Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Doch was bedeutet das konkret? Unterliegt der Datenschutzbeauftragte demnach grundsätzlich einem Berufsgeheimnis? Welche Auswirkungen ergeben sich für die Praxis? Dies erläutern wir überblicksartig im nachfolgenden Beitrag.
Vertraulichkeit des Datenschutzbeauftragten
Die Regelung zur Vertraulichkeit des Datenschutzbeauftragten im Rahmen seiner Aufgaben gemäß Art. 38 Abs. 5 DS-GVO bemisst sich grundsätzlich nach dem Recht der Europäischen Union oder des jeweiligen Mitgliedsstaates. Insofern stellt die DS-GVO keine eigenen Vertraulichkeitsverpflichtungen auf, sondern verweist auf bereits bestehende unionsrechtliche und nationale Vorschriften. In Bezug auf den Datenschutzbeauftragten ergeben sich solche beispielsweise aus §§ 6 Abs. 5 Satz 2 und 38 Abs. 2 Bundesdatenschutzgesetz (BDSG).
Demnach bezieht sich die Vertraulichkeitsverpflichtung des Datenschutzbeauftragten auf die Identität von Betroffenen sowie über die näheren Umstände, die Rückschlüsse auf die Identität der Betroffenen zulassen. Diese Regelung steht demnach im unmittelbaren Zusammenhang mit Art. 38 Abs. 4 DS-GVO beziehungsweise § 6 Abs. 5 Satz 1 BDSG, wonach sich Betroffene zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung der Betroffenenrechte im Zusammenhang stehenden Fragen unmittelbar an den Datenschutzbeauftragten wenden können.
Die Regelung zielt damit beispielsweise auf den Schutz von Beschäftigten ab, die ohne eine entsprechende Vertraulichkeitsverpflichtung des Datenschutzbeauftragen womöglich ihren Arbeitsplatz betreffende Nachteile befürchten und somit von einer Kontaktaufnahme mit dem Datenschutzbeauftragten absehen könnten. Die Möglichkeit zur vertraulichen Kontaktaufnahme steht somit auch im Interesse des Verantwortlichen. Schließlich ermöglicht es Betroffenen beispielsweise die Eingabe von Missständen oder die Klärung von Rückfragen direkt gegenüber einer internen Stelle und zahlt entsprechend auf die Pflicht zur effektiven Überwachung und Einhaltung der datenschutzrechtlichen Anforderungen ein. Bestünde für Betroffene eine solche vertrauliche Anlaufstelle nicht, würden diese vermutlich vermehrt die vertrauliche Kontaktaufnahme bei der zuständigen Datenschutz-Aufsichtsbehörde in Anspruch nehmen.
Datenschutzbeauftragte und Berufsgeheimnisträger
Trotz der bestehenden Vertraulichkeitsverpflichtung ist der Datenschutzbeauftragte jedoch grundsätzlich selbst kein Berufsgeheimnisträger im Sinne des § 203 Strafgesetzbuch (StGB). Sofern der Datenschutzbeauftragte allerdings für eine der in § 203 Abs. 1, 2 StGB genannten Personen (z. B. Arzt, Apotheker, Rechtsanwalt, Notar, Sozialarbeiter) tätig ist, kann die Offenbarung von Geheimnissen, die sich aus dieser Tätigkeit ergeben haben, mit einer Freiheitsstrafe bis zu einem Jahr oder mit einer Geldstrafe bestraft werden. Dies ergibt sich aus § 203 Abs. 4 StGB.
Auswirkungen für die Praxis
Unter Berücksichtigung des oben umrissenen Regelungsgegenstandes sollte in der Praxis dementsprechend darauf geachtet werden, dass Betroffene die Möglichkeit haben, den Datenschutzbeauftragten ohne Kenntnisnahme des Verantwortlichen zu kontaktieren. Erfolgt die Einrichtung eines gesonderten E-Mail-Postfaches (z. B. datenschutz@organisation,de), darf hierauf ausschließlich der Datenschutzbeauftragte Zugriff erhalten. Sofern ergänzende, breitgestreute Kommunikationswege bestehen sollen, beispielsweise unter Einbeziehung der Rechtsabteilung, der Datenschutzkoordination oder anderer vergleichbarer Stellen, ist auf den Empfängerkreis deutlich hinzuweisen. Derartige Kommunikationswege können jedoch immer nur in Ergänzung zum direkten Kontakt mit dem Datenschutzbeauftragten angeboten werden.
Weiterhin sollte seitens des Datenschutzbeauftragten im Rahmen von Sachverhaltsaufklärungen Fingerspitzengefühl bewahrt werden. Schließlich können auch Nachfragen zu bestimmten Prozessen oder Systemen gegenüber dem jeweiligen Verantwortlichen schnell einen Rückschluss zu betroffenen Personen zulassen, sofern sich diese gegenüber dem Verantwortlichen beispielsweise bereits offen skeptisch oder abwehrend verhalten haben. Im Zweifel sollte vor der Aufnahme von eigenen Sachverhaltsaufklärungen des Datenschutzbeauftragten ein Gespräch mit den Betroffenen geführt und diese auf die Risiken hingewiesen werden. Unter bestimmten Umständen empfiehlt sich auch eine nachweisliche Entbindung von der Verschwiegenheitsverpflichtung, welche sich beispielsweise an den Anforderungen des Art. 7 DS-GVO orientieren kann. In jedem Fall sollten die bestehenden Regelungen zur Verschwiegenheit ernstgenommen werden.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
