Der betriebliche Datenschutzbeauftragte verfügt aufgrund seiner Tätigkeit über Einblicke in Vorgänge mit besonders vertraulichem Inhalt. Wie auch in anderen Berufen, die mit vertraulichen Informationen zu tun haben, unterliegt der Datenschutzbeauftragte damit einer besonderen Verschwiegenheitspflicht. Was genau diese Verschwiegenheitspflicht ausmacht, soll der vorliegende Beitrag klären. Die Verschwiegenheitsverpflichtung wird in § 4 f Abs. 4 Bundesdatenschutzgesetz ("BDSG") normiert. Dieser lautet:
"(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird."
Inhalt der Norm
Durch die Norm wird der Datenschutzbeauftragte zur Verschwiegenheit verpflichtet. Daneben muss er, soweit es zur Sicherstellung des Datenschutzes erforderlich ist, in Abwägung der betroffenen Interessen natürlich auch berechtigt sein, unter Wahrung des Datenschutzes unsachgemäße Vorgänge zu melden.
Sinn und Zweck der Norm
Wer sich vertrauensvoll an den Datenschutzbeauftragten wendet soll sicher gehen können, dass dieser die Daten vertraulich behandelt, damit dem Betroffenen hieraus keine Nachteile entstehen können. Sinn und Zweck der Norm ist es daneben, die Funktion des Datenschutzbeauftragten als Selbstkontrollorgan des Unternehmens zu gewährleisten und dessen unabhängige Stellung innerhalb des Unternehmens zu stärken.
Welche Sachverhalte werden von der Verschwiegenheitspflicht des Datenschutzbeauftragten umfasst?
Eine spezifische berufliche Schweigepflicht des Datenschutzbeauftragten wie etwa bei Ärzten, Anwälten etc. besteht beim Datenschutzbeauftragten nicht (vgl. zu insoweit anvertrauten Geheimnissen § 203 Abs. 2a StGB). Folgt man dem Wortlaut des Gesetzes so ist nach diesem lediglich normiert, dass der Beauftragte die Identität des Betroffenen nicht offen legen darf. Er darf danach auch nicht zulassen, dass über Rückschlüsse dessen Identifikation möglich ist.
Eine die gesamte Tätigkeit des Datenschutzbeauftragten umfassende Verschwiegenheitsverpflichtung wurde vom Gesetzgeber nicht ausdrücklich normiert. Dennoch muss aufgrund der Gesamtsystematik davon ausgegangen werden, dass eine solche existiert. Denn der Beauftragte erhält nach dem Gesetz Zugang zu allen gespeicherten personenbezogenen Daten - dies ohne eine entsprechende Verschwiegenheitsverpflichtung anzunehmen erscheint unsinnig und wird auch in der rechtlichen Diskussion nicht weiter angezweifelt. § 4 f Abs. 4 BDSG kann damit nur als Teilaspekt einer umfassenden Verschwiegenheitspflicht verstanden werden.
Wer wird durch § 4 f Abs. 4 BDSG geschützt?
Durch § 4 f Abs. 4 BDSG werden in erster Linie die Betroffenen geschützt, wenn sie sich bei dem Datenschutzbeauftragten über die Verarbeitung ihrer personenbezogenen Daten beschweren (§ 4 f Abs. 5 Satz 2 BDSG). Liegt dem Datenschutzbeauftragten eine Beschwerde vor, muss er diese so behandeln, dass ein Rückschluss auf den Betroffenen, der die Beschwerde eingereicht hat, nicht möglich ist.
Die hauptsächlich Betroffenen in diesem Zusammenhang werden wohl die Beschäftigten eines Unternehmens sein. Dennoch beschränkt sich der Anwendungsbereich der Norm nicht ausschließlich auf sie. Vielmehr können sich auch Kunden oder sonstige Personen, deren Daten auf jedwede Weise durch die verantwortliche Stelle verarbeitet worden sind, an den Beauftragten wenden. Sie alle werden von der Verschwiegenheitspflicht gleichermaßen umfasst.
Die Verschwiegenheitspflicht schützt auch denjenigen, der konkrete Anhaltspunkte für eine missbräuchliche Verarbeitung seiner Daten hat. Dieser kann sich an den Datenschutzbeauftragten wenden und sich dabei auf einen vertraulichen Umgang mit seinen personenbezogenen Daten verlassen.
Welche Angaben der Betroffenen werden von der Schweigepflicht umfasst?
Grundsätzlich muss der Beauftragte über sämtliche Angaben Stillschweigen bewahren. Das gilt jedenfalls für die Angaben, mit Hilfe derer der Betroffene direkt oder indirekt identifiziert werden könnte. Damit sind Daten wie etwa der Name oder die Adresse gleichfalls betroffen wie Zahlungsbesonderheiten und berufliche Qualifikationen.
Wem gegenüber gilt die Verschwiegenheitspflicht?
Die Pflicht zur Verschwiegenheit gilt primär gegenüber der verantwortlichen Stelle. Daneben gilt sie genauso gegenüber der Arbeitnehmervertretung wie auch gegenüber Dritten (auch Ärzten) oder Aufsichtsbehörden.
Was sind die Folgen?
