Der betriebliche Datenschutzbeauftragte im Krankenhaus Was ändert sich durch die DS-GVO?

Transkript

1 Ina Haag Der betriebliche Datenschutzbeauftragte im Krankenhaus Was ändert sich durch die DS-GVO? In Krankenhäusern werden täglich sensible Patientendaten erhoben und verarbeitet. Dabei stellen sich immer wieder komplexe Datenschutzfragen. Der gesetzlich vorgeschriebene betriebliche Datenschutzbeauftragte hat daher im Krankenhaus eine wichtige Funktion. Ab dem 25. Mai 2018 wird zudem die am 24. Mai 2016 in Kraft getretene EU-Datenschutz-Grundverordnung (DS-GVO) 1) in Deutschland unmittelbare Geltung entfalten. Der nachfolgende Beitrag soll einen Überblick geben, in welchen Bereichen die DS-GVO beim betrieblichen Datenschutzbeauftragten Änderungen vorsieht, die die Krankenhäuser umsetzen müssen. Die DS-GVO sieht eine europaweit verpflichtende Bestellung eines Datenschutzbeauftragten vor. Daraus ergibt sich für Krankenhäuser in Deutschland zunächst keine wesentliche Änderung, da die Krankenhäuser auch zum jetzigen Zeitpunkt bereits zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet sind. 2) Teilweise schreiben die Landeskrankenhausgesetze ausdrücklich die Bestellung eines betrieblichen Datenschutzbeauftragten vor, teilweise folgt die Bestellpflicht aus bereichsspezifischen Landesregelungen zum Datenschutz, je nach Trägerschaft finden sich zudem Regelungen in kirchlichen Datenschutzvorschriften, den Landesdatenschutzgesetzen oder dem Bundesdatenschutzgesetz (BDSG). 3) Die maßgeblichen Regelungen in der DS-GVO zum betrieblichen Datenschutzbeauftragten sind die Artikel 37, 38 und 39 DS-GVO. Ergänzt werden diese Regelungen durch die 5, 6, 7 und 38 BDSG neue Fassung. 4) Wichtig für die Krankenhäuser ist hierbei im Einzelnen Folgendes: Bestellpflicht Bei der Pflicht zur Bestellung eines Datenschutzbeauftragten ist für öffentliche Stellen festzustellen, dass auch nach der DS- GVO eine umfassende Bestellpflicht vorgesehen ist. Gemäß Art. 37 Absatz 1a DS-GVO benennen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Hierunter sind nach wie vor auch Krankenhäuser in öffentlicher Trägerschaft zu fassen. Was die Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen (hier: private Krankenhäuser) angeht, sieht die DS-GVO jedoch nur noch eingeschränkte Bestellpflichten vor. Danach benennen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO besteht (Art. 37 Absatz 1b DS-GVO). Zwar fallen Gesundheitsdaten unter die besonderen Kategorien von Daten gemäß Art. 9 DS-GVO, fraglich ist aber in diesem Zusammenhang, was unter dem Begriff der Kerntätigkeit zu verstehen ist. Dazu wird einerseits die Auffassung vertreten, dass von einer Kerntätigkeit eines Unternehmens im Sinne von Art. 37 Absatz 1b DS-GVO nur dann auszugehen ist, wenn der Hauptzweck des Unternehmens in der Durchführung von Verarbeitungsvorgängen liegt. Danach sei bereits nach dem Wortlaut die Kerntätigkeit des Unternehmens entscheidend und nicht bloß damit im Zusammenhang stehende Verarbeitungsvorgänge. Nach dieser Auffassung würde sich die Bestellpflicht nach der DS-GVO im Wesentlichen auf Unternehmen beschränken, die im Sinne von 29 BDSG geschäftsmäßig Daten verarbeiten. 5) Dieser Auffassung wird andererseits entgegengehalten, dass eine derartige Einordnung in Haupt- oder Nebentätigkeit bei jenen Unternehmen kritisch zu sehen sei, deren Geschäftszweck nur schwerlich von der Verarbeitung personenbezogener Daten getrennt werden könne. Die Verarbeitung personenbezogener Daten sei dann zur Kerntätigkeit des Unternehmens zu zählen, wenn ohne diese Vorgänge eine Durchführung des Unternehmenszwecks nur schwerlich möglich sei. 6) Eine vermittelnde Meinung geht bei Ärzten beispielsweise davon aus, dass deren Kerntätigkeit darin bestehe, Patienten zu behandeln. Die Kerntätigkeit von Ärzten könne aber gleichzeitig auch darin bestehen, sensible Daten zu verarbeiten. Entscheidend sei daher der Umfang der Verarbeitung, sodass jedenfalls bei Einzelpraxen keine Pflicht bestehe, einen Datenschutzbeauftragten zu benennen. 