Guten Morgen,
ich beziehe mich auf die Pressemitteilung des bayrischen LDA, hier zu finden: https://www.lda.bayern.de/media/pm/pm2023_03.pdf
Dort schreibt der LDA:
“… Michael Will, Präsident des BayLDA erläutert das Ziel der gemeinsamen europaweiten Prüfung: “Für das BayLDA sind die Datenschutzbeauftragten seit jeher mehr als nur die ersten Ansprechpartner:innen der Aufsichtsbehörde. Sie sind die Garanten des Datenschutzes im Alltag, gerade für kleine und mittlere Unternehmen. …”
Aus anderen Verlautbarungen kenne ich die Auffassung anderer Landesbehörden, wonach der betriebliche DSB gerade keine Garantenstellung hat, diese auch nicht ausüben könnte, selbst wenn das aus Sicht einer Behörde wünschenswert wäre.
Die Aussage scheint auch im engeren straf- und durchgriffsrechtlichen Sinn zutreffend – die gesamte Funktion und Stellung des DSB ist darauf ausgelegt, dem Datenschutzrecht zur Anwendung zu verhelfen.
Eine strafrechtliche Verantwortlichkeit wegen Unterlassens als Garant kommt hier verschiedentlich in Betracht, etwa wegen unterlassener oder unzureichender Warnung der Unternehmensleitung. Bei einigen datengetriebenen Geschäftsmodellen und DSGVO-Umgehungspraktiken kann auch Mittäterschaft nicht fern liegen, entlang der aktuellen Rechtsprechungsentwicklung zur Haftung von Cum-ex-Beratern.
(Unzureichender) Beweis eigenen (ausreichenden) Tätigwerdens stellt insoweit wohl das wichtigste Berufsrisiko eines DSB dar. Praktisch wird dieses Risiko wohl v.a., wenn nach entsprechenden Schadensersatzklagen Insolvenzverwalter oder Controller nach Haftungsmasse und/oder einem Sündenbock suchen…
Ja, nein oder vielleicht? Zeit, diese Diskussion nochmal aufzuwärmen. (Gab es schon mal nach einem einem Urteil zur Garantenstellung von Compliance Officern 2009.)
DSB sollten keine Entscheidungen treffen (nur beraten), keine bedingungslose Freigabe erteilen (nur unter bestimmten Voraussetzungen).
DSB sollten ihre gesetzlichen und ggf. vertraglichen Aufgaben wahrnehmen, auf Probleme hinweisen, deutlich hinweisen, nochmal hinweisen, ihre Tätigkeit dokumentieren.
https://www.bvdnet.de/wp-content/uploads/2017/11/DMP-BvD-e.V.-gutachterliche-Stellungnahme-31.07.2017.pdf
“Eine solche [sanktionsrechtliche Verantwortlichkeit] ergibt sich auch nicht aus einer Garantenstellung im
Rahmen einer Beauftragung (anders als für den Compliance-Officer), sofern sich seine Aufgaben
nach den originären Vorgaben der Datenschutz-Grundverordnung ausrichten. Eine Garantenstellung kann sich aber dann ergeben, wenn dem Datenschutzbeauftragten im Wege der
Delegation weitere Pflichten und Befugnisse übertragen werden.”
https://efarbeitsrecht.net/dsgvo-der-datenschutzbeauftragte-und-seine-stellung-im-unternehmen/
“Einige Aufsichtsbehörden haben jedoch bereits betont, dass sie eine Haftung des Datenschutzbeauftragten für Datenschutzverstöße des Unternehmens nicht gegeben sehen. Die Einhaltung des Datenschutzes ist primär unternehmerische Pflicht und kann nicht auf einen Datenschutzbeauftragten ausgelagert werden. Persönliche Haftungsrisiken des Datenschutzbeauftragten können jedoch bestehen, wenn er seine Aufgaben nach der DSGVO nicht erfüllt.”
D., der denkt, dass eine “echte” Garantenstellung nur für “falsche” DSB besteht. Also für die klassischen Beispiele von Interessenkonflikten, wenn Geschäftsführer oder bestimmte Führungskräfte als DSB benannt werden, womit sie auf erkannte Mißstände selbst maßgeblich einwirken dürften. Allerdings können sie dann keine DSB sein…
Das Thema “Garant” ist eher theoretisch (und die oben forsch skizzierten Risiken erst recht). Weder folgt das aus den Aufgaben, noch sind in 5 Jahren Praxis praktische Versuche bekannt geworden, auch nicht im Rahmen von Kündigungsstreitereien. Noch gibt es eine entsprechende “herrschende Meinung” dazu (im Gegenteil, gerade Aufsichtsbehörden und Fachverbände sehen es als nicht gegeben), lediglich vereinzelt andere Sichten.
Ich mach’s mir aber nun einfach und schaue in Erwägungsgrund 97 zum DSB, https://www.datenschutz-wiki.de/DSGVO:EG_97: " … sollte der Verantwortliche … unterstützt werden." Das ist auch das Ziel der Überwachung der Einhaltung durch den DSB - das macht ihn nicht zum Überwachungsgaranten (gegenüber wem?). Zumal wir über europäisches Recht sprechen, wäre diese (nationale) Auslegung fragwürdig.
Wobei sich die Frage stellt, was “Überwachung” als Aufgabe konkret meint - in der englischen Fassung heißt es “monitoring” …