Die Verschwiegenheitspflicht des Datenschutzbeauftragten

Der betriebliche Datenschutzbeauftragte verfügt über Einblicke in Vorgänge mit besonders vertraulichem Inhalt. Wie auch in anderen Berufen, die mit vertraulichen Informationen zu tun haben, unterliegt der Datenschutzbeauftragte damit einer besonderen Verschwiegenheitspflicht.

Rechtsgrundlage der Verschwiegenheitspflicht

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder Vertraulichkeit gebunden. Dies regelt Art. 38 Abs. 5 DSGVO.

Für betriebliche Datenschutzbeauftragte nichtöffentlicher Stellen wird diese Pflicht durch das BDSG konkretisiert. Nach § 38 Abs. 2 BDSG finden unter anderem § 6 Abs. 5 Satz 2 und § 6 Abs. 6 BDSG Anwendung. Danach ist der Datenschutzbeauftragte insbesondere zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände verpflichtet, die Rückschlüsse auf diese Person zulassen, soweit er hiervon nicht durch die betroffene Person befreit wird.

Die Verschwiegenheitspflicht betrifft damit nicht nur den Namen einer Person. Geschützt sind auch alle Angaben und Begleitumstände, aus denen sich mittelbar ergeben kann, wer sich an den Datenschutzbeauftragten gewandt hat oder wessen Datenschutzrechte betroffen sind.

Sinn und Zweck der Verschwiegenheitspflicht

Wer sich vertrauensvoll an den Datenschutzbeauftragten wendet, soll sicher sein können, dass seine Angaben vertraulich behandelt werden und ihm daraus keine Nachteile entstehen. Sinn und Zweck der Regelung ist es daneben, die Funktion des Datenschutzbeauftragten als unabhängige Kontroll- und Beratungsinstanz im Unternehmen zu gewährleisten und seine unabhängige Stellung zu stärken.

Gerade Beschäftigte, Kunden oder sonstige betroffene Personen sollen den Datenschutzbeauftragten ansprechen können, ohne befürchten zu müssen, dass ihre Identität oder der Inhalt ihrer Beschwerde ohne Weiteres an die Unternehmensleitung, Fachabteilungen oder Dritte weitergegeben wird. Die Verschwiegenheitspflicht ist damit eine wesentliche Voraussetzung dafür, dass der Datenschutzbeauftragte seine Funktion wirksam erfüllen kann.

Welche Informationen werden von der Verschwiegenheitspflicht umfasst?

Die Verschwiegenheitspflicht umfasst vor allem die Identität der betroffenen Person und alle Umstände, die Rückschlüsse auf diese Person zulassen. Dazu gehören nicht nur klassische Stammdaten wie Name, Adresse oder E-Mail-Adresse, sondern auch konkrete Beschwerdesachverhalte, interne Vorgänge, Kommunikationsinhalte oder sonstige Einzelheiten, durch die eine Person identifizierbar werden kann.

Der Datenschutzbeauftragte unterliegt einer gesetzlichen Verschwiegenheitspflicht aus DSGVO und BDSG. Anders als etwa Ärzte, Rechtsanwälte oder Steuerberater ist er aber nicht schon aufgrund einer eigenen berufsrechtlichen Stellung Berufsgeheimnisträger. Eine strafrechtliche Einbindung in den Schutzbereich des § 203 StGB kommt insbesondere dann in Betracht, wenn er für eine nach § 203 Abs. 1 oder Abs. 2 StGB schweigepflichtige Person oder Stelle tätig wird.

Die Verschwiegenheitspflicht ist allerdings nicht so zu verstehen, dass der Datenschutzbeauftragte datenschutzrechtliche Mängel nicht mehr ansprechen dürfte. Er darf und muss Datenschutzrisiken, Verstöße oder organisatorische Schwachstellen prüfen, bewerten und gegenüber der verantwortlichen Stelle thematisieren. Dabei hat er jedoch so vorzugehen, dass personenbezogene Informationen nur offengelegt werden, soweit dies erforderlich und rechtlich zulässig ist.

Der Datenschutzbeauftragte sollte Vorgänge also möglichst anonymisiert oder zumindest ohne unnötige identifizierende Angaben behandeln, wenn die Identität der betroffenen Person für die weitere Prüfung nicht erforderlich ist.

Wer wird durch die Verschwiegenheitspflicht geschützt?

Geschützt werden vor allem betroffene Personen, die den Datenschutzbeauftragten zu Fragen der Verarbeitung ihrer personenbezogenen Daten oder zur Wahrnehmung ihrer Datenschutzrechte zu Rate ziehen. Dies können Beschäftigte, Bewerber, Kunden, Lieferanten, Website-Nutzer oder sonstige Personen sein, deren personenbezogene Daten durch das Unternehmen verarbeitet werden.