7) Für private Krankenhäuser dürfte dieser Streit nicht weiter von Bedeutung sein, da gemäß 38 Absatz 1 BDSG neue Fassung für nicht-öffentliche Stellen die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, sofern in der Regel mindestens 10 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Da dies in Krankenhäusern in der Regel der Fall ist, sind demnach bei der Bestellpflicht auch für private Krankenhäuser keine Änderungen zu verzeichnen. Im Gegensatz dazu könnten aber beispielsweise Ermächtigungsambulanzen oder Medizinische Versorgungszentren

2 (MVZ) zumindest von der Anzahl ihrer Mitarbeiter her durchaus unter die Privilegierung des 38 Absatz 1 Satz 1 BDSG neue Fassung fallen. Zu beachten ist aber, dass nichtöffentliche Stellen gemäß 38 Absatz 1 Satz 2 BDSG neue Fassung unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten benennen müssen, wenn sie Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO unterliegen. Gemäß Artikel 35 Abs. 3b DS-GVO ist eine Datenschutz-Folgenabschätzung erforderlich bei einer umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DS-GVO, worunter die in Ermächtigungsambulanzen oder MVZ verarbeiteten Daten fallen. Zur Frage, wann eine Verarbeitung umfangreich ist, macht die DS-GVO keine Angaben. Lediglich in Erwägungsgrund 91 wird ausgeführt, dass die Verarbeitung personenbezogener Daten von Patienten nicht als umfangreich gelten [sollte], wenn die Verarbeitung [ ] durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsfachberufes [ ] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein. Ein weiterer Anhaltspunkt könnte sein, dass in der vorherigen Fassung der DS-GVO 2014 im damaligen Art. 32a ( risk analysis ) sowie im damaligen Erwägungsgrund 63 von der Verarbeitung der Daten von betroffenen Personen innerhalb von 12 Monaten die Rede war. Allerdings wurde dieser Ansatz nicht in die endgültige Version der DS-GVO aufgenommen. Danach dürften aber künftig auch MVZ zur Bestellung eines Datenschutzbeauftragten verpflichtet sein. Die in Erwägungsgrund 91 angesprochene Privilegierung könnte allenfalls auf Ermächtigungsambulanzen zutreffen, ist aber angesichts der in der DS-GVO vorgesehenen empfindlichen Geldbußen sorgfältig zu prüfen. Die Regelung in 38 Absatz 1 BDSG neue Fassung ist auch zulässig, da Art. 37 Absatz 4 Satz 1 DS-GVO eine Öffnungsklausel vorsieht, wonach der Verantwortliche oder der Auftragsverarbeiter abweichend von Art. 37 Absatz 1 DS-GVO einen Datenschutzbeauftragten benennen müssen, falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist. Danach sind also auch weiterhin die in den Landeskrankenhausgesetzen oder anderen Landesregelungen zum Datenschutz vorgesehenen Bestellpflichten zulässig. Zu beachten ist darüber hinaus, dass der Datenschutzbeauftragte gemäß Art. 37 Absatz 6 DS-GVO Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages erfüllen kann. Danach ist sowohl die Bestellung eines internen als auch eines externen Datenschutzbeauftragten ausdrücklich erlaubt. Da Art. 37 DS-GVO jedoch bezogen auf die ausdrückliche Erlaubnis zur Bestellung eines externen Datenschutzbeauftragten keine Öffnungsklausel für Regelungen der Mitgliedstaaten enthält, dürften diesbezüglich entgegenstehende einschränkende landesrechtliche Regelungen in Deutschland mit dem Geltungsbeginn der DS-GVO hinfällig sein. 8) Fazit: Bei der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten ergeben sich für Krankenhäuser durch die DS-GVO keine Änderungen. MVZ sind künftig zur Bestellung eines Datenschutzbeauftragten verpflichtet. Ermächtigungsambulanzen müssen ihre Bestellpflicht sorgfältig prüfen. Konzerndatenschutzbeauftragter Gemäß Art. 37 Absatz 2 DS-GVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann. Nach der DS-GVO ist somit künftig ausdrücklich die Bestellung eines Konzerndatenschutzbeauftragten zulässig. Hierbei handelt es sich insofern um eine Neuerung, als dies in dieser Form zumindest im BDSG bislang nicht vorgesehen war. Voraussetzung für die Bestellung eines Konzerndatenschutzbeauftragten ist aber, dass dieser von jeder Niederlassung aus leicht erreicht werden kann. Fraglich ist dabei, was der Begriff leicht erreichbar bedeutet. Vereinzelt wird vertreten, dass eine sprachliche Erreichbarkeit genüge, in erster Linie also die Kommunikationsfähigkeit gesichert sein müsse und die Betroffenen einen zentralen Ansprechpartner haben. 