Der Konzerndatenschutzbeauftragte (eBook)

Dr. Sebastian Braun-Lüdicke studierte an den Universitäten Würzburg und Salamanca und promovierte anschließend bei Prof. Dr. Alexander Roßnagel am Lehrstuhl für Öffentliches Recht der Universität Kassel. Er absolviert heute sein Referendariat im OLG-Bezirk Bamberg.

Geleitwort 6
Vorwort 8
Inhaltsverzeichnis 10
Abkürzungsverzeichnis 15
1 Einleitung 19
1.1 Problemaufriss 19
1.2 Fragestellung 24
1.3 Gang der Untersuchung 24
2 Betriebsbeauftragtensystem als rechtlicher Hintergrund 27
2.1 Regulierungsmöglichkeit 29
2.2 Technikrecht als Repräsentant neuer Regulierungsstrategien 31
2.3 Formen gesellschaftlicher Selbststeuerung 33
2.3.1 Selbstregulierung 33
2.3.2 Selbstkontrolle 36
2.4 Entwicklung des Betriebsbeauftragtensystems 38
2.5 Entwicklung des Datenschutzbeauftragten 40
2.6 Vergleichbarkeit der verschiedenen Beauftragten 43
2.7 Funktion der Betriebsbeauftragten 44
2.7.1 Funktion innerhalb des Umweltschutzrechts 45
2.7.2 Funktion innerhalb des Datenschutzrechts 46
2.8 Funktion der Konzernbeauftragten 48
3 Rechtliche Bedeutung des Datenschutzbeauftragten 53
3.1 Bestellung 53
3.2 Stellung im Unternehmen 55
3.2.1 Formen des Datenschutzbeauftragten 56
3.2.1.1 Interner oder externer Datenschutzbeauftragter 56
3.2.1.2 Hauptoder nebenamtlicher Datenschutzbeauftragter 57
3.2.2 Kontrollorgan im eigenen Unternehmen 59
3.2.2.1 Unmittelbare Unterstellung des Datenschutzbeauftragten 60
3.2.2.2 Weisungsfreiheit des Datenschutzbeauftragten 63
3.2.2.3 Benachteiligungsverbot des Datenschutzbeauftragten 64
3.2.2.4 Kündigungsschutz des Datenschutzbeauftragten 65
3.2.2.5 Unterstützungspflicht der verantwortlichen Stelle 67
3.2.2.6 Verschwiegenheitspflicht des Datenschutzbeauftragten 70
3.3 Aufgaben 71
3.3.1 Aufgabenkatalog gemäß § 4g BDSG 71
3.3.1.1 Hinwirkungsaufgabe 72
3.3.1.2 Kontrolle der Datenverarbeitung 74
3.3.1.4 Verfahrensverzeichnis 76
3.3.1.3 Schulung 75
3.3.2 Vorabkontrolle gemäß § 4d Abs. 5 BDSG 78
3.4 Persönliche Anforderungen 79
3.4.1 Fachkunde 80
3.4.1.1 Kenntnisse 81
3.4.1.2 Fähigkeiten 83
3.4.2 Zuverlässigkeit 84
3.4.2.1 Persönliche und fachliche Zuverlässigkeit 84
3.4.2.2 Interessenkollision 85
3.5 Haftung des Datenschutzbeauftragten 87
3.5.1 Haftung gegenüber dem Betroffenen 88
3.5.2 Haftung gegenüber dem Unternehmen 89
3.5.2.1 Haftung des internen Datenschutzbeauftragten 90
3.5.2.2 Besonderheiten bei der Haftung des externen Datenschutzbeauftragten 94
3.6 Datenschutzbeauftragter und Betriebsrat 94
3.6.1 Verhältnis von Bundesdatenschutzgesetz und Betriebsverfassungsgesetz 95
3.6.2 Gegenseitige Kontrollbefugnisse 96
3.6.2.1 Mitwirkung bei der Anstellung 96
3.6.2.2 Kontrolle der Tätigkeit des Datenschutzbeauftragten 98
3.6.2.3 Überwachung des Betriebsrats durch den Datenschutzbeauftragten 99
3.7 Regelungen zu Datenschutzbeauftragten in anderen EU-Mitgliedstaaten 101
3.7.1 Niederlande 102
3.7.2 Luxemburg 104
3.7.3 Schweden 105
3.7.4 Frankreich 107
3.7.5 Slowakei und Polen 109
3.7.6 Großbritannien 110
3.7.7 Bedeutung der Regelungen für den Datenschutzbeauftragten gem. § 4f BDSG 110
3.8 Exkurs: Risikomanagement und Corporate Compliance 111
