Die Verschwiegenheitspflicht des Datenschutzbeauftragten
Der Datenschutzbeauftragte ist nach § 4f Abs. 4 BDSG zur Verschwiegenheit verpflichtet. Welche Auswirkungen hat dies für die tägliche Arbeit des Datenschutzbeauftragten?
Der DSB ist gesetzlich zur Verschwiegenheit über die Identität von Betroffenen sowie über die Umstände, die Rückschlüsse auf die Betroffenen zulässt, verpflichtet. Die Verschwiegenheitspflicht bezieht sich somit zunächst und in erster Linie nur auf die Betroffenen selbst. Jedoch sind auch „Informanten“ geschützt, die in Betrieben oder Behörden den Datenschutzbeauftragten auf Probleme bei der Datenverarbeitung hinweisen. Dies ergibt sich nicht direkt aus § 4f BDSG, sondern es wird von einer allgemeinen Verschwiegenheitspflicht ausgegangen. Eine umfassende Verschwiegenheitspflicht des DSB wird in der Literatur nicht angezweifelt. § 4f Abs. 4 BDSG stellt daher nur einen Teilaspekt einer umfassenden Verschwiegenheitspflicht dar (Simitis, in Simitis, BDSG, 8. Auflage 2014, § 4f, Rn. 166). Offensichtlich öffentliche Informationen zu Betroffenen unterliegen nicht der Verschwiegenheitspflicht.
Durch die Verschwiegenheitspflicht soll es den Betroffenen der Datenverarbeitung erleichtert werden, sich an den DSB zu wenden, ohne Konsequenzen fürchten zu müssen. Die Vertrauensstellung des DSB innerhalb der verantwortlichen Stelle ist ein hohes Gut. Dieses Gut soll durch die Verschwiegenheitspflicht gewahrt und der DSB als Kontrollorgan gestärkt und seine Unabhängigkeit gewährleistet werden. Denn der DSB als unabhängige Kontrollinstanz in der verantwortlichen Stelle ersetzt eine allgemeine Kontrolle durch die Aufsichtsbehörden. Daher muss es ihm möglich sein, vertraulich und unabhängig prüfen zu können.
Die Verschwiegenheitspflicht gilt zunächst gegenüber der verantwortlichen Stelle inkl. der Geschäftsleitung, aber auch gegenüber der Personalvertretung und sonstigen Dritten sowie auch den Aufsichtsbehörden.
Eingeschränkte Berichtspflicht
Aus der Verschwiegenheitspflicht ergibt sich eine eingeschränkte Berichtspflicht. Es gibt zwar keine gesetzliche Berichtspflicht, jedoch ergibt sich eine Berichtspflicht unter anderem aus dem Angestelltenverhältnis. Bei externen Datenschutzbeauftragten sollten Berichtspflichten vertraglich festgehalten werden, sie können sich aber auch aus vertraglichen Nebenpflichten aus dem Auftragsverhältnis ergeben. Der Arbeitgeber (und Auftraggeber) kann generell verlangen, dass der DSB an ihn berichtet. Dies kommt daher, dass die Unternehmensleitung als Leitung der verantwortlichen Stelle für die Umsetzung des Datenschutzes verantwortlich ist und bei fehlender Berichterstattung ihrer Verantwortung nicht nachkommen kann.
Die verantwortliche Stelle darf den DSB daher auch nicht als Informationsquelle nutzen. Eine Informationsweitergabe an die Geschäftsführung oder Behördenleitung und alle Tätigkeiten des DSBs sind an den Anforderungen des Datenschutzes zu messen, nicht an den Vorgaben der verantwortlichen Stelle. Der Datenschutzbeauftragte kann also nicht zur Herausgabe von Informationen gezwungen oder seine Abläufe so vorgeschrieben werden, dass er gegen Datenschutzvorschriften verstößt.
Dies bedeutet, dass der DSB zwar an die Geschäftsführung berichten muss. Die Identität von Betroffenen und alle dazugehörigen Informationen aber, die zu einer Identifizierung von Betroffenen (und „Informanten“) führen könnten, muss er aus dem Bericht ausklammern.
Unter die Verschwiegenheitspflicht fallen alle Daten der Betroffenen oder sonstige Informationen, mit denen die Betroffenen identifiziert werden können. Diese Daten dürfen auch dann nicht offenbart werden, wenn dies für eine weitere Klärung von Vorgängen oder bei Prüfungen hilfreich wäre. Der DSB darf also nicht gegen seine für ihn geltenden datenschutzrechtlichen Pflichten verstoßen, um damit andere Pflichten, wie z.B. weitergehende Prüfungen, ermöglichen zu können.
Entbindung von der Verschwiegenheitspflicht
Betroffene der Datenverarbeitung können den DSB von seiner Verschwiegenheitspflicht entbinden. Hierzu ist eine Einwilligung des Betroffenen nötig. Diese unterliegt den Anforderungen des § 4a BDSG. Sie muss sich ausdrücklich auf einen bestimmten Vorgang beziehen und schriftlich erfolgen. Der Betroffene muss vorher umfangreich informiert werden, um die Konsequenzen seiner Handlung abschätzen zu können. Erfolgt dies nicht, ist die Einwilligung nicht gültig und die Offenbarung des Betroffenen würde zu einem Verstoß gegen die Verschwiegenheitspflicht des DSB führen.
Eine Entbindung von der Verschwiegenheitspflicht ohne Einwilligung des Betroffenen ist nur dann möglich, wenn der Betroffene selbst an der Verarbeitung beteiligt war und vorsätzlich oder grob fahrlässig gegen gesetzliche Bestimmungen verstoßen hat, oder eine Gefährdung Dritter nicht vermieden werden kann, ohne die Identität des Betroffenen offen zu legen (Simitis, in Simitis, BDSG, 8. Auflage 2014, § 4f, Rn. 172).
Technische und organisatorische Maßnahmen
Damit der DSB nicht gegen seine Verschwiegenheitspflicht verstößt, muss ihm eine sichere Kommunikation ermöglicht werden. Dies bedeutet zumindest, dass dem DSB ein eigener Raum, zumindest kurzfristig für vertrauliche Gespräche, zur Verfügung gestellt wird, auf die Verbindungsdaten seines Telefons nicht zugegriffen wird und ein Zugriff auf seine E-Mails oder seinen elektronischen Kalender nicht erfolgt. Da jeglicher Rückschluss auf Betroffene nicht möglich sein darf, darf niemand auf diese Informationen zugreifen können.
Verhältnis zur Schweigepflicht nach § 203 StGB
Bei der Schweigepflicht nach § 203 StGB handelt sich um eine „abgeleitete Schweigepflicht“. Der DSB hat nach § 203 keine „eigene“ Schweigepflicht, sondern diese bezieht sich auf Geheimnisse, die einer Person (den Normadressaten des § 203 StGB nach Abs. 1, 2) in ihrer beruflicher Eigenschaft anvertraut wurden und der DSB im Rahmen seiner Tätigkeiten als DSB von diesem Geheimnis erfahren hat (§ 203 Abs. 2a StGB). Die Verschwiegenheitspflicht bezieht sich somit auf „Dritt-Geheimnisse“.
Eine eventuell bestehende Offenbarungsbefugnis eines Schweigepflichtigen nach § 203 Abs. 1 und 2 StGB wirkt hingegen nicht für den DSB. Er darf nur offenbaren, wenn er selbst eine Offenbarungsbefugnis besitzt (Fischer, StGB, 60. Auflage, §203, Rn. 61b).
Zeugnisverweigerungsrecht
Dem DSB (und seinem Hilfspersonal) wird in § 4f Abs. 4a BDSG ein Zeugnisverweigerungsrecht eingeräumt, soweit der DSB Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht. Darüber hinaus besteht ein Beschlagnahmeverbot für Akten, auf die sich das Zeugnisverweigerungsrecht bezieht. Ein allgemeines Zeugnisverweigerungsrecht hat der DSB hingegen nicht.
Verstöße gegen die Verschwiegenheitspflicht
Im BDSG ist ein Verstoß gegen die Verschwiegenheitspflicht nicht sanktioniert. Jedoch kann ein solcher Verstoß gegen die Zuverlässigkeit des DSB sprechen. Dies kann dazu führen, dass der DSB von der Datenschutzaufsicht von seinen Aufgaben entbunden wird. Auch eine Schadensersatzpflicht des DSB kann in Betracht kommen.
Auch wenn der DSB zur Verschwiegenheit verpflichtet ist, können sich besondere Fallkonstellationen ergeben, in denen dies nicht zutrifft oder er sogar zur Aussage verpflichtet werden kann. Gerne helfen wir bei Fragen zur Verschwiegenheitspflicht des Datenschutzbeauftragten weiter.