9) Dagegen wird jedoch eingewendet, dass aufgrund der zwischenzeitlich üblichen technischen Ausstattung von Unternehmen eine Kommunikationsfähigkeit in der Regel überall auf der Welt gegeben sei und die Norm daher keinen eigenständigen Regelungsgehalt erhalten würde, wenn sie sich lediglich auf die sprachliche Erreichbarkeit beziehe. Entscheidend sei damit die örtliche Erreichbarkeit dergestalt, dass der Datenschutzbeauftragte unter Aufwand zumutbarer zeitlicher und finanzieller Ressourcen persönlich von der Niederlassung aus aufgesucht werden könne. 10) Das Erfordernis der auch räumlichen Erreichbarkeit des Datenschutzbeauftragten kann sich unter anderem auch daraus ergeben, dass der Datenschutzbeauftragte nach den Vorgaben der DS-GVO Ansprechpartner für die zuständige Aufsichtsbehörde ist (vergleiche Art. 39 Absatz 1 DS-GVO). Es ist daher mit der überwiegenden Meinung in der juristischen Literatur davon auszugehen, dass der Datenschutzbeauftragte auch in räumlicher Hinsicht erreichbar sein muss. Wann diese Voraussetzung erfüllt ist, wird jedoch ebenfalls unterschiedlich bewertet. Nach einer Ansicht dürfe das absolute Maximum der zulässigen Entfernung in einer Tagesreise innerhalb der üblichen Arbeitszeit mit den im Unternehmen erstattungsfähigen Verkehrsmitteln liegen. 11) Eine vermittelnde Ansicht geht demgegenüber davon aus, dass die leichte Erreichbarkeit keine ständige oder regelmäßige physische Präsenz des Datenschutzbeauftragten am Ort der Niederlassung verlange. Es reiche aus, wenn entweder der den Datenschutzbeauftragten Aufsuchende zu ihm reisen könne oder der Datenschutzbeauftragte geografisch so beweglich sei, dass er die zu überbrückende Distanz bei Bedarf auf ein leicht erreichbares Maß verkürze. Denkbar sei außerdem, dass sich der Datenschutzbeauftragte vor Ort in den Niederlassungen seines Hilfspersonals bediene. 12) u

3 Die letztgenannte Ansicht überzeugt. Auch wenn grundsätzlich vom Erfordernis einer räumlichen Erreichbarkeit auszugehen ist, kann dies keine ständige oder regelmäßige physische Präsenz des Datenschutzbeauftragten am Ort der Niederlassung erfordern, solange eine Erreichbarkeit durch übliche Dienstreisen möglich ist. Die internen Abläufe bzw. die interne Organisation müssen ggf. auch durch den Einsatz von Hilfspersonal vor Ort in den Niederlassungen als Ansprechpartner letztlich gewährleisten, dass Anfragen rechtzeitig bearbeitet werden und die Funktion als Ansprechpartner für die Aufsichtsbehörden in ausreichendem Maße ausgeübt werden kann. Fazit: Die Benennung eines Konzerndatenschutzbeauftragten ist künftig nach der DS-GVO zulässig, Voraussetzung ist aber die leichte Erreichbarkeit des Datenschutzbeauftragten von jeder Niederlassung aus. Dies erfordert auch eine räumliche Erreichbarkeit im Rahmen üblicher Dienstreisen. Anforderungsprofil Gemäß Art. 37 Absatz 5 DS-GVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben. Gemäß Erwägungsgrund 97 richtet sich die fachliche Qualifikation nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die verarbeiteten Daten. Aus dem BDSG neue Fassung ergibt sich keine ergänzende Regelung, da für den Bereich der öffentlichen Stellen 5 Absatz 3 BDSG neue Fassung wortgleich die Regelung aus Art. 37 Absatz 5 DS-GVO übernimmt und für Unternehmen das neue BDSG keine Regelungen zum Anforderungsprofil des Datenschutzbeauftragten enthält. Die derzeit noch maßgebende Vorschrift für die Qualifikationsvoraussetzungen