Strafbarkeit des Datenschutzbeauftragten: verschärfte Haftung wie beim Compliance-Officer?
Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska und Frau Rechtsanwältin Alma Lena Fritz
02.12.2009 - Der BGH hat im Juli diesen Jahres die strafrechtlich relevante Garantenpflicht eines Leiters der Innenrevision einer Anstalt des öffentlichen Rechts bejaht und die Verurteilung zur Betrugsbehilfe durch Unterlassen bestätigt (Az. 5 StR 394/08). Zugleich hat der BGH ausgeführt, dass vergleichbare Maßstäbe auch für „Compliance Officer“ in Unternehmen anwendbar seien. In diesem Beitrag soll geklärt werden, ob die strafrechtlichen Überlegungen des BGH auch auf die Stellung des Datenschutzbeauftragten im Betrieb übertragen werden können.
BGH-Urteil vom Juli 2009: Strafbarkeit des Compliance-Officers
Angeklagt war der Leiter der Innenrevision einer Anstalt des öffentlichen Rechts. Aufgrund eines Kalkulationsfehlers eines anderweitig verfolgten Haupttäters wurden gegenüber abgabenpflichtigen Bürgern zu hohe Abgaben erhoben. Der Berechnungsfehler wurde von dem Leiter der Innenrevision in der Folgezeit bemerkt, aber nicht korrigiert, so dass auch in der Folgeperiode zu hohe Abgaben erhoben wurden. Durch die überhöhten Abgaben entstand den betroffenen Bürgern ein Schaden in Höhe von insgesamt 23 Mio. Euro. Daraufhin verurteilte das zuständige Landgericht den Leiter der Innenrevision zur Beihilfe zum Betrug durch Unterlassen. Dieses Urteil hat der BGH bestätigt. Der Leiter der Innenrevision hätte hier das betrügerische Handeln des Haupttäters durch eine Unterrichtung des Vorstandsvorsitzenden oder des Aufsichtsrats unterbinden können und müssen, denn sein konkreter Dienstposten war gerade so zugeschnitten, dass er zum Schutz der Anlieger vor betrügerischen Handlungen verpflichtet war.
Die Entscheidung ist von Bedeutung, weil sie grundsätzliche Aussagen zu den Garantenpflichten im Unternehmen im Hinblick auf die Verhinderung von Straftaten gegen Dritte trifft.
Relevanz im Zusammenhang mit dem Datenschutzrecht
Der zitierte Sachverhalt könnte auch für den Datenschutzbeauftragten eines Betriebes relevant werden, wenn die Gefahrenverteilung, die dem Leiter der Innenrevision im Urteil zur Last gelegt wurde, auch auf die Position des Datenschutzbeauftragten im Betrieb für dessen Fehlverhalten übertragbar wäre.
Rechtliche Einführung in den Sachverhalt
Nach dem Strafgesetzbuch kann eine Straftat eine nach diesem Gesetz tatbestandsmäßige, rechtswidrige und schuldhafte Handlung sein. Handlung ist in diesem Sinne generell jedes menschliche Verhalten. Unterschieden werden muss zwischen dem aktiven Tun, das durch eine Person ausgeführt wird, und dem Unterlassen aktiven Tuns, durch welches ebenfalls ein Straftatbestand verwirklicht werden kann (§ 13 StGB). Unterlassen im Sinne des Strafgesetzbuchs meint insoweit das Nicht-Entfalten von Aktivität und das Nicht-Eingreifen in einen ablaufenden Kausalprozess. Dieses kann genau wie auch die Entfaltung von Aktivität zu einer Strafbarkeit führen.
Natürlich kann aber nicht jedes Unterlassen jeder erdenklichen Handlung eine Strafbarkeit zur Folge haben. Nach § 13 StGB ist ein Unterlassen nur dann strafbar, wenn eine sogenannte „Garantenpflicht“ zur Durchführung der gebotenen Handlung verpflichtet hätte.
Bestehen einer Garantenpflicht
Eine strafrechtliche Garantenpflicht ist gegeben, wenn der Unterlassende rechtlich dafür einzustehen hat, dass der tatbestandliche Erfolg einer Straftat nicht eintritt und das Unterlassen der Verwirklichung des gesetzlichen Tatbestands durch ein Tun entspricht.
Garantenpflichten können sich insoweit direkt aus dem Gesetz, aus Gewährsübernahme (z.B. auf Grundlage eines Vertrags wie einem Dienstvertrag gemäß § 611 BGB), aus einem besonderen Vertrauensverhältnis (z.B. aufgrund familiären Zusammenlebens) oder aus der Herbeiführung einer Gefahrenlage (sog. Ingerenz) ergeben.
Garantenpflicht aus einem Dienstvertrag?
Zur Begründung einer Garantenpflicht aus einem Dienstvertrag reicht jedoch der Vertragsschluss noch nicht aus, vielmehr muss es auch zu einer tatsächlichen Übernahme des Pflichtenkreises kommen. Zusätzlich muss ein besonderes Vertrauensverhältnis gegeben sein, durch welches gerade die besonderen Schutzpflichten übertragen werden. Dann besteht eine Sonderverantwortung für die Integrität des übernommenen Verantwortungsbereichs.
Die Stellung eines Compliance Officers oder hier des Leiters der Innenrevision umfasst gerade die Verhinderung von Straftaten, so dass ein besonderer Verantwortungsbereich gegeben ist. Auch vor dem hier besprochenen Fall wurden in der Rechtsprechung in ähnlichen Positionen Garantenstellungen für die Übernahme bestimmter Funktionen anerkannt, so u.a. bei hohen staatlichen Repräsentanten, denen der Schutz von Leib und Leben der ihnen anvertrauten Bürger obliegt (siehe BGH NJW 1992, 3247), oder bei Polizeibeamten (BGH NJW 1993, 544).
Wieso kann dieser Sachverhalt für den Datenschutzbeauftragten relevant sein?
Da der Datenschutzbeauftragte einer ähnlichen Pflichtenstruktur wie der Compliance Officer unterliegt, könnte der besprochene Fall übertragen werden.
Die Aufgabe des Datenschutzbeauftragten ist es gemäß § 4g Abs.1 S. 1 BDSG, auf die Einhaltung des Bundesdatenschutzgesetzes sowie auf andere Vorschriften des Datenschutzes (z.B. aus dem TMG) hinzuwirken. Insofern trifft ihn wie den Compliance Officer die Pflicht, Dritte vor Straftaten aus dem Unternehmensumfeld zu schützen, wenn auch in unterschiedlicher Form: der Compliance Beauftragte muss die Begehung der Straftaten unterbinden, der Datenschutzbeauftragte muss lediglich darauf hinwirken, dass keine datenschutzwidrigen Handlungen zu Lasten Dritter vorgenommen werden.
Datenschutzbeauftragter nimmt staatliche Aufgaben wahr
Dabei ist insbesondere zu beachten, dass der Datenschutzbeauftragte durch seine Tätigkeit letztlich staatliche Aufgaben wahrnimmt, wie beispielsweise die Vorabkontrolle von Verfahren automatisierter Datenverarbeitung. Seine Tätigkeit wird damit nicht in erster Linie durch die vertragliche Beauftragung, sondern - wie bei dem Leiter der Innenrevision - direkt durch das Gesetz und die Gesetzmäßigkeit des Vollzugs der Gesetze bestimmt. Damit nimmt er auch nicht allein Interessen des Unternehmens sondern sämtlicher durch die Datenverarbeitung betroffenen Personen wahr.
Damit ist die Stellung des Datenschutzbeauftragten sogar noch weiter als die Stellung des privatrechtlich beauftragten Compliance Officers zu begreifen, für welchen eine Garantenpflicht im Sinne des Strafrechts nach dem oben Beschriebenen angenommen wird, wenn dieser entgegen der ihm anvertrauten Aufgaben nicht handelt.
Gerade weil der zwar aufgrund privaten Dienstvertrages beschäftigte Datenschutzbeauftragte staatliche Aufgaben des Datenschutzes wahrnimmt, besteht für ihn damit eine Garantenpflicht hinsichtlich der Hinwirkung auf einen datenschutzrechtlich zulässigen Umgang mit personenbezogenen Daten im Betrieb.
Aufgaben des Datenschutzbeauftragten
Insgesamt besteht somit die Hauptaufgabe des Datenschutzbeauftragten darin, die Bestimmungen des BDSG auf die besonderen Verhältnisse der Daten verarbeitenden Stelle anzuwenden. Einen der Schwerpunkte des Handelns des Datenschutzbeauftragten stellt die Überwachung der Datenverarbeitungsprogramme dar. Durch die begleitende Kontrolle soll gerade eine gesetzeswidrige Verarbeitung personenbezogener Daten verhindert werden. Dies bezieht sich gerade auch auf die Verhinderung von Straftaten, die durch Andere begangen werden können. Den Datenschutzbeauftragten trifft damit neben der Kontrolle der relevanten Datenverarbeitungsvorgänge auch die Verpflichtung, Fehler im Umgang mit den Daten, welche datenschutzrechtlich relevant sein können, an die verantwortliche Stelle zu melden. Unterlässt er die Kontrolle oder die Meldung und werden dadurch Straftaten Anderer ermöglicht, kann der Datenschutzbeauftragte aufgrund der bestehenden Garantenpflicht aus unserer Sicht selbst strafrechtlich verantwortlich sein.
Praktische Auswirkung
Der Datenschutzbeauftragte muss die erforderliche Fachkunde besitzen, um die datenschutzrechtlich relevanten Themen im Unternehmen zutreffend beurteilen und seiner gesetzlichen Verpflichtung nachkommen zu können, gegenüber der Unternehmensleitung auf die Einhaltung datenschutzrechtlicher Vorschriften hinzuwirken. In seinem eigenen Interesse sollte der Datenschutzbeauftragte daher an regelmäßigen Schulungsmaßnahmen teilnehmen und seine Tätigkeit genau dokumentieren, um im Zweifelsfall seine pflichtgemäße Aufgabenerfüllung nachweisen zu können.
Fazit
Der Datenschutzbeauftragte kann sich unserer Ansicht nach durch Unterlassen strafbar machen, wenn er seinen Hinwirkungspflichten auf einen ordnungsgemäßen Umgang mit personenbezogenen Daten im Betrieb nicht nachkommt und so strafbare Handlungen Dritter ermöglicht oder gefördert werden. Es ist Datenschutzbeauftragten daher zu empfehlen, ihre ordnungsgemäß durchgeführten Beaufsichtigungs- und Hinwirkungspflichten stets sorgfältig zu dokumentieren, um nicht selbst strafrechtlich in die Verantwortung gezogen werden zu können.