Rekordbußgeld in Deutschland für Verstoß gegen DSGVO

Der Berliner Immobilienkonzern Deutsche Wohnen soll 14,5 Millionen Euro Strafe wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zahlen. Das teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk mit. Bei dem verhängten Bußgeld handelt es sich um die bislang höchste Geldbuße auf Grundlage der DSGVO in Deutschland. Auslöser für das Bußgeld war offenbar, dass das betroffene Unternehmen trotz bereits 2017 erfolgter Aufforderung bisher kaum Anstrengungen unternahm, datenschutzrechtliche Mängel zu beseitigen.

Update, März 2021: Verfahren gegen Bußgeld von 14,5 Mio. Euro gegen Deutsche Wohnen eingestellt

Die Deutsche Wohnen SE hatte gegen den Bußgeldbescheid von 2019 beim zuständigen Gericht Einspruch eingelegt. Die 26. Große Strafkammer des LG Berlin stellte das Verfahren aufgrund eines Verfahrenshindernisses ein. Beim Bußgeldbescheid lägen „gravierende Mängel“ vor, so eine Sprecherin des Gerichts. Es wurden keine bußgeldbewehrten Handlungen einer natürlichen Person konkretisiert, die der Deutschen Wohnen vorzuwerfen seien.

Ähnlich entschied das Bundesverwaltungsgericht Österreich in einem Verfahren über ein Bußgeld von 18 Mio. Euro gegen die Post AG im Mai 2020. Auch dieser Bußgeldbescheid wurde aufgrund von Formfehlern aufgehoben.

Die Staatsanwaltschaft legte gegen den Beschluss des LG Berlin nun Beschwerde ein. Es müsse das OWiG im Lichte der DSGVO angewendet werden, so die Berliner Beauftragte für Datenschutz und Informationsfreiheit. Es könne nicht sein, dass ein Bußgeld nur verhängt werden kann, wenn die vorwerfbare Handlung einer natürlichen Person nachgewiesen sei. Das würde dazu führen, dass bei komplexen Strukturen eines Unternehmens ein Beweisproblem bestehe. Dadurch seien kleine und mittlere Unternehmen benachteiligt. Im Übrigen müsse eine einheitliche Anwendung der DSGVO in der Europäischen Union gewährleistet werden. Aus der Sicht anderer deutscher Gerichte und der deutschen Aufsichtsbehörden insgesamt kann ein Bußgeld gegen eine juristische Person unabhängig einer konkreten Handlung einer natürlichen Person verhängt werden.

Die Diskussion verdeutlicht, dass Unsicherheiten in Bezug auf die Bußgeldverhängung gegenüber juristischen Personen bestehen. Gem. Art. 4 Nr. 7 DSGVO kann Verantwortlicher eine juristische Person sein. Gem. Art. 83 DSGVO wird ein Bußgeld gegen den Verantwortlichen verhängt. Die DSGVO regelt nicht ausdrücklich, dass ein Bußgeld nur in Verbindung mit der vorwerfbaren Handlung einer natürlichen Person ausgesprochen werden darf. Anders hingegen das deutsche Ordnungswidrigkeitengesetz (§ 30 I Nr. 1 OWiG i.V.m. § 41 I BDSG). Es stellt sich somit die Fragen, wie Art. 83 DSGVO auszulegen ist. Um diese Frage zu klären, bedarf es einer Vorlage beim EuGH. Es ist zu hoffen, dass dies in naher Zukunft geschieht, damit Rechtssicherheit geschaffen wird und Bußgelder gerichtsfest verhängt werden können.

 

Der DSGVO-Verstoß und das Bußgeld

Anlass für das gegen die Deutsche Wohnen verhängte Bußgeld ist, das personenbezogene Daten in einem Archivsystem gespeichert wurden, das keine Möglichkeit zur Löschung nicht mehr erforderlicher Daten bietet. Personenbezogene Daten von Mietern und Wohnungsbewerbern wurden ohne Überprüfung, ob eine Speicherung überhaupt zulässig oder erforderlich ist gespeichert. Zu den gespeicherten Informationen gehörten sensible Unterlagen wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Laut Aufsichtsbehörde handelt es sich um einen Verstoß gegen Art. 5 DSGVO (Datenschutzprinzipien, hier insbesondere Speicherbegrenzung) und Art. 25 DSGVO (Datenschutz durch Technikgestaltung). Gemäß diesen Bestimmungen sind personenbezogene nicht länger zu speichern, als diese für die Zwecke ihrer Verarbeitung notwendig sind, und es sind geeignete technische und organisatorische Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa die Speicherbegrenzung wirksam umzusetzen.

Frühere Datenschutz-Prüfungen wurden nicht ernst genommen

Bereits bei einer Vor-Ort Prüfung im Juni 2017 wurden die Missstände von der Aufsichtsbehörde bemängelt. Bei der erneuten Prüfung im März 2019 konnte das Unternehmen Deutsche Wohnen jedoch weder eine Bereinigung der Datenbank noch Rechtsgrundlagen für die fortdauernde Speicherung vorweisen.

Die Höhe des Bußgeldes rechtfertigt die Berliner Datenschutz-Aufsichtsbehörde damit, ihrer Verpflichtung nachgegangen zu sein, ein nicht nur wirksames und verhältnismäßiges, sondern auch abschreckendes Bußgeld zu verhängen. Ausgangspunkt bei der Bemessung der Geldbuße war der Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatz von über einer Milliarde Euro. Demnach hätte das maximal mögliche Bußgeld für den festgestellten Verstoß gemäß DSGVO (4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem welcher Betrag höher ist) bei ca. 28 Millionen Euro liegen können.

Bei der konkreten Bemessung wirkten sich die Bereitschaft zur Zusammenarbeit und die Einleitung erster Schritte zur Behebung der Missstände und die Tatsache, dass keine missbräuchlichen Zugriffe auf die unrechtmäßig gespeicherten Daten festgestellt werden konnten, entlastend aus. Belastend hingegen wirkte die bewusste Wahl eines Archivsystems, mit welchem personenbezogene Daten über einen langen Zeitraum unrechtmäßig gespeichert wurden.

Das erste große Gerichtsverfahren zu DSGVO-Bußgeldern steht wohl an

Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit ist bisher nicht rechtskräftig. Die Deutsche Wohnen teilte bereits in einer Pressemitteilung mit, den Bußgeldbescheid gerichtlich überprüfen lassen.

Fazit: DSGVO-Compliance ist Pflichtsache

Der Trend der zu einem höheren Sanktionswillen der Aufsichtsbehörden nimmt wohl zu. Die Schonfrist zur DSGVO-Umsetzung scheint endgültig vorbei zu sein. Diesem Trend sollten Unternehmen mit einem Datenschutzmanagementsystem in der eigenen Organisation begegnen. Insbesondere sollte die Speicherbegrenzung optimiert werden, wozu insbesondere ein Lösch- und Archivierungskonzept gehört.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

 

Geschrieben am:

Umgang mit Anfragen von Betroffenen gemäß DSGVO (Anleitung)

Seitdem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) mehrt sich die Anzahl der Anfragen von Betroffenen. Der Umgang mit Betroffenenanfragen bzw. die Erfüllung von Betroffenenrechten stellt für viele Unternehmen eine nicht unerhebliche Herausforderung dar. Unsere praktische Anleitung hilft Ihnen in drei konkreten Schritten, datenschutzkonform auf Anfragen von Betroffenen zu reagieren.

Vorab: Wie wichtig ist die Reaktion auf Anfragen betroffener Personen?

Ein Kunde, der einen Datenschutzverstoß wittert, sich einen Überblick über die zu seiner Person gespeicherten Daten verschaffen möchte oder einfach nur nach einem Mittel sucht, einen Rabatt zu erzwingen, kann durch die Ausübung eines seiner aktiven Datenschutzrechte (Art. 15 ff. DSGVO) ein unvorbereitetes Unternehmen in Aufruhr versetzen: Schnell wird die Drohung, sich bei nicht fristgerechter bzw. nicht zufriedenstellender Rückmeldung an die Datenschutzbehörde zu wenden, zur echten Gefahr. Denn die Aufsichtsbehörde muss tätig werden, wenn ein Betroffener sich an sie wendet (Art. 57 Abs. 1 lit. f DSGVO).

Bei ernstzunehmenden Anliegen ist es dann nur noch eine Frage der Zeit, bis das Schreiben der Behörde eintrifft, in dem die anstehende Prüfung der Verarbeitungstätigkeiten bzw. der Datenschutzdokumente angekündigt wird. Wer dann immer noch unvorbereitet ist, riskiert hohe Bußgelder (Art. 83 DSGVO) und ggfs. eine negative Berichterstattung. Beides kann, je nach Branche und Größe des Unternehmens, bestandsgefährdend sein.

Damit es gar nicht erst zu einer Behördenprüfung kommt, empfiehlt es sich, mithilfe eines zuverlässigen Datenschutzmanagementsystems auf datenschutzrelevante Anfragen von Betroffenen im Vorhinein gut vorbereitet zu sein, um im Fall der Fälle schnell und professionell reagieren zu können. Insbesondere die folgenden drei Punkte sollten dabei beachtet werden:

1. Keine vorschnellen Reaktionen und Auskünfte – professionelle Prüfung ist gefragt

Anfragen datenschutzrechtlicher Natur sollten bestenfalls ausschließlich über eine zentrale Datenschutz-E-Mailadresse (z. B.: datenschutz@meinefirma.de) eingehen. Es empfiehlt sich, solch eine Adresse in den Datenschutzhinweisen auf der Website und an sämtlichen anderen Orten, an denen das Unternehmen seinen Informationspflichten (Art. 13, 14 DSGVO) nachkommt, zu veröffentlichen. So, wie die Datenschutzadresse „irrtümlicherweise“ vom Kunden vielfach für Beschwerden, Produktbestellungen und sogar Arbeitsplatzbewerbungen „missbraucht“ wird, gehen umgekehrt auch zahlreiche echte Datenschutzanfragen direkt beim Kundenservice ein. Dieser sollte zum Umgang mit eingehenden Anfragen entsprechend sensibilisiert sein, z. B. über eine Vor-Ort- bzw. Online-Datenschutzschulung und / oder einen Workshop zur datenschutzkonformen Kundenbetreuung.

Es sollten auf keinen Fall „mal eben“ angefragte Auskünfte beantwortet und/ oder Daten gelöscht werden, um sich der Sache zu entledigen. Eingegangene Betroffenenanfragen sollten vielmehr zunächst vom Datenschutzbeauftragten bzw. Datenschutzkoordinator geprüft werden. Folgende Punkte gilt es insbesondere zu prüfen:

  • Welcher rechtliche Anspruch (Art. 15 ff. DSGVO) wurde konkret geltend gemacht? Werden mehrere Ansprüche zugleich geltend gemacht?
  • Hat sich der Betroffene an das richtige Unternehmen gewandt? Ggf. Weiterleitung der Anfrage an den Verantwortlichen.
  • Besteht hinsichtlich des geltend gemachten Rechts bereits ein definierter Prozess (Richtlinie) im Unternehmen, der nun befolgt werden kann?
  • Hat sich der Betroffene ausreichend identifiziert oder bedarf es einer (schonend auszugestaltenden) Identitätsüberprüfung? Abgleich der vom Betroffenen in seinem Schreiben gemachten Angaben mit denen, die in den Systemen zu finden sind.
  • Werden / wurden überhaupt Daten zum Betroffenen verarbeitet? – Rücksprache mit dem Kundenservice und / oder anderen Bereichen, in denen personenbezogene Daten verarbeitet werden. Wenn trotz erfolgter interner Rücksprache Unklarheit besteht: Rückfrage an den Betroffenen, welche Daten gemeint sind.
  • Ist der Anspruch berechtigt oder mangelt es ggf. an einer Begründung (insb. im Falle eines Berichtigungsanspruchs)?
  • Sind alle Wünsche der Person vom geltend gemachten Betroffenenrecht umfasst?
  • Würde die Beantwortung der Anfrage die Rechte anderer Betroffenen oder des Unternehmens (z. B. Geschäftsgeheimnisse) beeinträchtigen? Falls ja: Kann / muss dem Anliegen des Betroffenen trotzdem nachgekommen werden?
  • Stehen dem Anliegen des Betroffenen sonstige rechtliche Anforderungen (z. B. an die Speicherdauer der Daten) entgegen?
  • In welcher rechtlichen Frist muss das Anliegen des Betroffenen erfüllt werden?
  • Bestehen bereits Vorlagen (Dokumente), die für die Beantwortung des Anliegens genutzt werden können?

2. Keine unstrukturierte Bearbeitung – professionelle Koordination ist gefragt

Ist die Berechtigung des oder der geltend gemachten Rechte(s) einmal geklärt, geht es darum, eine zügige und rechtlich einwandfreie Beantwortung der Betroffenenanfrage sicherzustellen. Hierzu ist regelmäßig die Einbindung verschiedener Unternehmensbereiche erforderlich.

Hat der Betroffene z.B. einen berechtigten Anspruch auf Löschung bzw. Sperrung (mancher) seiner Daten, bedarf es u.U. der Einbindung der IT, um alle bzw. ausgewählte Datensätze zu löschen bzw. zu sperren. Macht der Betroffene von seinem Auskunftsrecht Gebrauch, sollte der Datenschutzbeauftragte bzw. Datenschutzkoordinator Rücksprache mit allen Abteilungen halten, in denen Daten zum Betroffenen verarbeitet werden (könnten). Folgende Vorkehrungen sollten für eine professionelle Koordination u. a. getroffen werden:

  • Auskunftsrecht, Löschungsrecht, Einschränkungsrecht, Berichtigungsrecht (Art. 16 bis 18 DSGVO): Leicht verständliche Hinweise (Anleitung in Schritten) für den Datenschutzkoordinator bzw. die einzelnen Abteilungen dazu, wie ein berechtigtes Anliegen des Betroffenen erfüllt werden muss.
  • Auskunftsrecht (Art. 15 DSGVO): Vorlage für das Beauskunften von Daten, Datenempfängern, Löschfristen, Verarbeitungszwecken etc.
  • Datenübertragbarkeitsrecht (Art. 20 DSGVO): Umsetzung technischer und organisatorischer Instrumente, die einen sicheren Datentransfer ermöglichen.
  • Einwirkungsrecht (Art. 22 Abs. 3 DSGVO): Prozess für die menschliche Überprüfung einer automatisierten Einzelentscheidung und des Betroffenenstandpunkts.
  • Mitteilungspflicht bei Berichtigung oder Löschung (Art. 19 DSGVO): Vorlage für die Information von Geschäftspartnern, Auftragnehmern und anderen, denen in der Vergangenheit personenbezogene Daten zum Betroffenen mitgeteilt wurden. Ggf. Vorlage für die Information des Betroffenen über die einzelnen Empfänger.
  • Widerspruchsrecht und Widerrufsrecht (Art. 21, Art. 7 Abs. 3 DSGVO): Führen einer Widerrufs- bzw. Widerspruchsliste in den Bereichen Marketing und ggf. Analytics, um zu verhindern, dass eine weitere Ansprache bzw. Analyse des Kunden erfolgt. Sicherstellen, dass sämtliche Widersprüche bzw. Widerrufe an die zuständige Stelle im Unternehmen weitergeleitet werden und nichts „unter den Tisch gekehrt“ wird.

3. Keine unkontrollierte Datenherausgabe – professionelle Kommunikation ist gefragt

Die Bearbeitung mancher Betroffenenrechte erfordert die Datenherausgabe an den Betroffenen und / oder an andere Stellen. Eine Herausgabe personenbezogener Daten ist stets „heiß“ und sollte niemals unbedacht erfolgen – auch dann nicht, wenn der erste und zweite Schritt dieser Anleitung erfolgreich durchgeführt wurden, also das Anliegen des Betroffenen juristisch geprüft und erforderliche Maßnahmen, wie z.B. Löschung, Berichtigung oder das Ausfüllen eines Auskunftsblatts erfolgten.

Jetzt gilt es sicherzustellen, dass die ggf. erforderliche Information des Betroffenen und / oder anderer Stellen in sicherer und nachweisbarer Weise (Art. 32 DSGVO, Art. 5 Abs. 2 DSGVO) erfolgt und dass auch nur genau die Daten kommuniziert werden, die kommuniziert werden dürfen. Folgende Punkte sind hierbei u. a. zu beachten:

  • Auskunftsrecht (1): Information per Telefon nur bei ausdrücklichem Wunsch des Betroffenen. Das Unternehmen sollte im Zweifel nachweisen können, dass es der Auskunft rechtskonform nachgekommen ist. Bei einer telefonischen Auskunft wäre zudem regelmäßig nicht sichergestellt, dass es sich beim Gesprächspartner auch wirklich um den Betroffenen handelt.
  • Auskunftsrecht (2): Einsatz einer sicheren Verschlüsselungstechnologie, wenn die Daten per E-Mail an den Betroffenen gesendet werden sollen. Sofern Containerpasswörter verwendet werden, sollte dem Betroffenen das Passwort telefonisch bzw. auf einem getrennten Kanal durchgegeben werden.
  • Löschungsrecht, Berichtigungsrecht, Einschränkungsrecht: Bestätigung der erfolgten Löschung, Berichtigung bzw. Einschränkung. Die Löschbestätigung sollte anschließend ebenfalls gelöscht werden. Sofern gar keine Daten zum Betroffenen vorlagen (vgl. Schritt 2): Versenden einer sogenannten „Negativauskunft“ – also die Information darüber, dass keine Daten gespeichert sind.

Fazit: Der gute Prozess macht bei den Betroffenenrechten den Unterschied.

Detaillierte Prozessbeschreibungen schaden oftmals mehr, als dass sie zu irgendetwas nützen. Bei den Betroffenenrechten ist das ausnahmsweise anders: Wer hier mittels Schulungen, Richtlinien, Powerpoint-Präsentationen und Vorlagen seine Belegschaft gut vorbereitet und Zuständigkeiten in Konzepten klar definiert, minimiert das Risiko einer späteren Eskalation in der Kommunikation mit dem Betroffenen (siehe dazu unsere kostenlose Vorlage für eine Richtlinie zum Umgang mit Betroffenenanfragen).

Insbesondere in Unternehmen, in denen Datenschutzanfragen zur Tagesordnung gehören, sollten diese möglichst eigenständig von den internen Datenschutzkoordinatoren bearbeitet werden können, um ein schnelles Reagieren sicherzustellen. Der betriebliche bzw. externe Datenschutzbeauftragte sollte jedoch bei Unklarheiten stets hinzugezogen werden.

