Das Leben ist nicht immer leicht. Kunden machen es manchmal sogar etwas schwerer. Noch schwerer machen es aber manchmal willfährige Hausjuristen, die sich als reine „Vollstrecker“ verstehen, ihren Arbeitgeber als reine JA-sager beraten und sich anschließend um externen Rat eines Fachmannes bemühen.
Der Inhalt im Überblick
Einleitung
Man stelle sich vor, die Rechtsabteilung eines potentiellen Kunden ruft an, bittet um einen Kennenlerntermin und gibt an Probleme mit der Datenschutzaufsichtsbehörde des Landes zu haben. Allerdings sei man nicht bereit, diese vorab genauer zu schildern. Eine kurze Internetrecherche ergibt, dass es sich um ein nicht ganz unbedeutendes Konzernunternehmen mit zig Tochterfirmen handelt, wobei die Rechtsabteilung vor allem mit Abmahnungen von Wettbewerbern beschäftigt zu sein scheint, was bei Erreichen einer gewissen Regelmäßigkeit manchmal ein Zeichen dafür sein kann, dass irgendetwas doch eher semi-optimal im Unternehmen läuft. Los geht’s:
Die Protagonisten
Ersterer, der Leiter der Rechtsabteilung, schleppt einen etwas abgegriffenen Notizblock einer recht fähigen Großkanzlei mit sich, was darauf hinzudeuten scheint, dass er entweder vergangenen Zeiten nachtrauert oder Notizblöcke von Großkanzleien sammelt. Man kann sich einfach nicht entscheiden, welche Alternative man besser finden soll.
Der Zweite aus der Riege schleppt einen Gesetzeskommentar mit sich, welcher kaum bis gar keine Gebrauchsspuren aufweist. Unweigerlich stellt sich hier die Frage, ob man sich zur Begrüßung jetzt gegenseitig etwas vorlesen wird, man ihn zum Kauf eines Buches beglückwünschen soll oder ob der Gesetzeskommentar, ähnlich wie der Notizblock, nur zur Demonstration von (eigentlich wohl eher fremdem) Wissen dient.
Der Dritte aus der Reihe, ebenfalls Hausjurist, erweist sich als erfreulich „normal“ und stellt sogar brauchbare Fragen. Geht doch!
Daneben sitzen noch der Geschäftsführer der betroffenen Tochterfirma, der Vorstandsassistent und der IT-Leiter, welche aber auf Nachfragen ebenso wie die anderen Herren am Tisch zugestehen, dass sie das eigene Firmengeflecht und die dahinterstehenden Dienstleistungen und Firmenverknüpfungen selbst nicht genau kennen oder darstellen können. Guten Morgen Herr Frühstücksdirektor!
Just in diesem Moment setzt die Erinnerung an die Internetrecherche ein und es stellt sich die Frage, ob hier überhaupt die eine Hand weiß, was die andere tut und ob auch die Abmahnungen einfach nur das Ergebnis dieser nicht ausgesprochenen Antwort sind.
Angesichts der „Belegschaftsversammlung“ fühlt man sich natürlich außerordentlich geschmeichelt, gleichwohl stellt sich irgendwo im Hinterkopf die weitere Frage, ob man tatsächlich alle hier vetretenen Personen von ihrer sonstigen Arbeit abhalten sollte und ob nicht zwei kompetente Personen für dieses Treffen und zur Schilderung des dem Treffen zugrunde liegenden Sachverhalts ausgereicht hätten, von wegen Zeit- und Kostenersparnis und so….
Juristenwitze und Theatervorstellungen
Etwas sonderbar wird es ab dem Zeitpunkt, in welchem man feststellen muss, dass auf der anderen Seite eine ganze Riege von Juristen sitzt, welche ihren Mandanten augenscheninlich wenig subtil dahingehend gebrieft haben, dass Rechtstreue und auch die Einhaltung von Datenschutzvorschriften zwar irgendwie sein müssen, aber zumindest Datenschutz eigentlich doch eher lästig und irgendwie auch unnötig sei.
Ein fühlbar nur mühselig unterdrückbares Grinsen macht sich sodann im Gesicht breit, als diese Riege zu vermitteln versucht, dass die Aufsichtsbehörde bereits unter Fristsetzung eine Anfrage zur Vorlegegung der Verträge zur Auftragsdatenverarbeitung gestellt hat, diese Fristen jedoch etliche Male versäumt wurden (unzuverlässiger Fristenkalender vermutlich) und die Behörde mit der Begründung „der Vertrag sei nicht auffindbar“ so oft hingehalten wurde, bis die Aufsichtsbehörde sich bemüßigt sah, einen Heranziehungsbescheid zu erlassen. Taktisch also ganz schön clever die Jungs, denn jetzt kommt die Behörde bestimmt auf gar keinen Fall mehr auf den Gedanken, dass da etwas im Argen liegen könnte, echte Taktiker also. Oh man, da schwant einem Böses!
Darüber hinaus sei man ja eigentlich auch selbst überaus kompetent und kenne sich mit datenschutzrechtlichen Problematiken durchaus aus. Man habe auch schon ein Musterformular (na immerhin, die Googlesuche wird also beherrscht!) für die Auftragsdaten- „verwaltung“ (Aha, die ist ja bekanntlich auch besonders fies!), dieses sei aber so unglaublich schwer auszufüllen, weshalb man externen Rat benötige!?
Versteckte Kamera
Nochmal kurz in die Reihe geschaut: 1, nein 2, nein 3 (Voll-!) Juristen am Tisch dazu noch der verantwortliche IT-ler und der Geschäftsführer, der eigentlich nicht wirklich viel weiß, anscheinend nichts entscheiden darf (Inhaberbetrieb) und auch ansonsten auf Nachfrage nichts Relevantes dem Gespräch beisteuern kann.
Gedanke: *Hmmm….. der eine sieht aus wie Frank Elstner*
Dann noch kurz rekapituliert: Diverse Juristen, IT-ler, Musterformular, „Ausfüllen“ gestaltet sich schwierig, geballte Kompetenz im Datenschutzrecht, Vorlagefristen gegenüber der Aufsichtsbehörde mehrfach verlängert und in der Folge einen Bescheid übergebraten bekommen.
Gedanke: *….., aber das Glasauge fehlt verdammt!*
Um dieser bisher dahin unerreichten Comedyveranstaltung noch eins drauf zu setzen, sei sodann erwähnt, dass man zwar offiziell einen Datenschutzbeauftragten habe, dieser aber so hoch in der Geschäftsleitung angebunden sei, dass er dem Thema Datenschutz nur bedingt zugeneigt sei. Da man jedoch eine Reihe recht bekannter Online-Portale betreibe (was ausnahmsweise richtig ist), bräuchte man zumindest ein Grundkonzept zum Datenschutz, wobei dies angesichts der Komplexität der Firmenstrukturen jedoch kaum zu verwirklichen sei bzw. eine Verwirklichung nur minimal oder besser auch gar nicht gewünscht sei. Allerdings sei man bestrebt, im Falle von Aufsichtsbehörden Ausnahmen zu machen, denn da müsse ja alles zumindest nach außen hin korrekt wirken (neee, wat edelmütig).
Gedanke:*…..irgendwo müssen die Kameras doch versteckt sein!?*
Hinsichtlich der Haftung greift vorliegend eindeutig der Angestelltenbonus. Wäre selbiges das Ergebnis einer anwaltlichen Beratung, so wäre jetzt der nicht völlig verfehlte Zeitpunkt für einen Anruf bei der eigenen Berufshaftpflichtversicherung um sich kurz der Deckungshöhe zu vergewissern.
Schaufensterdekorateure
Für dieses glorreiche Erfahrungsbeispiel, welches eigentlich nur fiktiver Art sein kann, gibt es auch einen Begriff, man nennt so etwas „Window-Dressing“. Dabei handelt es sich um Maßnahmen, welche ausschließlich dem Zweck dienen, nach außen Rechtstreue zu dokumentieren, um die eigentliche Unternehmenspolitik zu verschleiern. Beispielsweise werden hierzu ein Verhaltenskodex, eine Datenschutzstelle oder eine Revisionsabteilung eingerichtet, Mitarbeiterschulungen oder Kontrollen durchgeführt, intern jedoch in Wahrheit rechtswidriges Verhalten angeordnet oder geduldet.
Das BDSG sieht für das Unternehmen in §§ 43, 44 BDSG eine Reihe von erheblichen Bußgeld- und Straftatbeständen vor, das gilt auch für Verstöße gegen Datenschutzvorschriften des Telemediengesetzes (§16 TMG). Sollten bestimmte Arten von sensiblen Daten zudem tatsächlich verlorengehen, so darf sich das Unternehmen als kleinen Bonus gegenüber der Aufsichtsbehörde und den Betroffenen auch noch selbst an den Pranger stellen (§15a TMG; §42a BDSG), ein Unterlassen dieser Informationspflicht ist ebenfalls bußgeldbewehrt. In Extremfällen kann die Ausübung des Gewerbes von der zuständigen Behörde sogar wegen Unzuverlässigkeit untersagt werden (§35 I 1 GewO).
