Sascha Piere Hantschel Die strafrechtliche Unterlassungsverantwortlichkeit eines betrieblichen Datenschutzbeauftragten Verlag Dr. Kovac Hamburg 2015
Inhaltsverzeichnis A bkürzungsverzeichnis... XVII E in leitu n g...1 Kapitel 1...9 A. Der betriebliche Datenschutzbeauftragte... 9 I. Stellung im Unternehmen...10 1.) Rechtliche Vorgaben...10 a) Persönliche V oraussetzungen... 11 aa) Fachkunde...13 bb) Zuverlässigkeit...13 b) Die Unabhängigkeit des Datenschutzbeauftragten...15 2.) Erscheinungsform en...17 a) Der interne Datenschutzbeauftragte...18 b) Der externe Datenschutzbeauftragte...18 c) Der Konzerndatenschutzbeauftragte...19 3.) Hierarchische Stellung im Unternehmen...19 II. Aufgaben...20 1.) Gesetzlich zugewiesene A ufgaben... 20 a) Überwachung des Datenschutzes...21 aa) U m fang...21 bb) Stellungnahme...24 IX
b) Umfang der Beratung... c) Vorabkontrolle...26 d) Schulungspflichten... 27 e) Anlegen eines Verzeichnisses...28 2.) Handlungsmöglichkeiten...28 3.) Vertragliche Vereinbarungen...31 B. Die Aufsichtsbehörde... 31 I. Kontrolle...31 II. Anordnungsbefugnis... 34 III. Verhältnis zum Datenschutzbeauftragten...35 C. Datenschutz und Strafrecht im Unternehm en... 36 I. Strafrechtliche Anknüpfungspunkte... 36 II. Datenschutz in der Unternehmenswirklichkeit... 38 1.) Der Datenskandal bei der Deutschen B ahn... 38 2.) Der Fall der Deutschen Telekom... 39 3.) Weitere Fälle...40 4.) Abschließende Bemerkung... 41 III. Ansätze zur Begründung der Unterlassungshaftung des Datenschutzbeauftragten... 43 Kapitel 2... 45 X
A. Dogmatik der Garantenpflichten im Allgemeinen... 45 1. Die Begründung von Garantenpflichten...45 1 ) Klassische bzw. formale Betrachtungsweise... 46 2.) Materielle Betrachtungsweise... 47 II. Ausrichtung der Untersuchung... 50 B. Die Garantenproblematik unter dem Aspekt der Geschäftsherrenhaftung... 55 I. Überblick anhand ausgewählter Fälle der Rechtsprechung... 56 II. Literaturansätze... 60 1.) Der Ansatz Schünem anns... 60 2.) Der Ansatz Göhlers...64 3.) Der Ansatz Bottkes...65 4.) Der Ansatz R ogalls...66 5.) Der Ansatz Schalls...67 6.) Der Ansatz Landscheidts... 69 7.) Der Ansatz Ransieks...20 8.) Der Ansatz Brammsens...71 9.) Der differenzierende Ansatz Gimbernat Ordeigs...73 10.) Der differenzierende Standpunkt Springs...75 11.) Die tendenziell ablehnende Haltung Boschs... 77 12.) Die tendenziell ablehnende Haltung Langkeits...78 13.) Die ablehnende Haltung Hsiis... 28 14.) Die ablehnende Haltung Rudolphis und Steins...80 XI
15.) Die ablehnende Haltung Beulkes 81 III. Resümee und Stellungnahme...83 1.) Stellungnahme zu den tendenziell und generell ablehnenden Ansichten...83 a) Kritik an den Argumenten von Rudolphi und Stein...83 b) Kritik an den Argumenten von H sü...85 c) Kritik an den Argumenten von Bosch... 86 d) Kritik an den Argumenten von B eulke... 86 e) Kritik an den Argumenten von Lcingkeit...87 1) Kritik an den Argumenten von S pring... 88 2.) Stellungnahme zu den befürwortenden Ansätzen der Geschäftsherrenhaftung...89 a) Kritik am Ansatz von Brammsen... 89 b) Kritik am Ansatz von Göhler...90 c) Kritik am Ansatz von Bottke... 91 d) Kritik am Ansatz von R ogall... 92 e) Kritik am Ansatz von Schall... 93 I) Kritik am Ansatz von Gimbernat Ordeig...94 g) Kritik am Ansatz von Landscheidt...94 h) Kritik am Ansatz von R ansiek...95 3.) Zwischenfazit: Zugrundelegung des Ansatzes von Schünemann...96 Kapitel... 99 A. Garantenstellung des betrieblichen Datenschutzbeauftragten... 99 B. Der Datenschutzbeauftragte als Überwachergarant... 99 X II
I. U rsprung der Rechtspflichten des Datenschutzbeauftragten 100, n 1.) Originäre oder abgeleitete Pflichten... 100 2.) E rgebnis... 105 II. Der Datenschutzbeauftragte als originärer G arant... 1.) Verantwortlichkeit aus personaler Herrschaft des Datenschutzbeauftragten... a) Eskalation als Herrschaftskriterium gegenüber M itarbeitern...'06..106 b) Übergeordnetes Wissen als personales Herrschaftskriterium...' ' 3 aa) Übergeordnetes Wissen gegenüber Mitarbeitern unterhalb dei Geschäftsleitungsebene... ' ' bb) Übergeordnetes Wissen gegenüber der Unternehmensleitung...' '2, r, 118 c) Ergebnis... 2.) Verantwortlichkeit aus der Geschehensherrschaft des Datenschutzbeauftragten... 119 a) Pflicht zur Information und Aufklärung des Betriebsinhabers bzw. der Geschäftsleitung... 122 aa) Fälle unterhalb der Geschäftsleitungsebene... bb) Fälle auf der Ebene der Geschäftsleitung... cc) Ergebnis... 126 b) Pflicht zur Information unternehmensinterner Aufsichtsorgane...127 c) Pflicht zur Information der Aufsichtsbehörde... aa) Vorliegen einer metastrafrechtlichen Informationspflicht...'29 bb) E rgebnis... 3.) Zwischenfazit... 135 123 1 9 c 198 175 111. Haftung aus Ingerenz... 136 XIII
1.) Vorbem erkung...136 2.) Die Ingerenzhaftung und ihre Voraussetzungen...139 3.) Anknüpfungspunkte der Ingerentenhaftung für den Datenschutzbeauftragten... 141 4.) Abschließende Bemerkung und Ergebnis...146 C. Der Datenschutzbeauftragte als Beschützergarant... 148 1. Voraussetzungen einer Beschützergarantenstellung kraft Ü bernahm e 149 1.) Der Ansatz Schünem anns...150 2.) Der Ansatz Strees...152 3.) Stellungnahme... 153 II. Fälle aus der Rechtsprechung zur Frage einer Beschützergarantenstellung kraft Übernahme bei sonstigen Betriebsbeauftragten...154 1.) Keine Beschützergarantenstellung des G ewässerschutzbeauftragten 154 2.) Beschützergarantenstellung des Innenrevisors einer öffentlichen Anstalt.. 155 3.) Stellungnahme... 156 III. Der Datenschutzbeauftragte als Beschützergarant kraft Übernahme einer Schutzfunktion...159 1.) Systematisierung der Fragestellung im Flinblick auf den datenschutzrechtlichen K ontext... 161 a) Persönlichkeitsrechtsverletzung durch eine aus Sicht des Unternehmens erstmalige Erhebung von D aten... 161 b) Persönlichkeitsrechtverletzungen im Zuge eines Angriffs auf im Unternehmen bereits erhobene D aten... 162 XIV
c) Ergebnis...163 2.) Haftung für die Freiheit von Persönlichkeitsrechtsverletzungen bei Kunden oder Mitarbeitern im Hinblick auf eine aus Sicht des Unternehmens erstmalige rechtswidrige Erhebung von personenbezogenen D aten...163 a) Ermittlung eines Gefahrenmomentes... 166 aa) Gefahrenmoment im Beschäftigtenverhältnis... 166 bb) Gefahrenmoment im Kundenverhältnis...167 b) Ermittlung eines Schutzversprechens... 167 c) Zuordnung des Schutzversprechens...169 aa) Primäre Verantwortlichkeit des Betriebsinhabers bzw. der Geschäftsleitung...170 bb) Sekundäre Verantwortlichkeit des Datenschutzbeauftragten...172 d) Ergebnis... 174 3.) Haftung für die Freiheit von Persönlichkeitsrechtsverletzungen bei Kunden oder Mitarbeitern im Zusammenhang mit einem Angriff auf im Unternehmen gespeicherte personenbezogene Daten ( Datendiebstahl ), deren unbefugte Nutzung oder unbefugte W eitergabe... 175 a) Vorliegen eines Gefahrenmomentes...176 b) Vorliegen eines Schutzversprechens... 177 aa) Schutzversprechen gegenüber M itarbeitern...177 bb) Schutzversprechen gegenüber K unden...178 c) Ergebnis... 182 D. F azit...183 Kapitel 4...185 A. Ermittlung des tatbestandsmäßigen Erfolges gemäß 13 StGB... 187 XV
I. Streitstand im Allgem einen...187 II. Auswirkungen auf die strafrechtliche Erfassung des Datenschutzbeauftragten... 189 III. Stellungnahme... 191 IV. Ergebnis...195 B. Der Datenschutzbeauftragte als Täter oder Teilnehmer... 195 I. Abgrenzung von Täterschaft und Teilnahme beim U nterlassungsdelikt 196 II. Stellungnahme und Lösungsvorschlag für den Fall des Datenschutzbeauftragten... 202 C. Kausalitätsfragen... 211 G esam tergebnis der U ntersuchung... 217 L iteraturverzeichnis... 221 XVI