Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz zu bestellen. Für private Unternehmen gilt dies, solange 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Diese Regelungen aus dem Bundesdatenschutzgesetz (BDSG) dürften soweit noch recht bekannt sein.
Das Problem:
Umstritten ist jedoch die Frage, wer zum Beauftragten für den Datenschutz bestellt werden kann, wenn dieses Amt nicht von einem Mitarbeiter des jeweiligen Unternehmens bekleidet werden soll. Muss es sich um eine natürliche Person handeln (also einen einzelnen Menschen) oder kann auch eine juristische Person (also zum Beispiel eine GbR oder GmbH) bestellt werden? Sowohl für Unternehmen, die in der Pflicht sind, einen Datenschutzbeauftragten zu bestellen, als auch für Dienstleister, die sich auf die professionelle Beratung im Datenschutzrecht spezialisiert haben, ist dieses Thema von Interesse.
Stand der Diskussion:
§ 4f Abs. 2 Satz 3 BDSG spricht nur von einer „Person“, die zum Datenschutzbeauftragten bestellt werden kann. Die ganz überwiegende Ansicht in der datenschutzrechtlichen Literatur legt diese Formulierung so aus, dass auch die Bestellung einer juristischen Person zulässig sei. So sei der Gesetzeswortlaut gerade nicht auf natürliche Personen beschränkt. Außerdem sei auch in anderen Gesetzen die Besetzung eines bestimmten Postens durch juristische Personen anerkannt. § 319 Abs. 1 HGB etwa lässt bei Kapitalgesellschaften als Abschlussprüfer auch Wirtschaftsprüfungsgesellschaften zu. Als Gegenargument wird vereinzelt angeführt, dass die nach § 4f Abs. 2 Satz 1 BDSG erforderliche Fachkunde und Zuverlässigkeit nur eine natürliche Person haben könne. Dieser Ansatz verkennt jedoch, dass die hinter einer juristischen Person stehenden natürlichen Personen die geforderten Eigenschaften haben können.
Die Praxis:
Die Meinungen unter den Aufsichtsbehörden der Bundesländer geht auseinander. Das bayerische Landesamt für Datenschutzaufsicht lässt die Bestellung einer juristischen Person zum Beispiel nicht zu. Das unabhängige Landeszentrum für Datenschutz Schleswig Holstein vertritt jedoch die Gegenansicht. Eine gerichtliche Klärung dieser Frage liegt soweit ersichtlich bislang nicht vor. Um ein klärendes Urteil zu erhalten, müsste ein Unternehmen zunächst eine juristische Person zum Datenschutzbeauftragten bestellen. Sollte es dann von der jeweils zuständigen Behörde einen Bußgeldbescheid nach § 43 Abs. 1 Nr. 2 BDSG bekommen, könnte im Wege einer Anfechtungsklage der verwaltungsgerichtliche Rechtsweg beschritten werden. In höchster Instanz würde dann das Bundesverwaltungsgericht eine Entscheidung fällen.
Eine solche gerichtliche Klärung wäre aus Gründen der Rechtssicherheit und der Praktikabilität auf jeden Fall wünschenswert.