3. August 2009 - Möglichkeiten und Grenzen der Hinwirkungspflicht

Hinwirken – wie und worauf?

Das Bundesdatenschutzgesetz (BDSG) verpflichtet den Datenschutzbeauftragten, auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hinzuwirken. Die Hinwirkungspflicht gibt dem DSB aber keinerlei Eingriffsbefugnis innerhalb seines Unternehmens. Worum geht es also beim „Hinwirken“? Und kollidiert die Hinwirkungspflicht mit dem Rechtsdienstleistungsgesetz?

hinwirken-2013-wie-und-worauf.jpeg
Die Hinwirkungspflicht gibt dem Datenschutzbeauftragten keine Eingriffsbefugnis. (Bild: Thinkstock)

Hinwirken bedeutet „zielgerichtetes Handeln“. Es fordert das aktive Verfolgen eines Ziels – nämlich des rechtskonformen Verhaltens der nicht-öffentlichen Stelle im Datenschutz. Wie dieses Handeln auszusehen hat, ergibt sich aus dem BDSG, insbesondere aus § 9 nebst Anlage, und aus diversen bereichsspezifischen Regelungen.

Da ist zunächst eine intensive Beratung der nicht-öffentlichen Stelle über rechtliche Normen, deren Auslegung und Anwendung gefragt.

Hinwirkungspflicht versus Rechtsdienstleistung

Das Rechtsdienstleistungsgesetz (RDG) erlaubt aber nur bestimmten Personen wie z.B. Rechtsanwälten und Notaren eine Rechtsberatung. Ihre Pflichten zur rechtlichen Beratung enden daher dort, wo Befugnisse zur Rechtsberatung eingeschränkt oder nicht erlaubt sind.

Als Nebenleistung dem betrieblichen Datenschutzbeauftragten erlaubt

Erlaubt ist eine Rechtsdienstleistung dann, wenn sie als Nebenleistung zum Berufs- oder Tätigkeitsbild der anderen Tätigkeit (hier: interner Datenschutzbeauftragter) gehört oder wenn sie in Form eines Gutachtens erfolgt. Berät ein DSB hingegen seinen Geschäftsführer über die optimale Gestaltung eines Kaufvertrags, handelt er wider das RDG.

Wie sieht es beim externen Datenschutzbeauftragten aus?

Für den externen DSB ist die rechtliche Prüfung eines konkreten Einzelfalls der – für ihn fremden – Angelegenheit seiner nicht-öffentlichen Stelle nicht zulässig. Er darf aber allgemeine (Datenschutz-)Rechtsauskünfte und -hinweise geben oder Gutachten erstellen.

Gegenstände der Hinwirkung des Datenschutzbeauftragten

Die Intensität und der Umfang der Hinwirkung hängen ab von

  • Betriebsart, -größe und -form,
  • Architektur und Umfang der Datenverarbeitung analog zum vorgegebenen Umfang der DSB-Fachkunde,
  • den für die nicht-öffentliche Stelle relevanten bereichsspezifischen Regelungen und den Aufgaben, die das BDSG der verantwortlichen Stelle und dem Datenschutzbeauftragten zugewiesen hat,
  • dem Schutzbedarf der vorliegenden personenbezogenen Daten sowie
  • insbesondere der Anlage zu § 9 BDSG.

Beispiel RFID: Relevant für Ihre Hinwirkungspflicht – ja oder nein?

Im Mai 2009 hat die Europäische Kommission eine EU-Datenschutzrichtlinie für RFID-Technik (Radio Frequency Identification) erlassen, für deren Umsetzung in nationales Recht eine Frist von zwei Jahren gesetzt wurde. Ist dieses Thema relevant für eine Hinwirkung des DSB? Eindeutig ja!

Wenn RFID-Technik in Ihrem Unternehmen eingesetzt wird, sollten Sie schon jetzt den Werdegang des Gesetzes beobachten. Informieren Sie die Geschäftsleitung über gegebenenfalls erforderliche Maßnahmen, um das Gesetz bei Inkrafttreten im Unternehmen ohne Verzug umzusetzen.

Verletzung der Hinwirkungspflicht

Da die Hinwirkungspflicht nur als Generalklausel ausgestaltet ist, kann der Vorwurf ihrer Verletzung nicht aus der Verwirklichung einzelner Tatbestandsmerkmale begründet werden. Dies ist nur mittelbar z.B. über bereichsspezifische Vorschriften möglich, wenn diese Maßnahmen des Datenschutzes vorschreiben. Andererseits wird immer eine Vernachlässigung der Hinwirkungspflicht zu prüfen sein, wenn Datenschutzverstöße im weitesten Sinne vorliegen.

Legen Sie Aktenvermerke zu Dokumentationszwecken an

Um dem Vorwurf einer fahrlässigen oder gar vorsätzlichen Verletzung der Hinwirkungspflicht zu entgehen, müssen Sie das geeignete Hinwirken belegen können. Hierzu bietet sich das Anlegen von Aktenvermerken an. Die Aktenvermerke sollten folgende Punkte beinhalten:

  • die Problemstellung als solche,
  • mögliche Abhilfe(n), ggf. mit Alternativen,
  • Zeitpunkte der Vorlage und der Ablehnung (durch wen), möglichst mit Begründung, sowie
  • Kenntnisnahme des Vermerks und Abzeichnung durch die Leitung der verantwortlichen Stelle (bzw. Dokumentation der Ablehnung).

Die Dokumentation sollte nicht nur der Entlastung des Datenschutzbeauftragten dienen, sondern auch für eine Unterrichtung der Aufsichtsbehörde geeignet sein.

Ein Muster für einen Aktenvermerk können Abonnenten der Datenschutz PRAXIS hier kostenlos im Word-Format herunterladen!

Zweifelsfälle, Konflikte und Meinungsverschiedenheiten loyal lösen

In § 4g Abs. 1 BDSG heißt es u.a.: „Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden.“

Ist eine innerbetriebliche Umsetzung der Hinwirkung strittig, sollten Sie vor Anrufung der Aufsichtsbehörde Ihre nicht-öffentliche Stelle schriftlich auf Ihre Absicht hinweisen. Verstreicht diese letzte Frist ungenutzt, müssen Sie die Behörde einschalten. Ihre Hinwirkungspflicht in der strittigen Sache ist damit erloschen. Auch ein unloyales Verhalten kann Ihnen niemand mehr vorwerfen.

Übrigens: Dieses Vorgehen sollte in der Bestellung sowohl eines internen als auch eines externen Datenschutzbeauftragten festgeschrieben sein!

Hinweisen allein genügt nicht!

Die Generalklausel „Hinwirkungspflicht“ kann nicht mit einer bloßen Hinweispflicht gleichgesetzt werden. Sie reicht weit über Aufgaben und Einzelbefugnisse des BDSG hinaus. Auch wenn sie nicht als Erfolgspflicht ausgestaltet ist, zwingt sie den DSB, sich effektiv für eine Einhaltung der für die nicht-öffentliche Stelle zutreffenden, relevanten bereichsspezifischen Regelungen und des BDSG einzusetzen.

Sie ist Handlungsermächtigung für alle den Schutz personenbezogener Daten betreffenden Normen außerhalb unserer Auffangregelung. Nur so lässt sich das Recht auf informationelle Selbstbestimmung effektiv realisieren.

Manfred von Reumont
Der Verfasser ist freiberuflicher Berater in Datenschutzangelegenheiten (http://www.mvr-datenschutz.de).

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln