Datenschutzbeauftragte im Konflikt zwischen Betroffenem und Unternehmen

Fragen & Antworten

Gerade externe Datenschutzbeauftragte gelangen gerne einmal in einen Konflikt. Und zwar dann, wenn ein Betroffener sich mit einer Beschwerde direkt an den Datenschutzbeauftragten wendet. Und dieser stellt dann bei der Prüfung eines Sachverhalts fest, dass die Beschwerde des Betroffenen auch noch begründet ist. Mist.

Nun hat der Datenschutzbeauftragter einen Konflikt, wenn sein Auftraggeber (z.B. das Unternehmen, das ihn zum DSB benannt hat) von ihm erwartet, dass er gegenüber dem Betroffenen darlegt, dass die jeweilige Verarbeitung sehr wohl okay ist, obwohl der DSB selbst meint, dass das dies mitnichten der Fall ist und der Betroffene Recht hat.

Passend dazu wurde mir folgende Frage von einem externen Datenschutzbeauftragten gestellt, die ich etwas umformuliert und verkürzt hier wiedergebe:

Ich habe einen Aspekt zu Betroffenenanfragen (…)

Da Betroffenenanfragen ja dank der Veröffentlichung meiner (eDSB) Kontaktdaten im Zweifelsfall direkt bei mir landen können, kann ich schnell zwischen die Stühle geraten.

Gehen wir mal davon aus, dass ich den Kunden dahingehen beraten habe, dass etwas so ggf. nicht (ganz) rechtskonform ist, der Kunde will den Kurs aber weiter so fahren.

Später bekomme ich eine „Anfrage“, man könnte auch „Ärgerbrief“ sagen: „So geht das ja wohl nicht, was sind Sie denn für ein DSB?!“

Nun stellt sich für diesen externen Datenschutzbeauftragten die Frage, wie hier geschickt reagiert werden kann. Auf der einen Seite möchte man als DSB sicher sein „Gesicht“ wahren und auf der anderen Seite nicht seinen Kunden „in die Pfanne hauen“.

Hier haben wir den Fall, dass die Empfehlung für eine Reaktion in diesem Fall weniger im Datenschutzrecht, sondern vielmehr in der Kommunikation und der Lenkung von Kommunikation liegt.

Bevor ich darstelle, wie diese Probleme im Vorwege besser vermieden werden können, kommt hier zunächst meine Empfehlung für eine Reaktion im konkreten Fall.

Empfehlung für eine Reaktion auf einen „Ärgerbrief“

Wenn Betroffene sich direkt an Datenschutzbeauftragte wenden, dann ist immer genau auf die Worte zu achten. Und vor allem auf das, was mit den Worten bezweckt werden soll. Im juristischen Bereich sprechen wir von dem Begehren, also dem, was der Betroffene tatsächlich möchte.

Wichtig für den weiteren Umgang ist zudem, wie hoch das „Eskalationsrisiko“ eingeschätzt wird. Also die Frage danach, ob der Betroffene sich im nächsten Schritt vielleicht an die Aufsichtsbehörde wendet. Sicher lässt sich dies nie klar einschätzen. Und nur weil jemand mit der Aufsichtsbehörde droht, heißt das noch lange nicht, dass das auch passieren wird. Manchmal beißen bellende Hunde nämlich gar nicht.

Wenn man sich sicher ist, dass eine Eskalation unwahrscheinlich ist, bietet sich an, gar nicht mehr zu reagieren. Ausgenommen hiervon sind die Fälle, in denen das Begehren des Betroffenen sich auch auf die Geltendmachung von Betroffenenrechten richtet (also z.B. Auskunft, Löschung, Berichtigung etc.). Hier ist Vorsicht und vor allem die Einhaltung der Monatsfrist nach Art. 12 Abs. 4 DSGVO geboten.

Wenn ihr euch allerdings nicht sicher seid, dann empfehle ich, zu reagieren. Dies sollte aber relativ unbestimmt und „einfühlsam“ erfolgen. Ich habe hier ein Video für Datenschutz-Coaching-Mitglieder bereitgestellt, in dem ich näher darauf eingehe, wie psychologisch mit Betroffenen bei Auskunftsersuchen umgegangen werden sollte.

Jedenfalls bietet sich bei einem „Ärgerbrief“ oder einer „Ärger-Mail“ mit Eskalationsrisiko z.B. folgender Text an, mit dem ihr als DSB euer Gesicht wahren und zugleich den Kunden nicht „bloßstellt“. Apropos „bloßstellen“. Für externe Datenschutzbeauftragte ist es meiner Meinung nach ein schmaler Grat, der hier zu wandern ist. Denn wenn aus einer Antwort des Datenschutzbeauftragten hervorgehen sollte, dass dieser die Datenverarbeitung des Verantwortlichen für rechtswidrig hält, dann kann hieraus u.U. eine Verletzung einer vertraglichen Nebenpflicht des Vertrages über die Erbringung der Dienstleistungen des Datenschutzbeauftragten gesehen werden. Das wird zwar nicht regelmäßig der Fall sein, aber das Risiko besteht zumindest. Daher ist etwas Vorsicht bei den Formulierungen geboten.

In ähnlicher Weise kann es aber für den Datenschutzbeauftragten selbst ein Problem darstellen, wenn er möglicherweise hier ein „Problem“ herunterspielt und damit selbst offenlegt, dass er seinen Pflichten zur Überwachung der Einhaltung der DSGVO beim Unternehmen vielleicht nicht oder nicht sorgfältig genug nachgekommen ist. Es ist also – wie gesagt – ein schmaler Grat.

Wenn nun also ein Datenschutzbeauftragter eigentlich meint, dass die Verarbeitung des Unternehmens rechtswidrig ist, das Unternehmen dies aber anders sieht, dann kann gegenüber dem Betroffenen z.B. so formuliert werden:

Sehr geehrte Frau / sehr geehrter Herr,

vielen Dank für Ihre Nachricht. Ich habe diese zum Anlass genommen, noch einmal mit der zuständigen Abteilung des Unternehmens zu sprechen. Man ist dort jedoch der Auffassung, dass die Verarbeitung rechtmäßig ist.

Auf die Datenschutzhinweise des Unternehmens, die Sie hier finden, habe ich ja bereits schon hingewiesen. Sollten Sie noch weitere Fragen haben, können Sie sich gerne an das Unternehmen oder mich wenden.

Mit freundlichen Grüßen

Beim Wort „Unternehmen“ sollte natürlich dann der jeweils richtige Name des Unternehmens angegeben werden.

Der letzte Absatz mit dem Verweis auf die Datenschutzhinweise ist wichtig. Denn in den Datenschutzhinweisen sollte sich dann die Information finden, dass ein Beschwerderecht bei der Aufsichtsbehörde besteht. Natürlich könnte man auch direkt in der Antwort auf das Beschwerderecht hinweisen. Das wäre aus Sicht einer Deeskalation jedoch kontraproduktiv, denn dann würde der Betroffene quasi noch einmal mit der Nase darauf gestupst werden, sich an eine Aufsichtsbehörde zu wenden. Und genau das wollen sicher Datenschutzbeauftragte und Unternehmen nicht.

Wie dieser Konflikt besser vermieden werden kann

Um es vorwegzunehmen: Ich kann jedem Unternehmen nur empfehlen, Anfragen von Betroffenen nach Möglichkeit so zu steuern, dass diese nicht direkt an den Datenschutzbeauftragten, sondern an ein internes „Datenschutzteam“ (DST) gehen. Das kann dann entweder (meine Empfehlung) ein echtes Datenschutzteam sein oder eine entsprechende Sparte der Support-Abteilung bzw. des Kundendienstes. Wer mehr über Datenschutzmanagement und die Umsetzung durch ein DST erfahren möchte (gerade für KMU), dem empfehle ich diesen Kurs von mir hier (inkl. Musterrichtlinien).