des Datenschutzbeauftragten ist 4f Absatz 2 BDSG. Danach wird auf die erforderliche Fachkunde und Zuverlässigkeit abgestellt, was sich wiederum nach der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten richtet. Fazit: Es ergeben sich durch die DS-GVO keine wesentlichen Änderungen. Aufgaben, Stellung und Unabhängigkeit des Datenschutzbeauftragten Derzeit werden die Aufgaben des betrieblichen Datenschutzbeauftragten durch 4g BDSG konkretisiert. Danach wirkt der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften des Datenschutzes hin. Dazu hat der Datenschutzbeauftragte die ordnungsgemäße Anwendung der Programme zur Verarbeitung von personenbezogenen Daten zu überwachen und die mit der Verarbeitung vertrauten Personen zu schulen. Es besteht also eine Überwachungs- und eine Schulungsfunktion. Darüber hinaus hat der Datenschutzbeauftragte gemäß 4d Absatz 6 Satz 1 BDSG die Aufgabe der Vorabkontrolle nach 4d Absatz 5 Satz 1 BDSG. Sofern durch eine Verarbeitung besondere Risiken für die Persönlichkeitsrechte der betroffenen Personen bestehen, soll der Beauftragte insoweit vorab die Rechtmäßigkeit prüfen. Die Aufgaben nach der DS-GVO stellen sich demgegenüber umfangreicher dar. Art. 39 Absatz 1 DS-GVO enthält einen Katalog, der folgende Aufgaben benennt: Unterrichtung und Beratung der verantwortlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, Beratung bei der Datenschutzfolgenabschätzung und Überwachung ihrer Durchführung, Anlaufstelle für die Aufsichtsbehörden, Überwachung der Einhaltung der Datenschutzvorschriften, Zusammenarbeit mit der Aufsichtsbehörde, Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter, betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DS-GVO im Zusammenhang stehenden Fragen zurate ziehen (Art. 38 Absatz 4 DS-GVO). Die Stellung des Datenschutzbeauftragten hat sich durch die Regelungen in der DS-GVO nicht geändert: Der Datenschutzbeauftragte ist nach wie vor weisungsfrei (Art. 38 Absatz 3 Satz 1 DS-GVO), er darf nicht abberufen oder benachteiligt werden (Art. 38 Absatz 3 Satz 2 DS-GVO), es darf bei der Ausübung seiner Tätigkeit keine Interessenkonflikte zu anderen Aufgaben geben (Art. 38 Absatz 6 DS-GVO), er hat Anspruch auf Unterstützung, indem ihm die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen, der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung gestellt werden (Art. 38 Absatz 2 DS-GVO), darüber hinaus hat der Datenschutzbeauftragte Anspruch auf ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen (Art. 38 Absatz 1 DS-GVO), der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters (Art. 38 Absatz 3 Satz 3 DS-GVO). Hinsichtlich der Aufgaben, der Stellung und der Unabhängigkeit des Datenschutzbeauftragten ergeben sich durch die Regelungen in der DS-GVO somit keine wesentlichen Änderungen. An die Stelle der Vorabkontrolle tritt künftig die Datenschutz-Folgenabschätzung (Art. 35 DS-GVO). Ansonsten sind wesentliche Aufgaben des Datenschutzbeauftragten weiterhin die Überwachung der Einhaltung der Datenschutzvorschriften sowie die Schulung

4 Anzeige

5 der Mitarbeiter. Allerdings legt die DS-GVO einen stärkeren Fokus auf die Funktion des Datenschutzbeauftragten als Anlaufund Beratungsstelle. Der Datenschutzbeauftragte ist nach wie vor weisungsfrei und hat die oben aufgeführten Ansprüche auf Unterstützung seiner Tätigkeit. Er ist weiterhin nicht befugt, Datenschutzverstöße eigenmächtig zu unterbinden, sondern er berichtet unmittelbar der höchsten Managementebene der verantwortlichen Stelle, damit diese in die Lage versetzt wird, die dazu notwendigen Entscheidungen zu treffen. Fazit: Es ergeben sich durch die DS-GVO keine wesentlichen Änderungen. Allerdings legt die DS-GVO einen stärkeren Fokus auf die Funktion des Datenschutzbeauftragten als Anlauf- und Beratungsstelle. Schutz und Haftung des Datenschutzbeauftragten Schutz Derzeit ist im BDSG ein besonderer Kündigungsschutz für den internen