Dieser aktualisierte Artikel wurde zuerst am 24. August 2018 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Zuverlässigkeit des betrieblichen Datenschutzbeauftragten

Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das Bundesdatenschutzgesetz (BDSG) stellen hohe Anforderungen an die Personen, die zum betrieblichen Datenschutzbeauftragten bestellt werden sollen. Diese Anforderungen lassen sich in die Bereiche der Fachkunde und der Zuverlässigkeit unterteilen. Insbesondere der Begriff der Zuverlässigkeit enthält jedoch keine klaren Konturen und Abgrenzungen – und sorgt daher in der Praxis öfter für Verwirrung. Was also bedeutet es, wenn ein Datenschutzbeauftragter zuverlässig sein soll?

Zuverlässigkeit als Anforderung an den Datenschutzbeauftragten

Zuverlässigkeit setzt zunächst einmal die persönliche Integrität des Datenschutzbeauftragten voraus. Diese beurteilt sich nach dem bisherigen Verhalten des Mitarbeiters im Unternehmen sowie seiner allgemeinen Charakterzüge. Die persönliche Integrität ist sehr wichtig, da der Datenschutzbeauftragte innerhalb des Unternehmens eine besonders hohe Vertrauensstellung in Anspruch nimmt. Er erhält von fast allen Abläufen und Vorgängen im Unternehmen Kenntnis und verfügt daher über ein sehr umfangreiches Wissen über das Unternehmen selbst, aber auch über dessen Mitarbeiter.

Der Datenschutzbeauftragte sollte stets eine neutrale Position im Unternehmen einnehmen, so dass sowohl der Betriebsrat und die Mitarbeiter als auch die Geschäftsführung ihn als unabhängige Instanz wahrnehmen und sich seiner Unvoreingenommenheit sicher sein können. Denn der Datenschutzbeauftragte stellt sowohl für Personal als auch für die Geschäftsführung die erste Instanz dar, die bei datenschutzrechtlichen Fragestellungen kontaktiert wird.

Oftmals kommt es zwischen den Parteien jedoch zum Konflikt, insbesondere was den Umgang mit Mitarbeiterdaten betrifft. Um seiner Vertrauensposition gerecht zu werden, ist es daher wichtig, auch in solchen Streitfällen stets neutral zwischen den Konfliktparteien zu stehen und sich keiner der beiden Seiten zugehörig zu fühlen.

Mögliche Interessenskonflikte des Datenschutzbeauftragten

Daneben darf der Datenschutzbeauftragte in keinem Interessenkonflikt stehen. Datenschutzbeauftragte müssen ihre Aufgaben in vollständiger Unabhängigkeit und Weisungsfreiheit ausüben können. Ein Interessenkonflikt könnte dann entstehen, wenn der Datenschutzbeauftragte sich selbst oder seine eignen Aufgaben kontrollieren müsste oder wenn er ein eigenes wirtschaftliches Interesse am Unternehmenserfolg hat.

Dies würde dem Zweck eines Datenschutzbeauftragten zuwiderlaufen, da dieser grundsätzlich eine neutrale Stelle darstellen soll, die den für den Umgang mit personenbezogenen Daten verantwortlichen Personen „auf die Finger schaut“. Daher ist eine Bestellung von Personen aus der Geschäftsführung sowie von verantwortlichen Personen aus dem Bereich Personal, EDV, Vertrieb oder Marketing nicht zulässig. Auch die Bestellung von Personen aus dem Betriebsrat ist grundsätzlich nicht empfehlenswert.

Als Faustregel lässt sich festhalten, dass all diejenigen, die für den Umgang mit personenbezogenen Daten verantwortlich sind, stets der Gefahr eines Interessenskonflikts ausgesetzt sind und daher grundsätzlich nicht in Frage kommen. Auch wenn es sich aus Sicht der Unternehmen anbietet, den IT-Leiter oder den Leiter der Rechtsabteilung zu bestellen, da diese teilweise schon die erforderliche Fachkunde mitbringen, ist hiervon strikt abzuraten. Es mag zwar wesentlich umständlicher sein, einem Unbeteiligten die erforderliche Fachkunde beizubringen, aber aus rechtlicher Sicht ist dies der einzig gangbare Weg, um sich nicht der Gefahr eines Bußgeldes auszusetzen.

Bei der Auswahl eines Datenschutzbeauftragten ist der in Frage kommende Kandidatenkreis also zunächst einmal anhand der Zuverlässigkeit zu sondieren und anschließend ist in einem zweiten Schritt nach dem Merkmal der Fachkunde auszuwählen. Bei vielen Unternehmen stellt sich aufgrund deren Größe jedoch bereits im Rahmen der Zuverlässigkeit das Problem, dass keine geeigneten Kandidaten mehr vorhanden sind.

Fazit: Geeignete Kandidaten sind intern nicht leicht zu finden

Unternehmen sollten schon vor der Benennung eines Datenschutzbeauftragten prüfen, ob es zu Interessenskonflikten kommen kann. Gegebenenfalls empfiehlt es sich, einen externen Datenschutzbeauftragten zu bestellen, sofern das Unternehmen einen Interessenskonflikt bei keinem geeigneten Mitarbeiter sicher ausschließen kann.

Aber auch externe Datenschutzbeauftragte dürfen natürlich keine Interessenskonflikte haben. Demnach kann ein externer IT-Verantwortlicher nicht auch gleichzeitig als Datenschutzbeauftragter bestellt werden.

Dieser aktualisierte Artikel erschien zuerst am 10. Dezember 2014.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Haftung des Datenschutzbeauftragten

Wer von einem Unternehmen als interner (betrieblicher) oder externer Datenschutzbeauftragter bestellt wird, nimmt gemäß der Datenschutz-Grundverordnung (DSGVO) nicht nur eine beratende Funktionen im Unternehmen ein, sondern auch eine überwachende. Mit dieser Verantwortung kommt auf den Datenschutzbeauftragten auch eine gewisse Haftung zu. Wann und in welchem Umfang der Beauftragte für Datenschutz haftet und wie sich Haftungsrisiken von internem und externem Datenschutzbeauftragten unterscheiden, erklären wir Ihnen in diesem Artikel.

Grundsätzliches zur Haftung des Datenschutzbeauftragten

Zuerst einmal sollte klargestellt werden, dass der Datenschutzbeauftragte nicht für die Datenverarbeitung oder Datenschutzverstöße des Verantwortlichen haftet. Im Rahmen seiner Stellung kann der Beauftragte für Datenschutz keine Weisungen erteilen und demnach Ursachen für Verstöße gegen das Datenschutzrecht nicht selbst abstellen.

Allerdings können sowohl das Unternehmen als auch Betroffene Schadensansprüche gegen den Datenschutzbeauftragten geltend machen: Beispielsweise haftet er dem Verantwortlichen gegenüber, wenn dem Verantwortlichen ein Schaden (z.B. Bußgeld durch die Aufsichtsbehörde) entsteht, welcher auf eine falsche Beratung zurückzuführen ist.

Für Schäden von Betroffenen kommt eine Haftung des Beauftragten für Datenschutz in Betracht, wenn der Verantwortliche z.B. aufgrund einer objektiv falschen Beratung eine datenschutzrechtlich unzulässige Maßnahme durchführt, aufgrund welcher ein Betroffener einen Schaden erleidet. Mangels vertraglicher Beziehungen löst solch eine Handlung einen deliktischen Anspruch des Betroffenen aus.

Welches finanzielle Risiko geht mit der Haftung einher?

Interner Datenschutzbeauftragter

Der interne Datenschutzbeauftragte ist beim Auftraggeber als Arbeitnehmer beschäftigt und genießt daher die Vorteile des sogenannten „innerbetrieblichen Schadensausgleichs“. Danach muss ein Schaden nur dann vom Mitarbeiter aus der eigenen Tasche gezahlt werden, wenn er vorsätzlich oder grob fahrlässig verursacht wurde:

  1. Im Falle der groben Fahrlässigkeit ist bei einem deutlichen Missverhältnis zwischen der Schadenshöhe und dem Einkommen des Datenschutzbeauftragten jedoch auch eine Haftungserleichterung möglich.
  2. Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Arbeitgeber und Arbeitnehmer aufgeteilt. Wie hoch der Anteil des Datenschutzbeauftragten ist, hängt dabei von den Umständen des konkreten Falles ab.
  3. Im Ergebnis trägt aber nur bei leichter Fahrlässigkeit der Arbeitgeber den Schaden komplett und kann nicht auf den internen Datenschutzbeauftragten zurückgreifen.

Dabei ist es wichtig zu wissen, dass „grob fahrlässig“ auch handelt, wer Aufgaben übernimmt, die er vorhersehbar nicht ordentlich erledigen können wird – etwa wegen mangelnder Fachkunde.

Diese Regelungen gelten, sofern im Arbeitsvertrag oder im Rahmen der Bestellung keine für den Datenschutzbeauftragten besseren Regelungen getroffen wurden. Schlechtere Haftungsregelungen für den Datenschutzbeauftragten wären im Arbeitsvertrag allerdings grundsätzlich unzulässig.

Externer Datenschutzbeauftragter

Der externe Datenschutzbeauftragte ist im Gegensatz zum internen Datenschutzbeauftragten beim Auftraggeber nicht angestellt.  Ein externer Datenschutzbeauftragter profitiert demnach nicht vom „innerbetrieblichen Schadenausgleich“. Demnach haftet der externe Datenschutzbeauftragte gegenüber dem jeweils Geschädigten schon bei leichter Fahrlässigkeit in voller Höhe.