Allerdings kann ein Unternehmen nicht verhindern, dass ein Betroffener sich direkt an den Datenschutzbeauftragten wendet. Schon vor Geltung der DSGVO war die Rechtslage im „alten“ BDSG so, dass der Datenschutzbeauftragte „Anlaufstelle“ für Betroffene war. Wörtlich hieß es dort: „Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.“

Eine entsprechende Regelung gibt es auch in der DSGVO. Denn nach Art. 38 Abs. 4 DSGVO können „betroffene Personen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.“

Wenn der Betroffene also möchte, kann er sich jederzeit direkt an den Datenschutzbeauftragten wenden. Übrigens ist der Datenschutzbeauftragte in diesen Fällen durch den Verweis von § 38 Abs. 2 BDSG auf § 6 Abs. 5 Satz 2 BDSG zur Verschwiegenheit bzgl. der Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit er nicht davon durch die betroffene Person befreit wird. Hier kann man sich als Datenschutzbeauftragter also theoretisch (und manchmal praktisch) auch noch einmal in die Nesseln setzen.

Also noch ein Grund mehr für Unternehmen übrigens, eine „Anlaufstelle“ für Datenschutzanfragen einzurichten, die nicht der Datenschutzbeauftragte ist. Aber wie lenke ich die Kommunikation nun so, dass Anfragen auch tatsächlich bei dieser Anlaufstelle und nicht beim Datenschutzbeauftragten landen? Das kann ich „neudeutsch“ etwas „nudgen“. Das bedeutet, dass ich den Betroffenen in die gewünschte Richtung „stupsen“ kann. Das sollte also kein Drücken oder Pressen sein, sondern ein „Stups“ in die richtige Richtung. Und das ist gar nicht schwer. Natürlich muss in den Datenschutzhinweisen eine Kontaktmöglichkeit zum Datenschutzbeauftragten angegeben werden.

Ich sollte es dem Betroffenen dann aber so einfach wie möglich machen, Fragen zum Datenschutz zu stellen. An ein Support-Team. Hierfür gebe ich eine klare E-Mail-Adresse oder ein Kontaktformular (bitte mit verschlüsselter Übertragung der Formulardaten) für Datenschutzfragen an. Es sollte dem Betroffenen sozusagen entgegenspringen, dass er – wenn er Fragen hat – sich am besten direkt über den angegebenen Weg beim Unternehmen melden kann. Mit dem Gefühl, dass es dort die schnellste Hilfe gibt.

Und das hat immense Vorteile. Gerade, wenn ein Unternehmen viele Datenschutzanfragen bekommt, wird der Datenschutzbeauftragte nicht überlastet. Und er wird vor allem auch „aus der Schusslinie“ genommen. Die Betroffenenrechte selbst sind zudem primär gegenüber dem „Verantwortlichen“, also dem Unternehmen geltend zu machen. Der Datenschutzbeauftragte kann bezüglich der Geltendmachung von Betroffenenrechten lediglich „zu Rate gezogen“ werden – so die Formulierung in Art. 38 Abs. 4 DSGVO. Es passt also auch in der Sache selbst, wenn ein Unternehmen diesen Weg einer Anlaufstelle (außerhalb des Datenschutzbeauftragten) wählt.

Durch diese Herangehensweise wird ein möglicher Konflikt des Datenschutzbeauftragten im Hinblick auf seine Rolle als Ansprechpartner für Betroffene auf der einen Seite und – auf der anderen Seite – seiner Aufgabe, die Einhaltung der DSGVO beim Unternehmen zu überwachen bzw. überwacht zu haben, von Anfang an besser vermieden.

Gleichwohl macht es erfahrungsgemäß Sinn, den Datenschutzbeauftragten in Anfragen einzubinden, wenn diese nicht durch maximal zwei Antworten abgeschlossen werden können oder wegen anderer Umstände eine Beschwerde bei der Aufsichtsbehörde zu befürchten ist.

Der Datenschutzbeauftragte wird dann sozusagen als 2nd-Level-Support eingebunden, der also bei komplexeren Eingaben von Betroffenen hinzugezogen wird.

Letztlich muss das alles zum Unternehmen und in die bestehenden Abläufe passen. Es spricht jedoch vieles dafür, den Datenschutzbeauftragten nicht direkt als „einzigen“ Ansprechpartner nach außen darzustellen. Manchmal wird dies allerdings – gerade bei kleineren Unternehmen – kaum anders möglich sein. Dessen bin ich mir bewusst. Wenn die Ressourcen es jedoch hergeben, würde ich unbedingt die o.g. Vorgehensweise bzw. eine ähnliche empfehlen.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.