Durch die Verschwiegenheitsverpflichtung wird die Unabhängigkeit des Datenschutzbeauftragten gefördert. Gleichzeitig entsteht eine Distanzierung zur verantwortlichen Stelle, da die Verschwiegenheitspflicht auch die Berichtspflicht einschränkt. Der Datenschutzbeauftragte ist schließlich als unabhängige Kontrollinstanz und nicht als Hilfsperson der verantwortlichen Stelle zu begreifen und kann damit nicht als Informationsquelle für diese verwendet werden.
Welche Möglichkeiten hat daneben der Betroffene?
Der Betroffene hat die Möglichkeit, den Datenschutzbeauftragten von der Pflicht zur Verschwiegenheit zu entbinden, indem er eine ausdrückliche und schriftliche Erklärung abgibt. Es handelt sich insofern um ein strenges Einwilligungserfordernis, was meint, dass der Betroffene sich über die Tragweite dieser Entscheidung im Klaren sein muss. Insoweit müssen ihm die dafür nötigen Informationen mitgeteilt werden. Eine generelle Einwilligung in eine Offenlegung kommt nicht in Betracht.
Vielmehr kann der Betroffene nur einwilligen, soweit er die Offenlegung für einen konkreten Fall in Betracht zieht und sich dementsprechend auf das mit der Offenlegung einhergehende Risiko einlässt. Wichtig: Der Datenschutzbeauftragte kann die Daten des Betroffenen auch dann nicht offen legen, wenn die Offenlegung dazu nötig wäre, weitere Nachforschungen anzustellen oder so evtl. der Beschwerde des Betroffenen weiterzuhelfen. Tritt dieser Fall ein, muss der Datenschutzbeauftragte vielmehr Schritt um Schritt vorgehen, um die Rechte des Betroffenen zu wahren, mag sich der Aufklärungsprozess dadurch auch verzögern.
Stellt der Datenschutzbeauftragte bei der Überprüfung der Datenschutzprozesse, die möglicherweise auf eine Beschwerde zurückgeht, einen Fehler fest, so entbindet ihn auch dies nicht von der Schweigepflicht. Eine Ausnahme kann sich nur für den Fall ergeben, an dem der Betroffene selbst am Verarbeitungsprozess beteiligt war und vorsätzlich gegen gesetzliche Vorgaben verstoßen hat, da er dann in diesem Zusammenhang nicht als schutzwürdig im Sinne des BDSG verstanden werden kann.
Was geschieht bei einem Verstoß gegen die Verschwiegenheitspflicht?
Das Gesetz sieht keine unmittelbaren Sanktionen bei einem Verstoß gegen die Verschwiegenheitspflicht vor. Da die Verschwiegenheitsverpflichtung aber stets im Zusammenhang mit der Zuverlässigkeit des Datenschutzbeauftragten zu begreifen ist, kann dies freilich zu einem Widerruf der Bestellung des Datenschutzbeauftragten führen. Daneben können sich auch Schadensersatzansprüche ergeben.
Gewährleistung der Verschwiegenheit des Datenschutzbeauftragten
Damit die Verschwiegenheit des Datenschutzbeauftragten überhaupt möglich ist, müssen die Kommunikationswege zu und von dem Datenschutzbeauftragten entsprechend sicher organisiert werden. Dazu gehört, dass die an ihn gerichtete Post nicht zentral geöffnet werden darf, sondern diesen unkontrolliert erreichen muss. Daneben müssen ihn erreichende und von ihm ausgehende Telefonate von der Telefondatenerfassung ausgenommen werden. Ein Einzelzimmer, in welchem er vertrauliche Gespräche führen kann, muss zur Verfügung gestellt werden. Dieselbe Bewertung muss freilich auch für die Organisation seines E-Mail-Postfaches sowie für einen digitalen Terminkalender gelten. Jeglicher Rückschluss auf die Betroffenen, denen gegenüber er seine Stellung wahrnimmt, darf nicht rekonstruierbar sein.
Strafrechtlicher Schutz der Verschwiegenheit des Datenschutzbeauftragten
Im BDSG befindet sich keine Norm, die einen Verstoß gegen die Verschwiegenheitsverpflichtung strafrechtlich sanktioniert oder mit einem Bußgeld belegt.
Die Wahrung der Schweigepflicht des Beauftragten wird vom Strafgesetzbuch nur in den in § 203 Abs. 2 a StGB besonders genannten Fällen erfasst (Stichwort: "Verletzung anvertrauter Geheimnisse besonders geschützter Personen").
Zeugnisverweigerungsrecht des Datenschutzbeauftragten
Der Schweigepflicht des Datenschutzbeauftragten korrespondiert ein Zeugnisverweigerungsrecht in § 4 f Abs. 4 a BDSG. Insofern kann er die Aussage verweigern wenn Daten betroffen sind, die seiner beruflichen Geheimhaltungspflicht unterliegen. Das Zeugnisverweigerungsrecht erstreckt sich auch auf sein Hilfspersonal. Soweit das Zeugnisverweigerungsrecht reicht, unterliegen die Akten des Datenschutzbeauftragten auch einem strafprozessualen Beschlagnahmeverbot.
Fazit
Insgesamt wird die unabhängige Stellung des Datenschutzbeauftragten durch die Verschwiegenheitsverpflichtung gestärkt. Für Unternehmen mit internen Datenschutzbeauftragten heißt dies vor allem, dass diesen die technischen Möglichkeiten zur vertraulichen Kommunikation mit anderen Beschäftigten oder Kunden zur Verfügung gestellt werden müssen, um den gesetzlichen Vorgaben zu entsprechen. (oe)
Kontakt:
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin. IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de