Immer wieder gibt es auch Fälle, in denen ein angestellter – also interner – Beauftragter für Datenschutz gleichzeitig andere Unternehmen im Konzern betreut. Sofern der Datenschutzbeauftragte hier nicht angestellt ist, ist er bei diesen Unternehmen dann externer Datenschutzbeauftragter.

Welche strafrechtlichen Aspekte betreffen den Datenschutzbeauftragten?

Da der Datenschutzbeauftragte selbst keine Weisungsbefugnisse hat und für die Umsetzung des Datenschutzes nicht verantwortlich ist, kann er sich nur wegen Beihilfe zu Datenschutzverletzungen strafbar machen. Das wäre insbesondere dann der Fall, wenn der Datenschutzbeauftragte eine datenschutzrechtlich unzulässige Aktion – aus welchen Gründen auch immer – bewusst „durchgehen lässt“.

Wie können sich Datenschutzbeauftragte gegen Haftung absichern?

Sorgfältige Arbeit ist ohne Zweifel die beste Absicherung für einen Datenschutzbeauftragten. Dazu gehören neben eigener Sach- bzw. Fachkunde und regelmäßiger Fortbildung auch die genaue Dokumentation der eigenen Arbeit. Als letzter Ausweg muss die Einschaltung der Aufsichtsbehörde in Betracht gezogen werden. Die Argumente für die getroffene Entscheidung über die Einschaltung sind ebenfalls zu dokumentieren.

Gerade beim Konzern-Datenschutzbeauftragten gibt es darüber hinaus häufig auch den Wunsch, diesen von allen Haftungsrisiken bestmöglich zu befreien. Die DSGVO stellt deutlich hohe und ggf.  existenzbedrohende Bußgelder und Sanktionen für Datenschutzverletzungen in Aussicht. Um den Konzern-Datenschutzbeauftragten vor solchen Zahlungen bestmöglich zu schützen, sind daher Vereinbarungen möglich, wonach die betreffenden Unternehmen die Schadenersatzforderungen in den relevanten Fällen selbst tragen und den Beauftragten für Datenschutz von der Haftung freistellen. Eine andere Möglichkeit wäre, eine Berufshaftpflichtversicherung für den betreffenden Angestellten abzuschließen.

Wichtig ist: Weder Freistellungserklärung noch Versicherung dürfen dazu führen, dass der Datenschutzbeauftragte seine Arbeit schleifen oder in kritischen Situationen den Arbeitgeber gewähren lässt. Denn vorsätzliches Handeln ist bei Freistellungserklärungen und Versicherungen immer ausgenommen, grob fahrlässiges Handeln in der Regel auch. In diesen Fällen würde der Datenschutzbeauftragte also dennoch selbst haften.

Dieser aktualisierte Artikel erschien zuerst am 15. April 2011.

In unserem kostenlosen Whitepaper zum betrieblichen Datenschutzbeauftragten finden Sie alle Informationen zu Voraussetzungen, Stellung und Aufgaben.

Geschrieben am:

Patientenakten und Datenschutz: Was müssen Ärzte bei einer Praxisübernahme beachten?

Wechselt eine Arztpraxis ihren Besitzer, stellt sich die Frage, ob der Nachfolger die Patientenakten vom Vorgänger einsehen und benutzen darf. Denn natürlich lohnt es sich für den neuen Arzt, den Patientenstamm zu übernehmen, weil so ein Kerngeschäft bereits vorhanden ist. Doch bei den vorhandenen Patientenakten des Vorgängers ist neben dem klassischen Patientengeheimnis auch der Datenschutz zu beachten. Immerhin handelt es sich bei Gesundheitsdaten um besondere personenbezogene Daten, welche besonders schützenswert sind. Wie mit alten Patientenakten bei Praxisübernahme oder Praxisauflösung umgegangen werden sollte, erfahren Sie in diesem Artikel.

Dürfen Patientenakten „vererbt“ werden?

Da hinter jeder Patientenakte das Vertrauensverhältnis zwischen Arzt und Patient steht und dieses Vertrauensverhältnis nicht einfach auf einen Dritten erweitert werden kann, ist nicht davon auszugehen, dass Patientenakten ohne weiteres an einen Nachfolger übergeben werden können. Ein Patient, der die Behandlung eines bestimmten, nämlich seines Arztes gesucht hat, will nicht automatisch von dessen Nachfolger behandelt werden. Konsequenterweise muss das auch bei der Aktenverwaltung berücksichtigt werden.

Wie sollten Patientenakten nach Praxisübergabe behandelt werden?

Das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein schlägt für Praxisübernahmen bzw. -übergaben das sogenannte „Zwei-Schrank-Modell“ vor. Danach werden die Patientenakten des Vorgängers in einem anderen Schrank gelagert, als die Akten des Nachfolgers. Der Nachfolger hat keine Erlaubnis, auf die Patientenakten des Vorgängers zuzugreifen. Im Fall einer elektronischen Aktenverwaltung sollte durch Zugangsbeschränkungen ebenso verfahren werden. Ein Zugriff auf die Akte des Vorgängers sollte demnach standardmäßig für den Nachfolger ausgeschlossen sein.

Natürlich kann der Nachfolger die Bestandspatienten über den Umstand des Praxisübergangs aufklären und fragen, ob er die angelegte Akte seines Vorgängers übernehmen darf. Sollte der neue Arzt jeweils die ausdrückliche Einwilligung der Patienten bekommen, so kann die vorhandene Akte ohne Probleme in die jetzt neu angelegte Akte übernommen werden. Dieser Vorgang sollte schriftlich dokumentiert und die Einwilligungserklärung Teil der neuen Patientenakte werden.

1. Ausnahme: Nachfolger-Arzt ist bereits bekannt

Wie immer bestätigen Ausnahmen die Regel. So kann eine Altakte vom nachfolgenden Arzt weiterverwendet werden, wenn dieser schon unter dem Vorgänger längere Zeit in der Praxis tätig war und erst im Nachhinein die Praxis erwarb. Dadurch war der Aktenzugriff ohnehin schon erlaubt, um eine effektive Behandlung durch die in der Praxis tätigen Ärzte zu gewährleisten. In der Regel dürfte der neue Arzt den Patienten dann auch bereits bekannt sein. Es wäre praxisfern hier noch eine separate Einwilligung zu fordern.

2. Ausnahme: Patientenakten beim Betriebsarzt

Eine weitere Ausnahme besteht bei Betriebsärzten, da hier das oben angesprochene Vertrauensverhältnis zwischen Arzt und Patient nicht in dieser ausgeprägten Form besteht. Zwar unterfällt der Betriebsarzt auch der ärztlichen Schweigepflicht. Allerdings ist er bestellt, um den Arbeitgeber bei Gesundheitsfragen in dessen Unternehmen zu unterstützen. Arbeitnehmer werden daher zu Pflichtuntersuchungen gebeten, damit der Arbeitgeber seiner Sorgfaltspflicht gegenüber seinen Arbeitnehmern in Bezug auf ein gesundes Arbeitsumfeld gerecht wird.

Allerdings bedeutet das nicht, dass Arbeitnehmer sich in allen medizinischen Fragen an den Betriebsarzt wenden müssen. Meist wird auch hier für spezielle medizinische Probleme auf den Hausarzt oder einen Spezialisten zurückgegriffen. Der Betriebsarzt hat im besten Falle also nur das verlangte Minimum an medizinischen Daten in seinen Aufzeichnungen – zumindest solange, wie Arbeitnehmer sich nicht auf freiwilliger Basis dem Betriebsarzt anvertrauen.

Bei einem Wechsel des Betriebsarztes wird daher davon ausgegangen, dass die Patientenakten an den neuen Betriebsarzt übergeben werden. Schließlich soll der in der Lage sein, die Aufgaben seines Vorgängers für den Arbeitgeber nahtlos weiter erfüllen zu können. Eine ausdrückliche Einwilligung der Mitarbeiter bzw. Patienten ist hier daher nicht vorgesehen. Aus Transparenzgrüngen sollte aber ein Wechsel des Betriebsarztes im Unternehmen deutlich kommuniziert werden.

Ferner ist auch zu beachten, dass bei einem Wechsel des Betriebsarztes zumindest eine Widerspruchsmöglichkeit für die Teile der Akte eingeräumt wird, die der Vorgänger außerhalb einer Pflichtuntersuchung angelegt hat. Mit anderen Worten: Die medizinischen Daten, die ein Patient dem Betriebsarzt freiwillig zugänglich gemacht hat, unterfallen eben nicht dieser Ausnahme und müssen für den neuen Betriebsarzt gesperrt werden.

Aufbewahrungspflichten für Patientenakten

In diesem Zusammenhang sei noch darauf hingewiesen, dass weder Altakten bei einer Praxisübernahme, noch Teile der Patientenakte bei einem Wechsel des Betriebsarztes gelöscht werden dürfen. Dies gilt auch, wenn eine Praxis mangels Nachfolger ganz geschlossen werden muss. Medizinische Akten sind in Deutschland zehn Jahre lang aufzubewahren. Patientenakten bzw. Teile dieser dürfen daher nur gesperrt werden (und müssen dies auch!), wenn die oben beschriebenen Voraussetzungen nicht vorliegen.

Im Falle der vollständigen Schließung einer Arztpraxis muss dies ebenso beachtet werden. Die Akten sind sicher zu verwahren, um einen späteren Zugriff durch den jeweiligen Patienten zu gewährleisten. Erst nach der gesetzlichen Frist dürfen die Akten vernichtet werden.

Dieser aktualisierte Artikel wurde zuerst am 19. November 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: