Datenschutzberater: Trägt der Datenschutzberater Haftungsrisiken?
Dr. Dirk Spacek
Dirk Spacek ist Partner und Co-Verantwortlicher der Praxisgruppen TMC und IP. Er befasst sich vornehmlich mit neuen Geschäftsmodellen im Medien-, Internet- und Technologiesektor, der Datenvermarktung und dem Immaterialgüterrecht.
Mittlerweile wurden diese beiden Bestimmungen abgeschafft. Ein Verzeichnis von Datensammlungen muss man nicht mehr halten und der "Datenschutzberater" ist an Stelle des alten "Datenschutzverantwortlichen" getreten. Was ist nun seine Rolle? Ist dessen Einberufung überhaupt zwingend? Und was ist nun, wenn er mal Mist baut? Haftet er oder haftet das Unternehmen? Diesen und ähnlichen Fragen geht der vorliegende Beitrag nach.
Ist die Bestellung eines Datenschutzberaters überhaupt notwendig? Hat jedes Unternehmen einen solchen?
Nein. Private Verantwortliche haben die Möglichkeit, einen Datenschutzberater zu ernennen. Es besteht jedoch keine Verpflichtung zur Ernennung (siehe Art. 10 Abs. 1 DSG, "Kann"-Bestimmung). Für betroffene Personen und Behörden ist ein solcher Datenschutzberater immerhin eine geeignete Anlaufstelle und er kann evtl. zu einer erhöhten Reputation des Unternehmens verhelfen. Der einzig formelle Vorteil der Bestellung eines Datenschutzberaters ist, dass das Unternehmen von der Konsultation des EDÖB im Rahmen einer Datenschutz-Folgeabschätzung absehen kann, wenn es sich mit dem Datenschutzberater konsultiert hat (Art. 23 Abs. 4 DSG). Somit besteht ein grundlegender Unterschied zur EU, wo die Bestellung eines "Datenschutzbeauftragten" grundsätzlich vorgeschrieben ist und in wenigen Fällen davon abgesehen werden kann. Anzumerken ist, dass viele Unternehmen intern Individuen für Datenschutzangelegenheiten verantwortlich erklären (z.B. ein Compliance Officer oder eine ähnlich bezeichnete Funktion). Dies entspricht aber nicht der Funktion eines Datenschutzberaters im Sinne des DSG. Ein Datenschutzberater im Sinne des DSG muss formell als solches konstituiert werden, inhaltlich zwingende Anforderungen erfüllen (siehe später) und auch gegenüber den Behörden (EDÖB) bekannt gegeben werden, damit er seine Rechtswirkungen vollumfänglich entfaltet.
Welche gesetzlichen Anforderungen muss ein Datenschutzberater überhaupt erfüllen?
Gemäss Art. 10 DSG muss ein Datenschutzberater seine Tätigkeit "unabhängig und weisungsungebunden" ausüben. Das impliziert, dass er in Ausübung seiner Funktion ausserhalb der weisungsgebundenen Hierarchielinie stehen muss. In einem Organigramm ist er i.d.R. auf horizontaler Stufe wie andere Funktionen z.B. CIO, CFO, CEO anzusiedeln und nicht auf vertikaler Stufe in einer verbundenen Hierarchielinie. Ferner darf der Datenschutzberater keinen Tätigkeiten nachgehen, die mit seiner Datenschutzberatungstätigkeit unvereinbar wäre/n bzw. ihn Interessenkonflikten aussetzt. So wäre z.B. eine Personalunion von CEO und Datenschutzberater oder CFO und Datenschutzberater unvereinbar, denn der Datenschutzberater sollte nicht solche überschneidenden Funktionen gleichzeitig wahrnehmen. Es wäre z.B. möglich, dass er als Datenschutzberater eine datenschutzrechtlich gebotene Massnahme diagnostiziert, gleichzeitig aber als CFO diese Massnahme als wenig profitabel einschätzt, weil sie umständliche operative Umstellungen erfordert. In solchen Fällen schafft die Übernahme zweier solcher Funktionen Interessenkonfliktpotential und sollte deshalb bevorzugt vermieden werden. Schliesslich muss der Datenschutzberater über die erforderlichen "Sachkenntnisse" verfügen. Damit ist keineswegs gemeint, dass er ein studierter Jurist sein muss. Doch er sollte mit Datenschutz und Datenschutzmanagement vertraut sein und wissen, wann der Beizug eines Experten im Datenschutz erforderlich wäre. Als Basis für diese Fachkenntnisse kommen verschiedene Methoden in Betracht. So wäre es möglich, dass jemand diese Kenntnisse in-house unter der Aufsicht eines Datenschutzexperten aufbaut oder sich im Rahmen eines z.B. CAS Datenschutzmanagement oder einer Zertifizierung (z.B. Certified Privacy Professional CIPP/EU) dazu weitergebildet hat. Auch sind bisweilen in der Praxis studierte Juristen (in-house-legal counsel) anzutreffen, die sich der Tätigkeit eines Data Protection Officers ausschliesslich verschreiben. Dies ist aber nicht immer der Fall. Dem Datenschutzberater bleibt es immer erlaubt und sogar nahegelegt, externe Datenschutzberatung in Anspruch zu nehmen (z.B. weil das Risikospektrum zu hoch ist oder weil es z.B. ausländische Jurisdiktionen betrifft, die er nicht kennt oder nicht einschätzen kann).
Wer haftet überhaupt generell in Datenschutzbelangen für ein Unternehmen?
Zu unterscheiden ist zwischen zivil-, verwaltungsrechtlichen und strafrechtlichen Sanktionen. Zivilrechtlich steht grundsätzlich das verantwortliche Unternehmen im Fokus. Zu denken ist hier an eine Klage einer betroffenen Person gegen das Unternehmen – z.B. auf Unterlassung einer Bearbeitungspraktik, Schadenersatz oder Genugtuung. Verletzungen des DSG können auch verwaltungsrechtliche Verfahren gegen das verantwortliche Unternehmen nach sich ziehen: Der EDÖB kann bei Datenschutzverletzungen ein verwaltungsrechtliches Untersuchungsverfahren eröffnen (Art. 49 DSG) und gewisse Verwaltungsmassnahmen verfügen (Art. 51 DSG). Da diese Verfahren z.T. öffentlich sind, löst dies regelmässig auch einen Reputationsschaden aus.
Seminar-Empfehlungen
Anders sieht das Thema im Bereich der strafrechtlichen Sanktionen aus: Im Visier der Strafbestimmungen des DSG stehen grundsätzlich die für die Verletzung verantwortlichen natürlichen Personen. Unser Strafgesetzbuch kennt keine grundsätzliche Strafbarkeit des Unternehmens. Dies unterscheidet die Schweiz von der EU, wo die EU-Datenschutz-Grundverordnung (DSGVO) hohe Bussen für Unternehmen vorsieht. Ist eine juristische Person Pflichtträgerin i.S. des Schweizer DSG, so sind die tatsächlich für das Unternehmen handelnden und den Tatbestand erfüllenden natürlichen Personen verantwortlich. Im Fokus stehen Leitungspersonen, die aufgrund ihrer Verpflichtung zur Sicherstellung der Einhaltung des DSG im Unternehmen zuständig sind (z.B. Verwaltungsräte, Geschäftsführung) sowie jede andere Person, die den relevanten Datenbearbeitungsvorgang aufgrund ihrer Zuständigkeit überblickt und verantwortet. Zu diesem Personenkreis können Funktionen wie CIO, CISO oder Compliance gehören und insbesondere auch interne Datenschutzverantwortliche, doch nicht nur diese fallen exklusiv darunter. Erfasst sind auch alle faktischen Organe, d.h. solche die über tatsächliche Entscheidungs- und Weisungsbefugnisse mit Bezug auf Datenbearbeitungsvorgänge verfügen. Eher nicht zu den Leitungspersonen gehören etwas blosse Datenschutzkoordinatoren oder Projektmanager ohne Entscheid- und Weisungsbefugnis. Es muss im Einzelfall geklärt werden, wer als Täter in Frage kommt. Massgebend zur Beurteilung ist stets die unternehmensinterne Regelung der Verantwortlichkeit.
Übersteigt die vorgesehene Busse CHF 50'000 nicht und wären die Aufwände für die Ermittlung der verantwortlichen Person in einem Unternehmen unverhältnismässig, dann kann die Strafverfolgungsbehörde von der Verfolgung dieser Person absehen und stattdessen den Geschäftsbetrieb verurteilen (Art. 6 und 7 Bundesgesetz über das Verwaltungsstrafrecht (VStrR) i.V.m. Art. 64 DSG). Diese Regelung bleibt aber die Ausnahme.
Die Höchststrafe beträgt CHF 250‘000, wobei bei der Bemessung der Busse die wirtschaftlichen Verhältnisse berücksichtigt werden. Zuständig für die Strafverfolgung sind die kantonalen Strafverfolgungsbehörden.
Und wann haftet nun ein Datenschutzberater?
Wie die obigen Ausführungen gezeigt haben, haftet eben nicht nur der Datenschutzberater, sondern grundsätzlich jede Leitungsperson, die soz. "entscheidungsbefugt" Datenbearbeitungsprozesse verantwortet. Ein Datenschutzberater haftet somit nicht automatisch alleine für alles, was in einem Unternehmen mit Daten geschieht. Der kausale Entscheidungsbeitrag zu Datenbe-arbeitungsaktivitäten ist matchentscheidend. Es können durchaus mehrere Verantwortungsträger in einer Firma für Datenschutzverstösse haften. Ein Datenschutzberater kommt als Träger strafrechtlicher Sanktionen nur infrage, wenn ihm wirksam Entscheidungs- bzw. Weisungsbefugnisse delegiert wurden, d.h. wenn er nicht nur beratend, sondern effektiv als Verantwortlicher agiert (sprich Datenprozesse im Unternehmen verbindlich für alle festlegt, die sodann auch befolgt werden müssen). Nur Beratungen, auch wenn schlechte, während andere die Datenbearbeitungen letztlich ausüben und darüber entscheiden, sind nicht gemäss Art. 60 ff. DSG strafbar. Immerhin lässt sich die Frage aufwerfen, ob ein Datenschutzberater, der Verantwortliche vorsätzlich motiviert, unter dem DSG strafbare Handlungen vorzunehmen, als Anstifter in Frage kommen könnte.
In anderen Worten: Das Umgehen strafrechtlicher DSG-Sanktionen ist nicht mit der Bestellung eines Datenschutzberaters leicht gemacht (gemeint: er wird für alle Datenschutzverstösse der Firma gerade stehen). Vielmehr müssten ihm für sämtliche Datenbearbeitungsprozess Entscheidungs- und Weisungsbefugnisse wirksam delegiert worden sein. Ist dies nicht der Fall und handeln andere Organe eines Unternehmens weiterhin selbstverantwortend über Datenbearbeitungsprozesse (z.B das HR entscheidet selbst wie es mit Personaldaten umgeht, der CEO sagt der Marketingabteilung, wie die Kundendaten im CRM abgespeichert werden sollen und versendet Nachrichten nach eigenem Gusto an Kunden, der CFO entscheidet, in welchem Tool die Finanz- und Bonitätsdaten der Kunden gespeichert und wieweit analysiert/gescreent werden), dann liegt vielmehr ein Pool mehrfach Verantwortlicher für Datenbearbeitungen vor, von denen jeder als potentieller Mittäter i.S. der Strafsanktionen des DSG in Frage kommen.
Könnte man Datenschutzverstösse (Bussen) nicht einfach versichern? Dann würde sich dieses Thema gar nicht mehr stellen?
Geldbussen dürfen nach herrschender Lehre bei Vorsatz weder versichert noch vom Arbeitgeber bezahlt werden. Dies könnte den Straftatbestand der Begünstigung im Sinne von Art. 305 Strafgesetzbuch (StGB) erfüllen. Diskutiert wird auch, ob die verbindliche Übernahme solcher Bussen sittenwidrig/nichtig ist, zumal so strafbares Verhalten gefördert oder zumindest Hemmfaktoren zur Vornahme solcher Handlungen abgebaut werden. Das Strafrecht würde damit seiner generalpräventiven Funktion beraubt. Es ist aber je nach Versicherung möglich, Bussgelder bei Fahrlässigkeit und Entschädigungsleistungen für berechtigte zivilrechtliche Ansprüche, Anwalts- und Verfahrenskosten sowie die Kosten für die Abwehr unberechtigter Forderungen zu versichern (sog. D&O-Versicherung).
Woran tut der Datenschutzbeauftragte in jedem Fall gut in seinem Amt?
Vorerst sollte er prüfen, ob bzw. in welchem Umfang er Entscheidungs- und Weisungsbefugnisse innehält. Sobald er diese trägt, muss er sich der Konsequenzen seiner Tätigkeit stärker bewusst sein und mehr Vorsicht in seiner Aktivität walten lassen (evtl. sogar übervorsichtige Äusserungen in Geschäftssitzungsprotokollen, restriktive Weisungen bez. Datenbearbeitungen, bei Unsicherheit Verifizierungen einzelner Aspekte durch externe Rechtsanwälte etc.). Sollte er nur beratend tätig sein und andere über die konkrete Vornahme von Datenbearbeitungen entscheiden, ist seine Tätigkeit weniger risikoexponiert. Immerhin muss aber auch er als beratend Tätiger sorgfältig und gewissenhaft arbeiten. Sollte er schlecht/falsch beraten, könnte dies arbeitsrechtliche Konsequenzen mit sich ziehen. So könnte ihm das Unternehmen u.U. kündigen und er könnte im Innenverhältnis (d.h. gegenüber dem Arbeitgeber) für entstandene Schäden haften (Art. 321e OR).
Schliesslich ist – immerhin etwas erleichternd – in Erinnerung zu rufen, dass nur abschliessend aufgezählte, spezifische Handlungen unter dem DSG Strafsanktionen mit sich ziehen während andere DSG-Verstösse keine strafrechtlichen Konsequenzen haben. Zu den abschliessend aufzuzählenden Straftatbeständen zählen: Mangelnde Information Betroffener (im Rahmen einer Datenschutzerklärung), Nicht-Beantwortung oder unvollständige Beantwortung von Auskunftsgesuchen Betroffener, fehlende Mitwirkung/Zusammenarbeit mit dem EDÖB, Unterlassung von Massnahmen der Datensicherheit, Unterlassung von Sicherheitsmassnahmen/Vorkehrungen bei Datentransfers in unsichere Drittländer. Dies schafft immerhin eine Liste von Anhaltspunkten, auf welche Aspekte der Datenschutzberater sich in seiner Tätigkeit primär fokussieren sollte (strafbewehrte DSG-Fragen) und auf welche er sich sekundär fokussieren sollte.
Exkurs: Externalisieren von DPO-Aufgaben?
Viele Unternehmen sind geneigt, die Aufgaben des Datenschutzberaters zu externalisieren, d.h. z.B. eine externe Anwaltskanzlei als Datenschutzberater/in (DPO) formell zu bestellen und nach aussen bekanntzugeben. Diverse Kanzleien weigern sich, eine solche Delegation im weit verstandenen bzw. formellen Sinne zu übernehmen. So wird eine Kanzlei zwar gerne externe Beratungsdienstleistungen anbieten, doch sie wird kaum bzw. selten für Datenbearbeitungsaktivitäten weisungs- und entscheidungsbefugt gegenüber dem Unternehmen auftreten können und wollen (d.h. wie ein Datenschutzberater i.S. der formellen Anforderungskriterien des DSG). Ihre Funktion als Datenschutzberater/in i.S. des DSG könnte sie zudem nur ausüben, wenn sie auch vertraut wäre mit allen täglichen Datenbearbeitungsaktivitäten des Unternehmens und Zugang zu relevanten Datensammlungen bzw. Bearbeitungszentren hätte. Ansonsten übernähme die Kanzlei das Risiko einer "Black Box". In den meisten Fällen wird sich die Tätigkeit eines externen bestellten DPOs in externer beratender Tätigkeit erschöpfen und vertraglich die Weisungs- und Entscheidungsbefugnis zur Umsetzung von Datenbearbeitungen an das beratene Unternehmen allozieren.