Datenschutzbeauftragten vorgesehen. Danach ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, es ist eine Kündigung aus wichtigem Grund im Sinne des 626 BGB möglich ( 4f Absatz 3 Satz 5 BDSG). Dieser Schutz bleibt zudem für ein Jahr nach der Abberufung des Datenschutzbeauftragten bestehen ( 4f Absatz 3 Satz 6 BDSG). Darüber hinaus darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden ( 4f Absatz 3 Satz 3 BDSG). Die DS-GVO enthält zwar ähnlich wie das jetzige BDSG ein Diskriminierungsverbot, das heißt der Datenschutzbeauftragte darf wegen der Ausübung seiner Tätigkeit nicht benachteiligt werden (Art. 38 Absatz 3 Satz 2 DS-GVO). Es ist jedoch kein besonderer Kündigungsschutz für den Datenschutzbeauftragten in der DS-GVO vorgesehen. Mit 6 Absatz 4 BDSG neue Fassung (für private Krankenhäuser in Verbindung mit 38 Absatz 2 BDSG neue Fassung) werden die bisherigen Regelungen des BDSG zum Kündigungsschutz allerdings inhaltlich vollständig übernommen. So wird auch zukünftig eine Kündigung nur unter den besonderen Voraussetzungen des 626 BGB möglich sein. Dieser Schutz gilt weiterhin auch nach der Abberufung des Beauftragten für den Datenschutz ein Jahr fort. Fazit: Hinsichtlich des bisherigen Schutzniveaus ergibt sich durch die DS-GVO keine Änderung. Haftung In zivilrechtlicher Hinsicht kommen haftungsrechtlich insbesondere Schadenersatzansprüche gegen den Datenschutzbeauftragten in Betracht, sofern dieser gegen seine Pflichten verstößt. Derzeit enthält das BDSG mit 7 lediglich einen Schadensersatzanspruch des Betroffenen gegenüber der verantwortlichen Stelle für unzulässige oder unrichtige Datenverwendungen. Nach den allgemeinen schuldrechtlichen oder deliktischen Grundsätzen ist jedoch ggf. ein Rückgriff beim Datenschutzbeauftragten möglich, wenn die verantwortliche Stelle einem Betroffenen zum Schadenersatz verpflichtet ist, sofern der Datenschutzbeauftragte eine Pflichtverletzung begangen hat. Beim internen Datenschutzbeauftragten kommen hierbei jedoch die Grundsätze über den innerbetrieblichen Schadensausgleich zur Anwendung. 13) Eine mögliche strafrechtliche Haftung wird derzeit von der herrschenden Meinung in der juristischen Literatur abgelehnt, weil der Datenschutzbeauftragte keine Garantenstellung hat. Gemäß 13 StGB kann ein Unterlassen zur Strafbarkeit führen, wenn jemand rechtlich dafür einzustehen hat, dass der Erfolg, der zum Tatbestand eines Strafgesetzes gehört, nicht eintritt. Der Datenschutzbeauftragte hat derzeit keine derartige Garantenstellung, da er lediglich auf die Einhaltung des Datenschutzes hinwirken soll und er darüber hinaus lediglich eine Beratungsfunktion hat. Er hat aber keine Weisungsbefugnisse und kann nicht allein etwaige Datenschutzverstöße unterbinden. Die letztliche Entscheidungshoheit über die Unterbindung von Datenschutzverstößen obliegt vielmehr der Geschäftsführung. Daher liegt in der Regel keine Strafbarkeit wegen Unterlassen vor, wenn der Datenschutzbeauftragte untätig bleibt. 14) Die Regelungen in der DS-GVO führen hinsichtlich der zivilrechtlichen Haftung des Datenschutzbeauftragten zu keinen Änderungen. Art. 82 DS-GVO enthält eine umfassende Regelung für Schadenersatzansprüche, die die derzeitige Regelung in 7 BDSG umfassend ersetzt. Nach Art. 82 Absatz 1 DS-GVO besteht ein Anspruch gegen die verantwortliche Stelle, wenn einer Person wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entsteht. Art. 82 Absatz 2 DS-GVO weitet die Haftung darüber hinaus auf jeden an der Verarbeitung beteiligten Verantwortlichen aus. Die Haftung ist jedoch nach Art. 82 Absatz 3 DS-GVO ausgeschlossen, wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der Datenschutzbeauftragte ist trotz seiner Überwachungsaufgabe in Bezug auf die Datenverarbeitungen nicht verantwortlich, da er selbst keine Weisungen erteilen kann. Eine solche Verantwortung würde zudem mit seiner unabhängigen Stellung als Datenschutzbeauftragter kollidieren. Aus diesem Grund scheidet eine Haftung nach Art. 82 Absatz 2 DS-GVO regelmäßig aus. Es bleibt daher bei den bisherigen Haftungsregelungen nach dem BGB. Insbesondere kommt also eine Haftung gemäß 280 BGB wegen einer Pflichtverletzung in Betracht, wobei für den internen Datenschutzbeauftragten die Grundsätze des innerbetrieblichen Schadensausgleichs gelten. 15) In strafrechtlicher Hinsicht gehen demgegenüber diverse Meinungen in der juristischen Literatur von einer Änderung aus. Danach sei der Datenschutzbeauftragte durch den neuen gesetzlichen Pflichtenkreis der DS-GVO künftig ein Überwachergarant, sodass er sich grundsätzlich auch durch Unterlassen seiner Pflichten gemäß 13 Absatz 1 StGB strafbar machen könne. 16)

6 Diese Auffassung überzeugt jedoch nicht, da der Datenschutzbeauftragte auch vorher bereits Überwachungspflichten hatte und ihm auch durch die Regelungen in der DS-GVO nach wie vor keine Weisungsbefugnis zusteht. Daher kann er auch nach den Regelungen der DS-GVO nicht allein Datenschutzverstöße unterbinden. Im Gegenteil: In Art. 38 Absatz 3 Satz 3 DS-GVO wird sogar ausdrücklich klargestellt, dass er der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters berichtet. Dem Begriff des Berichtens ist jedoch zu entnehmen, dass der Datenschutzbeauftragte die Geschäftsführung in die Lage versetzen soll, notwendige Maßnahmen zur Unterbindung von Datenschutzverstößen einzuleiten, er diese Maßnahmen jedoch nach wie vor nicht selbst treffen kann. Insofern trifft ihn zwar nach wie vor die Pflicht, vom Unternehmen ausgehende Rechtsverstöße zu beanstanden, nicht jedoch die Pflicht, diese zu unterbinden. Letzteres wäre aber nach der Rechtsprechung des BGH Voraussetzung für die Annahme einer Garantenpflicht, die zu einer Strafbarkeit durch Unterlassen führen könnte. 17) Da sich insofern an der Stellung des Datenschutzbeauftragten durch die Regelungen der DS-GVO nichts ändert, ergeben sich auch bezüglich einer möglichen strafrechtlichen Haftung keine Änderungen. 18) Als weiteres Argument gegen eine so weite Auslegung der Überwachungsverpflichtung bis hin zu einer strafrechtlich relevanten Garantenstellung des Datenschutzbeauftragten wird angeführt, dass dadurch zugleich die haftungsrechtliche Verantwortung des für die Verarbeitung Verantwortlichen relativiert werde, da sie ebenfalls dem Datenschutzbeauftragten auferlegt werde, was die DS-GVO nicht bezwecke. 19) Fazit: Hinsichtlich einer möglichen zivilrechtlichen Haftung des Datenschutzbeauftragten ergeben sich durch die DS-GVO keine Änderungen. Im Falle einer Untätigkeit des Datenschutzbeauftragten ist auch künftig nicht von einer möglichen Strafbarkeit durch Unterlassen gemäß 13 StGB auszugehen. Auch insofern ergeben sich durch die DS-GVO keine Änderungen. Beendigung der Tätigkeit des Datenschutzbeauftragten Derzeit kann die Bestellung zum Beauftragten für den Datenschutz gemäß 4f Absatz 3 Satz 4 BDSG widerrufen werden auf Verlangen der Aufsichtsbehörde oder durch die Geschäftsleitung, wenn ein wichtiger Grund im Sinne des 626 BGB vorliegt. Die zuständige Aufsichtsbehörde kann die Abberufung des Datenschutzbeauftragten gemäß 38 Absatz 5 Satz 3 BDSG verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. Die DS-GVO sieht demgegenüber keine Regelungen zur Abberufung des Datenschutzbeauftragten während seiner Amtszeit vor. Art. 38 Absatz 3 Satz 2 DS-GVO enthält nur ein Verbot der Abberufung oder Benachteiligung des Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben. Dieses Abberufungs- und Benachteiligungsverbot wegen der Aufgabenerfüllung ist gleichlautend auch in 6 Absatz 3 Satz 3 BDSG neue Fassung vorgesehen. Darüber hinaus enthält jedoch 6 Absatz 4 Satz 1 BDSG neue Fassung (für private Krankenhäuser in Verbindung mit 38 Absatz 2 BDSG neue Fassung) nach wie vor die Regelung, dass die Abberufung des Datenschutzbeauftragten in entsprechender Anwendung des 626 BGB zulässig ist. Hinsichtlich der Abberufungsmöglichkeit durch die Geschäftsleitung ergeben sich somit keine Änderungen. Ein ausdrückliches Verlangen der Aufsichtsbehörde nach Abberufung des Datenschutzbeauftragten sieht die DS-GVO jedoch nicht vor. Hierzu trifft auch das BDSG neue Fassung keine Regelung mehr. Das bedeutet, dass die derzeit in 38 Absatz 5 Satz 3 BDSG vorgesehene Abberufungsmöglichkeit der Aufsichtsbehörde, wenn der Datenschutzbeauftragte die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt, künftig wegfällt. Allerdings ist die Benennung eines nicht qualifizierten oder einem Interessenkonflikt unterliegenden Datenschutzbeauftragten gemäß Art. 83 Absatz 4a DS-GVO mit einem erheblichen Bußgeld belegt. Ein nicht offensichtlich unbegründetes Verlangen der Aufsichtsbehörde nach Abberufung des Datenschutzbeauftragten dürfte darüber hinaus ein Grund für die Geschäftsleitung zur Abberufung aus wichtigem Grund ( 626 BGB) darstellen. 20) Fazit: Die Geschäftsleitung kann den Datenschutzbeauftragten auch künftig nur aus wichtigem Grund in entsprechender Anwendung des 626 BGB abberufen. Ein ausdrückliches Abberufungsverlangen durch die Aufsichtsbehörde ist zwar nicht mehr vorgesehen. Fehler bei der Bestellung (zum Beispiel fehlende Qualifikation) sind aber mit einem erheblichen Bußgeld belegt. Veröffentlichung und Mitteilung der Kontaktdaten Neu ist die in Art. 37 Absatz 7 DS-GVO bezeichnete Pflicht des Verantwortlichen oder Auftragsverarbeiters, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen. Dabei genügt mit Blick auf den Erwägungsgrund 58 zur Veröffentlichung die Bereitstellung zum selbständigen Abruf, beispielsweise auf der Homepage des Verantwortlichen oder des Auftragsverarbeiters. 21) Der Begriff der Kontaktdaten wird in der DS-GVO nicht definiert. Erwägungsgrund 23 spricht in einem anderen Zusammenhang von -Adresse oder anderen Kontaktdaten, Erwägungsgrund 14 von Name oder Kontaktdaten. Während die -Adresse damit zu den Kontaktdaten zählt, fällt der Name des Datenschutzbeauftragten somit nicht darunter. Dies bestätigt auch der Vergleich zwischen Art. 13 Absatz 1a, Art. 14 Absatz 1a DS-GVO ( Name und die Kontaktdaten des Verantwortlichen ) einerseits und Art. 13 Absatz 1b, Art. 14 Absatz 1b ( die Kontaktdaten des Datenschutzbeauftragten ) andererseits. 22) Anzugeben sind damit auf jeden Fall Anschrift (Straße, Hausnummer, Postleitzahl, Ort, Land, ggf. Unternehmen) und mit

7 Blick auf die Notwendigkeit einer leichten Erreichbarkeit auch die -Adresse, nicht aber Name und Telefonnummer. 23) Fazit: Verantwortlicher und Auftragsverarbeiter sind künftig nach der DS-GVO verpflichtet, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen. Die Veröffentlichung kann auf der Homepage erfolgen. Anzugeben sind Anschrift und -Adresse, nicht aber Name und Telefonnummer. Umgang mit bestehenden Bestellungen zum Geltungsbeginn der DS-GVO Die DS-GVO enthält keine Regelungen zum Umgang mit erfolgten Altbestellungen von Datenschutzbeauftragten. Dem Benachteiligungsverbot würde es jedoch zuwiderlaufen, von einer automatischen Beendigung der nach dem BDSG erfolgten Bestellung beim Ausbleiben einer erneuten Benennung nach der DS-GVO auszugehen. Stellung und Aufgaben des Datenschutzbeauftragten werden durch die DS-GVO auch nicht zulasten des Verantwortlichen oder Auftragsverarbeiters erweitert, sodass zum Geltungsbeginn der DS-GVO auch kein Recht zum Widerruf der Bestellung aus wichtigem Grund existiert. Somit ist davon auszugehen, dass der nach dem BDSG bestellte Datenschutzbeauftragte automatisch zum nach der DS-GVO benannten Datenschutzbeauftragten wird. Etwas anderes würde nur gelten, wenn durch die DS-GVO ein Wegfall der Pflicht zur Bestellung des Datenschutzbeauftragten erfolgen würde. 