Liegt dem Datenschutzbeauftragten etwa eine Beschwerde vor, muss er diese so behandeln, dass ein Rückschluss auf die betroffene Person grundsätzlich nicht möglich ist. Die praktisch wichtigste Fallgruppe betrifft häufig Beschäftigte eines Unternehmens. Der Schutz ist aber keineswegs auf Beschäftigte beschränkt. Auch Kunden oder sonstige Personen, deren personenbezogene Daten verarbeitet werden, können sich an den Datenschutzbeauftragten wenden.

Die Verschwiegenheitspflicht schützt auch Personen, die konkrete Anhaltspunkte für eine unzulässige, fehlerhafte oder missbräuchliche Verarbeitung ihrer personenbezogenen Daten haben. Sie können sich an den Datenschutzbeauftragten wenden und grundsätzlich auf einen vertraulichen Umgang mit ihren Angaben vertrauen.

Welche Angaben der betroffenen Person werden von der Schweigepflicht umfasst?

Grundsätzlich muss der Datenschutzbeauftragte über sämtliche Angaben Stillschweigen bewahren, soweit diese die Identität der betroffenen Person erkennen lassen oder Rückschlüsse auf sie ermöglichen. Das gilt insbesondere für Namen, Kontaktdaten, Kundennummern, Personalnummern, Vertragsdaten, Zahlungsinformationen, berufliche Angaben, Gesundheitsdaten, Beschwerdeinhalte und sonstige persönliche oder sachbezogene Umstände.

Entscheidend ist nicht allein, ob der Name der Person genannt wird. Auch eine Kombination verschiedener Einzelinformationen kann ausreichen, um eine Person identifizierbar zu machen. So kann etwa schon die Angabe einer bestimmten Abteilung, eines konkreten Vorfalls oder eines bestimmten Zeitpunkts genügen, wenn hierdurch klar wird, um welche Person es geht.

Wem gegenüber gilt die Verschwiegenheitspflicht?

Die Pflicht zur Verschwiegenheit gilt insbesondere gegenüber der verantwortlichen Stelle, also etwa gegenüber der Unternehmensleitung, Vorgesetzten oder Fachabteilungen, soweit es um die Identität der betroffenen Person oder rückschlussfähige Umstände geht. Daneben gilt sie gegenüber anderen Beschäftigten, Arbeitnehmervertretungen, externen Dienstleistern und sonstigen Dritten.

Gegenüber Datenschutzaufsichtsbehörden ist die Verschwiegenheitspflicht mit der gesetzlichen Kooperationsfunktion des Datenschutzbeauftragten in Einklang zu bringen. Der Datenschutzbeauftragte ist nach der DSGVO Anlaufstelle und Kooperationspartner der Aufsichtsbehörde. Er darf daher Informationen offenlegen, soweit dies zur Erfüllung seiner gesetzlichen Aufgaben erforderlich ist. Auch hier gilt jedoch der Grundsatz der Erforderlichkeit: Die Identität der betroffenen Person und rückschlussfähige Umstände sollten nur offengelegt werden, wenn dies für den konkreten Zweck notwendig und rechtlich zulässig ist.

Welche Folgen hat die Verschwiegenheitspflicht in der Praxis?

Durch die Verschwiegenheitsverpflichtung wird die Unabhängigkeit des Datenschutzbeauftragten gefördert. Gleichzeitig begrenzt sie interne Informationsflüsse, wenn andernfalls Rückschlüsse auf die betroffene Person möglich wären. Der Datenschutzbeauftragte ist als unabhängige Beratungs- und Kontrollinstanz zu verstehen und nicht als allgemeine Informationsquelle der Unternehmensleitung.

Das bedeutet aber nicht, dass Datenschutzverstöße oder organisatorische Defizite verschwiegen werden müssten. Der Datenschutzbeauftragte muss vielmehr einen Weg wählen, der seine Kontroll- und Beratungsfunktion mit der Vertraulichkeit der betroffenen Person in Einklang bringt. In der Praxis kann dies etwa durch anonymisierte Sachverhaltsdarstellungen, aggregierte Hinweise, eine abstrakte Beschreibung des Problems oder eine schrittweise Klärung erfolgen.

Beispiel: Meldet ein Beschäftigter dem Datenschutzbeauftragten, dass bestimmte Personalunterlagen für zu viele Personen zugänglich sind, darf der Datenschutzbeauftragte den Zugriff auf diese Unterlagen prüfen und eine Korrektur des Berechtigungskonzepts anregen. Er sollte dabei aber nicht ohne Not offenlegen, welcher Beschäftigte die Beschwerde eingereicht hat.

Kann die betroffene Person den Datenschutzbeauftragten von der Verschwiegenheit entbinden?

