Die Haftung des Datenschutzbeauftragten unter Berücksichtigung des Entwurfs der EU-DSGVO

Transkript

1 Die Haftung des Datenschutzbeauftragten unter Berücksichtigung des Entwurfs der EU-DSGVO

2 Ihr Referent Rechtsanwalt, Fachanwalt für IT-Recht Software-Systemingenieur Wesentliche Schwerpunkte in der Beratungspraxis Vertragsrecht (im Kontext der ITK-Branche) Datenschutzrecht (2)

3 Überblick Strafrechtliche Verantwortlichkeit BGH, Urt. v StR 394/08 Aufgaben des DSB Zivilrechtliche Haftung Öffentlich-rechtliche Verantwortlichkeit (3)

4 Strafrechtliche Verantwortlichkeit (4)

5 Ordnungswidrigkeiten 43 Abs. 2 Nr. 1 BDSG: Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet. Bußgeld bis EUR (oder mehr: Vorteilsabschöpfung) 130 OWiG Zusätzlich zu betrachtende, eigene Ordnungswidrigkeit des Geschäftsführers, bzw. Vorstandsmitglieds Bußgeld bis EUR ( 44 BDSG) / EUR (oder mehr) (5)

6 Straftaten und Systematik des Strafrechts Täterschaftliche Begehung 43, 44 BDSG o Tatbestand des 43 Abs. 2 Nr. 1 BDSG am Beispiel Newsletter o vorsätzliche Handlung in der Absicht, sich oder einen anderen zu bereichern 43, 44 BDSG i.v.m. 13 StGB (Unterlassen) o Gleichwertigkeit des Unterlassens Garantenstellung, Garantenpflicht Teilnehmerschaftliche Begehung 43, 44 BDSG i.v.m. 27 StGB (Beihilfe) o auch durch Unterlassen möglich (6)

7 Bisherige Rechtsprechung (7)

8 BGH, Urt. v StR 394/08 Im Ergebnis: Verurteilung zur Beihilfe durch Unterlassen zum [ ] Rn. 24: Die Rechtsprechung hat bislang in einer Reihe von Fällen Garantenstellungen anerkannt, die aus der Übernahme von bestimmten Funktionen abgeleitet wurden. [ ] Eine Garantenpflicht wird weiterhin dadurch begründet, dass der Betreffende eine gesetzlich vorgesehene Funktion als Beauftragter übernimmt (vgl. OLG Frankfurt NJW 1987, 2753 [ ]), etwa als Beauftragter für Gewässerschutz ( 21a ff. WHG), Immissionsschutz ( 53 ff. BImSchG) oder Strahlenschutz ( 31 ff. StrahlenschutzVO). (8)

9 Gesetzliche Aufgaben 65 Abs. 1 S. 2 WHG: [Gewässerschutzbeauftragte] sind berechtigt und verpflichtet, (1.) die Einhaltung von Vorschriften [ ] zu überwachen, (2.) auf die Anwendung geeigneter Abwasserbehandlungsverfahren hinzuwirken, 54 BImSchG, 60 KrWG, etc. vom Wortlaut her größere Pflichten: 58b BImSchG, 33 StrlSchV 4g Abs. 1 BDSG: Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. [ ] Er hat insbesondere (1.) die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; (9)

10 BGH, Urt. v StR 394/08 Rn. 25, 26: Allerdings begründet nicht jede Übertragung von Pflichten auch eine Garantenstellung im strafrechtlichen Sinne. Hinzutreten muss regelmäßig ein besonderes Vertrauensverhältnis, das den Übertragenden gerade dazu veranlasst, dem Verpflichteten besondere Schutzpflichten zu überantworten. Der Inhalt und der Umfang der Garantenpflicht bestimmen sich aus dem konkreten Pflichtenkreis, den der Verantwortliche übernommen hat. Die Übernahme entsprechender Überwachungs- und Schutzpflichten kann aber auch durch einen Dienstvertrag erfolgen. (10)

11 BGH, Urt. v StR 394/08 Rn. 27: Zielrichtung der Beauftragung Compliance Officer, unter Berücksichtigung der Stellenbeschreibung im Vertrag: Deren Aufgabengebiet ist die Verhinderung von Rechtsverstößen, insbesondere auch von Straftaten [ ] Dies [die Garantenpflicht] ist die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu unterbinden. Rn. 31: Der Angeklagte war deshalb im Sinne des 13 Abs. 1 StGB verpflichtet, von ihm erkannte Fehler der Tarifberechnung zu beanstanden. (11)

12 Ggf. mögliche Bewertung durch zukünftige Urteile (12)

13 Nicht nur Teilnehmer an der Tat eines Anderen: Der DSB als Täter und/oder Mittäter? 14 Abs. 2 StGB: Ist jemand von dem Inhaber eines Betriebs oder einem sonst dazu Befugten (2.) ausdrücklich beauftragt, in eigener Verantwortung Aufgaben wahrzunehmen, die dem Inhaber des Betriebs obliegen, und handelt er auf Grund dieses Auftrags, so ist ein Gesetz, nach dem besondere persönliche Merkmale die Strafbarkeit begründen, auch auf den Beauftragten anzuwenden, wenn diese Merkmale zwar nicht bei ihm, aber bei dem Inhaber des Betriebs vorliegen. Derselbe Wortlaut findet sich in 9 Abs. 2 OWiG (13)

14 44 Abs. 1 BDSG als Straftat des DSB? Täterschaftliche Begehung 43, 44 BDSG o Tatbestand des 43 Abs. 2 Nr. 1 BDSG am Beispiel Newsletter 43 Abs. 2 BDSG: Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig (1.) unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, [ ] 44 Abs. 1 BDSG: Wer eine in 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird [ ] bestraft. (14)

15 Stellung und Aufgaben des DSB nach der EU-DSGVO (15)

16 Stellung, bzw. Rollenverständnis, EW 75 Vorschlag der KOM [ ] sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der unternehmensinternen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person unterstützt werden. Derartige Datenschutzbeauftragte sollten [ ] ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können. [ ] Einfügung des Parlaments Letztendlich sollte das Management einer Organisation verantwortlich bleiben. Standpunkt des Rates (16)

17 Aufgaben des DSB Art. 37 Abs. 1: Beratung der verantwortlichen Stelle, Überwachung der Einhaltung der EU-DSGVO o und anderer Datenschutzvorschriften der EU und der Mitgliedsstaaten (Rat) Meldung von Verstößen gegen die EU-DSGVO an die Behörde und an den Betroffenen (Rat) Art. 37 Abs. 2 KOM wird ermächtigt, durch delegierte Rechtsakte festzulegen: Kriterien und Anforderungen für die Bestimmung der Aufgaben (Parlament und Rat) (17)

18 Zivilrechtliche Haftung (18)

19 Haftung des internen DSB Gegenüber dem Betroffenen Keine vertragliche Haftung Gegenüber der verantwortlichen Stelle Grundlage: Arbeitsvertrag o Haftung gem. 280 ff BGB auf Schadensersatz. o Rechtsprechung des BAG: Grundsätze der beschränkten AN-Haftung. Haftung für Verschulden des Hilfspersonals, 4f Abs. 5 BDSG o Kein Vertrag zwischen internem DSB und seinem Hilfspersonal, daher keine Zurechnung des Verschuldens zum DSB gem. 278 BGB. o Schlechte Anleitung, bzw. mangelhaft Überwachung begründet eigenständigen Verschuldensvorwurf gegenüber dem DSB. (19)

20 Haftung des externen DSB Gegenüber dem Betroffenen Keine vertragliche Haftung Gegenüber der verantwortlichen Stelle: Grundlage: Dienstvertrag o Haftung gem. 280 ff BGB auf Schadensersatz, Verschuldensvermutung o Keine Haftungsbegrenzung: Normalfall des 276 BGB. Haftung für Verschulden des Hilfspersonals, 4f Abs. 5 BDSG o Zurechnung des Verschuldens zum DSB gem. 278 BGB, keine Exkulpation Handlungsempfehlung: o Berufshaftpflichtversicherung o ggf. auch Haftungsausschluss und/oder Haftungsbegrenzung vereinbaren (20)

21 Haftung gegenüber dem Betroffenen auf der Grundlage des Deliktsrechts Haftung der nicht-öffentlichen verantwortlichen Stelle 7 S. 1 BDSG 823 Abs. 2 BGB i.v.m. 43, 44 BDSG o Ersatzfähiger Schaden? o Haftungsausschluss analog 8 Abs. 2 BDSG? o Haftungsbegrenzung analog 8 Abs. 3 BDSG? Haftung des internen / externen DSB 823 Abs. 2 BGB i.v.m. 43, 44 BDSG i.v.m. 13, 27 StGB o Darlegungs- und Beweislast bzgl. des Verschuldens, Möglichkeit des Adhäsionsverfahrens, 403 ff StPO o 830 Abs. 1, Abs. 2 BGB (21)

22 Exkurs Zivilrechtliche Haftung im Bereich Auftragsdatenverarbeitung (22)

23 Haftung des AN gegenüber dem AG Vertragsrechtliche Haftung auf Schadensersatz 280 ff BGB, vgl. Haftung des externen DSB Spannungsverhältnis Verschuldensvermutung - Weisungsgebundenheit ersatzfähiger Schaden: Imageverlust? übliche vertragliche Regelung: Vertragsstrafeversprechen Verschulden nicht erforderlich (23)

24 Haftung des AN gegenüber dem Betroffenen 11 Abs. 1 BDSG: Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. Voraussetzungen Vertrag muss gemessen an 11 BDSG wirksam sein. Handeln des AN innerhalb der Vorgaben des Vertrags / der Weisungen. (24)

25 des AN Gelegentlich anzutreffende Klausel im Vertrag über die ADV Der Datenschutzbeauftragte des Auftragnehmers gewährleistet die Ordnungsgemäßheit der im Auftrag des Auftraggebers ausgeführten Datenverarbeitungen, insbesondere die Einhaltung der technischen und organisatorischen Maßnahmen gem. der Anlage zu diesem Vertrag. Gelegentlich anzutreffende Vertragsgestaltung Der vom AG vorformulierte Vertrag ist vorgesehen zur Unterzeichnung durch den Datenschutzbeauftragten des AN. (25)

26 Öffentlich-rechtliche Verantwortlichkeit (26)

27 Konsequenzen für die verantwortliche Stelle Verwaltungsakte durch Aufsichtsbehörden für den Datenschutz HDU-Verfügungen, gestuftes Verfahren o Anordnungen zur Mangelbeseitigung o Untersagungsverfügungen Verwaltungsvollstreckung und Bußgeldbescheide Verwaltungsakte durch die Gewerbeaufsicht 38 Abs. 7 BDSG: o Die Anwendung der Gewerbeordnung bleibt unberührt Gewerbeuntersagungen / Rücknahme von Erlaubnissen Untersagungsverfügungen gegen Geschäftsleiter (27)

28 Konsequenzen für den DSB 38 Abs. 5 S. 3 BDSG (Verlangen der Abberufung) [ ], wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. Eigenes rechtwidriges Verhalten? Weitere Rechtsfolgen für interne DSB für externe DSB (28)

29 Vielen Dank für Ihre Aufmerksamkeit Fragen? Anmerkungen? Diskussion! Rechtsanwalt Fachanwalt für IT-Recht Software-Systemingenieur 0203 / sander@sds.ruhr Harmoniestraße 2a, Duisburg