der Größe von zehn Mitarbeitern, die personenbezogene Daten maschinell bearbeiten, gefordert, einen Datenschutzbeauftragten zu benennen, der ihn bei der Durchsetzung des Datenschutzes berät.“ Rechtsanwalt Becker beschreibt den Datenschutzbeauftragten als „Sachwalter der Interessen der potentiell Betroffenen im Betrieb“, also der Personen, deren Daten in einem Unternehmen erhoben oder verarbeitet werden. Nach Beckers Auffassung solle dieser möglichst unabhängig von der Weisungsbefugnis der Geschäftsleitung arbeiten.

Dass der Datenschutzbeauftragte seine Aufgabe möglichst unbehindert erfüllen kann, dürfte nicht zuletzt in dessen eigenem Interesse liegen. Schließlich drohen ihm im Falle eines Datenschutzvorfalls schwerwiegende persönliche Konsequenzen. Bezugnehmend auf ein Urteil des Bundesgerichtshofs (BGH) vom 17. Juli 2009 erklärt Professor Hoeren: „Die Rechtsprechung hat die Haftung betrieblicher Datenschutzbeauftragter für Datenschutz- und Datensicherheitsverstöße deutlich erhöht. Den Datenschutzbeauftragten obliegt es nun, Rechtsverstöße der Geschäftsleitung zu melden und dies auch entsprechend zu dokumentieren.“

Der Hintergrund für das erhöhte Haftungsrisiko liegt in dem Verfahren gegen einen Leiter der Rechtsabteilung und der Innenrevision der Berliner Stadtreinigungsbetriebe begründet. Da der Beklagte das betrügerische Handeln eines anderweitig beklagten Haupttäters zwar bemerkt, aber nicht korrigiert oder gemeldet hatte, entstand den davon betroffenen Bürgern ein Schaden in Höhe von insgesamt 23 Mio. Euro. Nach Auffassung des Gerichts war der Beklagte augrund seines Dienstpostens jedoch zum Schutz der Anlieger vor betrügerischem Handeln verpflichtet, sodass der BGH dessen Verurteilung zur Betrugsbeihilfe durch Unterlassen bestätigte.²

Hoeren schildert: „Der BGH führte in seinem ‚obiter dictum’³ aus, dass es das Aufgabengebiet des Compliance Officers sei, Rechtsverstöße, insbesondere auch Straftaten zu verhindern, die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehensverlust bringen können.“ Damit sei erstmalig ausdrücklich die sogenannte Garantenpflicht von Compliance Officers im Sinne des Strafgesetzbuches (StGB) bejaht worden.

Da der Datenschutzbeauftragte eines Unternehmens wie auch der Compliance Officer dazu verpflichtet ist, Dritte vor Straftaten aus dem Unternehmen heraus zu schützen, könnte erstgenannter im Falle unterlassener Kontrolle oder Meldung ebenfalls strafrechtlich verantwortlich sein, sollte es zu einem Datenschutzvorfall kommen. Angesichts dieser Umstände ist zu bezweifeln, dass sich viele freiwillige Bewerber für eine solche Position anbieten, wenn ein Unternehmen keine geeigneten Maßnahmen ergreift, um den BDSG-Vorschriften zu entsprechen.

Zwar verursacht die Umsetzung des Datenschutzrechts zunächst einen gewissen Aufwand, doch weisen die Experten auch daraufhin, dass laut BDSG eine gewisse Verhältnismäßigkeit gewahrt bleiben muss. So erklärt Klostermann: „Maßnahmen zum Schutz personenbezogener Daten sind nach § 9 BDSG nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.“ Welches Vorgehen dabei der Datenschutzbeauftragte Lüllemann Unternehmen empfiehlt, ist im untenstehenden Kasten zu lesen. 

^{1 Beim sogenannten Volkszählungsurteil handelt es sich um eine Grundsatzentscheidung des Bundesverfassungsgerichts aus dem Jahr 1983, mit dem das informationelle Selbstbestimmungsrecht als von der Ver-fassung geschütztes Gut begründet wurde (Anm.d.Red.).}

² Eine ausführliche Schilderung des Falls und seiner Konsequenzen bietet: http://www.jurablogs.com/de/datenschutzbeauftragte-strafrecht-verschaerfte-haftung-compliance-officer

^{3 „Obiter dictum“ bezeichnet eine nicht urteilsbegründende Rechtsansicht, die ggf. spätere Entscheidungen zu dieser Frage vorwegnimmt (Anm.d.Red.).}

Vorgaben & Maßnahmen

Karl-Uwe Lüllemann, Senior Consultant in der SK-Firmengruppe, der an der Ulmer Akademie für Datenschutz und IT-Sicherheit gGmbH (UDIS) eine Ausbildung zum zertifizierten Datenschutzbeauftragten absolvierte, erklärt:

„Das BDSG schreibt viele Aufgaben vor, die umzusetzen sind.
Zum Beispiel:

• Bestellen eines fachkundigen und zuverlässigen Datenschutzbeauftragten (§4f BDSG)
• Verpflichtung auf das Datengeheimnis (§5 BDSG)
• Jegliche Datenerhebung, -verarbeitung und -nutzung muss eine Gesetzesgrundlage haben, sonst ist sie illegal (§4 BDSG)
• Pflichtinhalte für Verträge mit Dienstleistern sowie die Pflicht zu bestimmten Kontrollen (§11 BDSG)
• Erstellen des Verfahrensverzeichnisses (§4g i.V.m. §4e BDSG)

Um ein gesetzeskonformes Vorgehen innerhalb des Unternehmens sicherzustellen, ist folgendes Vorgehen empfehlenswert:

• Durch eine externe Analyse wird ermittelt, in welchen Punkten Handlungsbedarf besteht.
• Basierend auf der Analyse entscheidet die Geschäftsführung, ob sie einen eigenen Mitarbeiter zum internen Datenschutzbeauftragten ausbildet oder sie einen externen Datenschutzbeauftragten (DSB) bestellt.
• Umsetzung der in der Analyse ermittelten Aufgaben gemeinsam mit dem bestellten Datenschutzbeauftragten.“

„Der Geschäftsführer einer GmbH haftet für einen Gesetzesverstoß im Bereich Datenschutz, der normalerweise als grob fahrlässig anzusehen ist, mit seinem Privatvermögen unbegrenzt.“ So schildert Datenschutzexperte Karl-Uwe Lüllemann (siehe Bild rechts) das Haftungsrisiko des Geschäftsführers unter Berücksichtigung des §43 GmbHG. Weiterhin führt er aus: „Vor dieser persönlichen Haftung bewahrt ihn auch seine D&O-Police (Directors and Officers-Versicherung) nicht, denn ein Gesetzesverstoß gilt als grob fahrlässig und führt zu einer Nicht-Leistung der Versicherung.“

Zu den Statements aller befragten Experten