Die betroffene Person kann den Datenschutzbeauftragten von seiner Verschwiegenheitspflicht entbinden. Eine bestimmte Form ist hierfür nicht ausdrücklich vorgegeben. Aus Nachweisgründen empfiehlt sich jedoch eine ausdrückliche Erklärung in Textform. Die Entbindung sollte konkret bezeichnen, welche Informationen gegenüber wem und zu welchem Zweck offengelegt werden dürfen. Sie kann für die Zukunft widerrufen werden.

Eine pauschale oder unklare Freigabe ist problematisch. Der Datenschutzbeauftragte sollte die betroffene Person darüber informieren, welche Folgen die Offenlegung haben kann und ob eine Bearbeitung des Vorgangs auch ohne Namensnennung möglich ist.

Wichtig ist: Auch wenn die Offenlegung der Identität die weitere Aufklärung erleichtern würde, darf der Datenschutzbeauftragte die Identität der betroffenen Person nicht ohne Weiteres offenbaren. Fehlt eine Entbindung oder eine sonstige tragfähige Rechtsgrundlage, muss er versuchen, den Sachverhalt zunächst ohne Offenlegung der Identität zu bearbeiten.

Stellt der Datenschutzbeauftragte bei der Überprüfung von Datenschutzprozessen einen Fehler fest, entbindet ihn auch dies nicht automatisch von der Verschwiegenheitspflicht. Er darf den Fehler adressieren, muss aber prüfen, ob die Identität der betroffenen Person hierfür tatsächlich erforderlich ist.

Was geschieht bei einem Verstoß gegen die Verschwiegenheitspflicht?

Ein Verstoß gegen die Verschwiegenheitspflicht kann mehrere Folgen haben. In Betracht kommen arbeitsrechtliche oder vertragliche Konsequenzen, die Abberufung des Datenschutzbeauftragten aus wichtigem Grund, Schadensersatzansprüche sowie datenschutzrechtliche Maßnahmen.

Da die Verschwiegenheitsverpflichtung eng mit der Zuverlässigkeit und Unabhängigkeit des Datenschutzbeauftragten zusammenhängt, kann ein schwerer Verstoß die Eignung für das Amt in Frage stellen.

Zudem kann eine unzulässige Offenlegung personenbezogener Daten zugleich eine Datenschutzverletzung darstellen. Der Verantwortliche muss dann prüfen, ob weitere Maßnahmen erforderlich sind, insbesondere ob eine Meldung an die Datenschutzaufsichtsbehörde nach Art. 33 DSGVO oder eine Benachrichtigung der betroffenen Person nach Art. 34 DSGVO in Betracht kommt. Je nach Fallgestaltung können außerdem Bußgeldvorschriften nach Art. 83 DSGVO und § 43 BDSG einschlägig sein.

Eine Strafbarkeit nach § 42 BDSG ist dagegen nicht bei jeder Verschwiegenheitsverletzung naheliegend. Die Vorschrift erfasst nur eng begrenzte Fallgestaltungen, etwa das gewerbsmäßige unberechtigte Übermitteln oder Zugänglichmachen nicht allgemein zugänglicher personenbezogener Daten einer großen Zahl von Personen oder bestimmte Fälle unberechtigter Datenverarbeitung gegen Entgelt bzw. in Bereicherungs- oder Schädigungsabsicht. Bei einer typischen Verschwiegenheitsverletzung im Einzelfall – etwa der unbefugten Weitergabe der Identität einer einzelnen beschwerdeführenden Person – werden diese Voraussetzungen regelmäßig nicht erfüllt sein.

Handelt der Datenschutzbeauftragte für eine nach § 203 StGB schweigepflichtige Person oder Stelle, kann zusätzlich eine Strafbarkeit nach § 203 Abs. 4 StGB in Betracht kommen.

Gewährleistung der Verschwiegenheit des Datenschutzbeauftragten

Damit die Verschwiegenheit des Datenschutzbeauftragten praktisch gewährleistet werden kann, müssen die Kommunikationswege zu und von dem Datenschutzbeauftragten entsprechend sicher organisiert sein. Dazu gehört, dass an ihn gerichtete Post nicht zentral geöffnet oder mitgelesen wird, sondern ihn vertraulich erreicht.

Auch E-Mails, Telefonate, Videokonferenzen, digitale Kalender, Ticketsysteme und sonstige interne Kommunikationskanäle müssen so organisiert werden, dass unbefugte Personen keinen Zugriff auf vertrauliche Anfragen an den Datenschutzbeauftragten erhalten.

In der Praxis sollte insbesondere sichergestellt werden, dass der Datenschutzbeauftragte über ein eigenes vertrauliches E-Mail-Postfach verfügt, vertrauliche Gespräche führen kann und Unterlagen gegen unbefugten Zugriff geschützt sind. Bei digitalen Systemen ist darauf zu achten, dass Zugriffsrechte, Protokollierungen und Vertretungsregelungen nicht dazu führen, dass Rückschlüsse auf betroffene Personen ohne Erforderlichkeit möglich werden.

Auch bei externen Datenschutzbeauftragten ist auf sichere Kommunikationswege zu achten. Unternehmen sollten klar regeln, wie Beschäftigte, Kunden oder sonstige betroffene Personen den Datenschutzbeauftragten vertraulich erreichen können.

Strafrechtlicher Schutz der Verschwiegenheit des Datenschutzbeauftragten

Die DSGVO und das BDSG enthalten keine allgemeine Strafvorschrift, die jeden Verstoß des Datenschutzbeauftragten gegen seine Verschwiegenheitspflicht unmittelbar unter Strafe stellt. Strafrechtlicher Schutz kann sich aber insbesondere aus § 203 StGB ergeben.

Dabei ist zu unterscheiden: Der Datenschutzbeauftragte ist nicht allein aufgrund seiner Funktion in jedem Unternehmen Berufsgeheimnisträger wie etwa ein Arzt, Rechtsanwalt oder Steuerberater. Wird er jedoch für eine nach § 203 Abs. 1 oder Abs. 2 StGB schweigepflichtige Person oder Stelle tätig, kann § 203 Abs. 4 StGB unmittelbar einschlägig sein. Die Vorschrift erfasst ausdrücklich auch Datenschutzbeauftragte, die bei den in § 203 Abs. 1 oder Abs. 2 StGB genannten Personen oder Stellen tätig sind.

Offenbart ein solcher Datenschutzbeauftragter unbefugt ein fremdes Geheimnis, das ihm bei Ausübung oder bei Gelegenheit seiner Tätigkeit bekannt geworden ist, droht eine Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Erfolgt die Offenbarung gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht, kann sich der Strafrahmen erhöhen.

Damit betrifft § 203 StGB nicht automatisch jeden betrieblichen Datenschutzbeauftragten. Für Datenschutzbeauftragte von Berufsgeheimnisträgern – etwa Arztpraxen, Rechtsanwaltskanzleien, Steuerberatungskanzleien, psychotherapeutischen Praxen oder bestimmten öffentlichen Stellen – ist die Vorschrift aber besonders relevant.

Unabhängig davon können datenschutzrechtliche, arbeitsrechtliche oder zivilrechtliche Folgen in Betracht kommen, wenn vertrauliche personenbezogene Informationen unbefugt offengelegt werden.

Zeugnisverweigerungsrecht und Beschlagnahmeverbot

Das BDSG sieht für Datenschutzbeauftragte unter bestimmten Voraussetzungen ein Zeugnisverweigerungsrecht vor. Nach § 6 Abs. 6 BDSG besteht dieses Recht, wenn der Datenschutzbeauftragte bei seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung der Stelle oder einer dort beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht. Das Recht ist damit akzessorisch: Es besteht nicht als allgemeines, eigenständiges Zeugnisverweigerungsrecht für jede Tätigkeit des Datenschutzbeauftragten, sondern nur, soweit die gesetzlichen Voraussetzungen im konkreten Fall erfüllt sind.

Soweit das Zeugnisverweigerungsrecht reicht, unterliegen auch Akten und andere Dokumente des Datenschutzbeauftragten einem Beschlagnahmeverbot. Dies dient dem Schutz der Vertraulichkeit und verhindert, dass die Verschwiegenheitspflicht durch Zugriff auf Unterlagen des Datenschutzbeauftragten umgangen wird.

Fazit

Die Verschwiegenheitspflicht ist ein zentraler Bestandteil der Stellung des Datenschutzbeauftragten. Sie schützt betroffene Personen, die sich mit Fragen, Beschwerden oder Hinweisen an den Datenschutzbeauftragten wenden, und stärkt zugleich dessen unabhängige Stellung im Unternehmen.

Für Unternehmen bedeutet dies: Der Datenschutzbeauftragte muss nicht nur formal benannt sein, sondern auch tatsächlich vertraulich arbeiten können. Dazu gehören sichere Kommunikationswege, klare interne Zuständigkeiten und ein Bewusstsein dafür, dass der Datenschutzbeauftragte keine allgemeine Auskunftsstelle der Unternehmensleitung über vertrauliche Beschwerden betroffener Personen ist.

Für Datenschutzbeauftragte gilt: Datenschutzrechtliche Probleme dürfen und müssen angesprochen werden. Die Identität betroffener Personen und rückschlussfähige Umstände sind dabei aber nur offenzulegen, wenn dies erforderlich und rechtlich zulässig ist oder die betroffene Person den Datenschutzbeauftragten entsprechend von seiner Verschwiegenheitspflicht entbunden hat.