24) Dies ist jedoch durch die ergänzenden Regelungen im BDSG neue Fassung, wie oben bereits unter dem Punkt Bestellpflicht ausgeführt, insbesondere für private Krankenhäuser, nicht der Fall. Fazit: Es ist davon auszugehen, dass der nach dem BDSG bestellte Datenschutzbeauftragte zum Geltungsbeginn der DS-GVO automatisch zum nach der DS-GVO benannten Datenschutzbeauftragten wird. Rechtsfolgen bei Verstößen Sämtliche Verstöße des Verantwortlichen oder Auftragsverarbeiters gegen Art. 37 DS-GVO Benennungspflicht, Erfordernis der leichten Erreichbarkeit des Konzerndatenschutzbeauftragten, erforderliche Qualifikation des Datenschutzbeauftragten, Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten sowie sämtliche Verstöße der benennenden Stelle gegen ihre Pflichten aus Art. 38 DS-GVO Pflicht zur frühzeitigen und ordnungsgemäßen Einbindung des Datenschutzbeauftragten, Pflicht zur Unterstützung des Datenschutzbeauftragten, Sicherstellung der Weisungsfreiheit des Datenschutzbeauftragten, Abberufungs- und Benachteiligungsverbot, Sicherstellung einer Berichtsmöglichkeit an die höchste Managementebene, Möglichkeit für betroffene Personen, Kontakt mit dem Datenschutzbeauftragten aufzunehmen und von ihm Rat zu erhalten, Vermeidung von Interessenkonflikten sind nach Art. 83 Absatz 4a DS-GVO mit einer Geldbuße von bis zu oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht, je nachdem, welcher Betrag höher ist. Fazit: Die DS-GVO sieht bei Verstößen gegen die Pflichten im Zusammenhang mit der Bestellung eines betrieblichen Datenschutzbeauftragten empfindliche Geldbußen vor. Anmerkungen 1) EU-Datenschutz-Grundverordnung (DS-GVO), ABl L 119, 1 ff., die am 24. Mai 2016 in Kraft getreten ist und ab dem 25. Mai 2018 in Deutschland unmittelbare Geltung entfalten wird. 2) Vergleiche hierzu ausführlich Haag, das Krankenhaus 2011, Seite 1299 ff. 3) Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003, BGBl. I Seite 66, zuletzt geändert durch Artikel 10 Absatz 2 des Gesetzes vom 31. Oktober 2017, BGBl. I Seite ) Das Bundesdatenschutzgesetz hat durch das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU DSAnpUG-EU) vom 30. Juni 2017, BGBl. I, Seite 2097, umfangreiche Änderungen erfahren, die am 25. Mai 2018 zeitgleich zum Geltungsbeginn der DS-GVO in Kraft treten. Gleichzeitig tritt zu diesem Zeitpunkt das derzeit gültige Bundesdatenschutzgesetz außer Kraft. 5) Niklas/Faas, NZA 2017, Seite 1091, 1092; Laue/Nink/Kremer, Seite 193 f. 6) Helfrich, in: Sydow, Art. 37 DS-GVO, Rn ) Bergt, in: Kühling/Buchner, Art. 37 DS-GVO, Rn ) Eine entgegenstehende einschränkende Regelung enthält beispielsweise 5 Absatz 1 Satz 2 Hessisches Datenschutzgesetz (HDSG), wonach öffentliche Stellen nur ihre Beschäftigten zum behördlichen Datenschutzbeauftragten bestellen dürfen. Dadurch ist auch Krankenhäusern in öffentlicher Trägerschaft in Hessen die Bestellung eines externen Datenschutzbeauftragten nicht erlaubt. 9) Marschall/Müller, ZD 2016, Seite 415, ) Niklas/Faas, NZA 2017, Seite 1091, 1093; so auch Helfrich, in: Sydow, Art. 37 DS-GVO, Rn ) Bergt, in: Kühling/Buchner, Art. 37 DS-GVO, Rn ) Laue/Nink/Kremer, Seite 196 f. 13) Niklas/Faas, NZA 2017, Seite 1091, ) Niklas/Faas, NZA 2017, Seite 1091, ) Niklas/Faas, NZA 2017, Seite 1091, ) Niklas/Faas, NZA 2016, Seite 1091, 1096 f.; Laue/Nink/Kremer, Seite 211, die den Datenschutzbeauftragten auch jetzt schon als Überwachergaranten sehen; Bergt, in: Kühling/Buchner, Art. 37 DS-GVO, Rn ) BGH, Urteil vom 17. Juli 2009, 5 StR 394/08, NJW 2009, Seite 3173, 3174 f. mit Anmerkungen von Stoffers; OLG Frankfurt, Urteil vom 22. Mai 1987, 1 Ss 401/86. 18) So auch Helfrich, in: Sydow, Art. 39 Rn. 72; Lantwin, ZD 2017, Seite 411 ff.; vergleiche zur Stellung des Hygienebeauftragten im Krankenhaus auch Walter/Heppekausen, Pflege- & Krankenhausrecht 2012, Seite 29, ) Helfrich, in: Sydow, Art. 39 DS-GVO, Rn ) Bergt, in: Kühling/Buchner, Art. 37 DS-GVO, Rn ) Laue/Nink/Kremer, Seite 198; Bergt, in: Kühling/Buchner, Art. 37 DS-GVO, Rn ) Laue/Nink/Kremer, Seite 198; Bergt, in: Kühling/Buchner, Art. 37 DS-GVO, Rn ) Laue/Nink/Kremer, Seite ) Laue/Nink/Kremer, Seite 198. Anschrift der Verfasserin Ina Haag, Rechtsabteilung der DKG, Wegelystraße 3, Berlin