Haftung des Datenschutzbeauftragten
Ein solches Vorgehen birgt nicht nur für die Geschäftsführung erhebliche Strafbarkeitsgefahren, sondern auch für den Datenschutzbeauftragten persönlich. Der BGH hat in seiner Entscheidung im Zusammenhang mit den Berliner Stadtreinigungsbetrieben entschieden, dass in diesem Zusammenhang die Zielrichtung der Beauftragung entscheidend und auch die Beschreibung des Dienstpostens zu berücksichtigen ist.
Sofern selbige auch die Pflicht beinhaltet, vom Unternehmen ausgehende Rechtsverstöße zu beanstanden, so folgt hieraus eine Garantenpflicht Gefahren vom Unternehmen abzuwenden und betriebsbezogene Straftaten zu verhindern. Maßgeblich ist insoweit der übertragene Verantwortungsbereich. Der BGH hat in diesem Zusammenhang ausdrücklich auf die Funktion des Compliance-Officer Bezug genommen, für den Datenschutzbeauftragten gilt jedoch letztlich nichts anderes. Nimmt also der Beauftragte an vorgenannten Verschleierungsmaßnahmen teil, so setzt er sich auch selbst potentiellen Strafbarkeitsvorwürfen aus. Neben Strafbarkeitsrisiken drohen zusätzlich zivilrechtliche Schadensersatzansprüche (§§823 II, 826 BGB).
Haftung der Geschäftsführung
Auch für die Geschäftsführung wird es relativ schwer sich herauszureden.
Zwar muss die Aufgabe des Datenschutzbeauftragten entsprechend delegiert und kann nicht wirksam persönlich wahrgenommen werden, allerdings ist bei der Delegation von Compliance-Aufgaben bereits hinsichtlich der Auswahl, Einweisung und Überwachung die „erforderliche Sorgfalt“ zu beachten. Die Geschäftsleitung trifft im Zusammenhang mit der Delegation eine Aufsichtspflicht (§130 I i.V.m. §9 I Nr. 1 OWiG). Wird eine Zuwiderhandlung begangen, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre und ist die Pflichtverletzung mit Strafe bedroht, so droht die Verhängung einer Geldbuße in Höhe von bis zu einer Million Euro (§130 III 1 OWiG). Ist die Zuwiderhandlung statt mit einer Strafe mit einer Geldbuße bedroht, so richtet sich die Höhe der Geldbuße für die Aufsichtspflichtverletzung nach dem für die zugrundeliegende Pflichtverletzung angedrohten Höchstmaß der Geldbuße (§130 III 2 OWiG).
Die ordnungsgemäße Bestellung von Aufsichtspersonen, im Falle der gesetzlichen Verpflichtung also auch die Bestellung eines Datenschutzbeauftragten, ist Teil dieser Aufsichtspflicht (§130 I 2 OWiG). Die Anforderungen an die von der Geschäftsleitung zu treffenden Aufsichtsmaßnahmen sind allerdings umso höher anzusetzen, je mehr sich im Bereich des Unternehmens Indizien für Verstöße ergeben (OLG Frankfurt, Beschluss vom 21.09.1992, Az.: 6 Ws (Kart) 12/91).
Das Gesetz verpflichtet die Vorstandsmitglieder weiterhin, bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (§93 I 1 AktG). Diese Verpflichtung trifft auch Geschäftsführer von Gesellschaften mit beschränkter Haftung (§43 I GmbHG). Wird die Pflicht zur ordentlichen und gewissenhaften Geschäftsführung dennoch verletzt, so haftet die Geschäftsleitung für diese Sorgfaltspflichtverletzung im Innenverhältnis gegenüber der Gesellschaft persönlich auf Schadensersatz (§93 II 1 AktG, §43 II GmbHG).
Fazit:
Gesetzen sollte man aus Unternehmenssicht immer mit der gebotenen Sorgfalt Beachtung schenken. Der Rat juristischer Schaufensterdekorateure, gesetzliche Regelungen nicht unbedingt ernst zu nehmen, ist insbesondere bei sensiblen Themen (Stichwort Firmen-Image) und ernsten Sanktionsmöglichkeiten wenig ratsam. Der betriebliche Datenschutzbeauftragte sollte daher jemand sein, der seinen Job auch versteht.
Interessant, wie Sie über ihre Kunden herziehen. Mit dieser arroganten polemischen und selbstgefälligen „Glosse“ haben Sie sich keinen Gefallen getan, Werbung, Sie als externen DSB zu beauftragen, machen Sie so sicherlich nicht. Abschreckend.
@Kommentator:
Dieser Artikel ist in den Kategorien „Datenschutz“ und „Humor“ eingeordnet. Neben der Polemik beinhaltet der Artikel rechtliche Hinweise und Erläuterungen. Nicht jeder Artikel muss todernst sein.