3.8.1 Funktion des Risikomanagements in Unternehmen 113
3.8.1.1 Risikomanagementsystem 115
3.8.1.2 Risikomanagementorganisation 117
3.8.2 Bedeutung des Risikomanagements für den Datenschutzbeauftragten 119
3.8.2.1 Risikomanagement und Datenschutz 120
3.8.2.2 Position des Datenschutzbeauftragten im Risikomanagement 122
3.8.3 Bedeutung von Corporate Compliance für den Datenschutzbeauftragten 124
3.8.3.1 Datenschutz als Risikofeld des Compliance-Systems 125
3.8.3.2 Compliance-Aufgabe des Datenschutzbeauftragten 126
3.9 Stellungnahme zum Datenschutzbeauftragten 127
4 Konzerndatenschutzbeauftragter als Sonderform 129
4.1 Grundbegriffe 130
4.1.1 Konzern 130
4.1.1.1 Allgemeine Vorschriften 131
4.1.1.1.1 Verbundene Unternehmen gem. § 15 AktG 132
4.1.1.1.2 Mehrheitsbeteiligung gemäß § 16 AktG 132
4.1.1.1.3 Abhängigkeit gemäß § 17 AktG 133
4.1.1.1.4 Konzern gemäß § 18 AktG 134
4.1.1.1.5 Wechselseitige Beteiligung gemäß § 19 AktG 135
4.1.1.2 Aktienkonzernrecht 136
4.1.1.2.1 Unternehmensverträge 137
4.1.1.2.2 Leitungsmacht 137
4.1.1.2.3 Eingliederung 139
4.1.1.3 GmbH-Konzernrecht 139
4.1.1.4 Konzernrecht der Personengesellschaften 141
4.1.1.5 Auswirkung auf Konzernbeauftragte 142
4.1.2 Konzernprivileg 144
4.1.3 Konzerndatenschutzbeauftragter 146
4.1.3.1 Bisherige Konzepte 147
4.1.3.1.1 Zentralisiertes Modell 147
4.1.3.1.2 Dezentralisiertes Modell 149
4.1.3.1.3 Gemischtes Modell 152
4.1.3.2 Bisherige Definitionen 154
4.1.3.3 Eigene Definition 158
4.2 Konzernbeauftragte anderer Rechtsgebiete 159
4.3 Rechtliche Bedeutung des Konzerndatenschutzbeauftragten 162
4.3.1 Bestellung 163
4.3.2 Stellung im Konzern 164
4.3.2.1 Formen des Konzerndatenschutzbeauftragten 164
4.3.2.1.1 Interner oder externer Konzerndatenschutzbeauftragter 165
4.3.2.1.2 Hauptoder nebenamtlicher Konzerndatenschutzbeauftragter 166
4.3.2.2 Konzerndatenschutzbeauftragter als Kontrollorgan 167
4.3.2.2.1 Unmittelbare Unterstellung des Konzerndatenschutzbeauftragten 168
4.3.2.2.2 Weisungsfreiheit des Konzerndatenschutzbeauftragten 169
4.3.2.2.3 Benachteiligungsverbot des Konzerndatenschutzbeauftragten 170
4.3.2.2.4 Kündigungsschutz des Konzerndatenschutzbeauftragten 171
4.3.2.2.5 Unterstützungspflicht aller verantwortlichen Stellen 172
4.3.2.2.6 Verschwiegenheitspflicht des Konzerndatenschutzbeauftragten 175
4.3.3 Aufgaben 175
4.3.3.1 Beratung 177
4.3.3.1.1 Zielgruppe 177
4.3.3.1.2 Umfang 177
4.3.3.2 Koordination 178
4.3.3.2.1 Datenschutzphilosophie als Ausgangspunkt 179
4.3.3.2.2 Datenschutzstrategie als Konkretisierung der Datenschutzphilosophie 180
4.3.3.2.3 Einheitliche Datenschutzorganisation als konkreter Maßnahmenkatalog 181
4.3.3.3 Kontrolle 182
4.3.3.3.1 Originäre Kontrollaufgaben 183
4.3.3.3.2 Überwachung der Mitarbeiter 185
4.3.3.3.3 Einhaltung der Datenschutzstrategie 185
4.3.3.4 Exkurs: Selbstregulierung als Aufgabe des Konzerndatenschutzbeauftragten 187
4.3.3.4.1 Selbstregulierungsinstrumente des Bundesdatenschutzgesetzes im Einzelnen 188
4.3.3.4.2 Selbstregulierung am Beispiel des § 4c Abs. 2 Satz 1 BDSG 191
4.3.3.4.3 Einhaltung und Überwachung durch den Konzerndatenschutzbeauftragten 196
4.3.4 Persönliche Anforderungen 198
4.3.4.1 Fachkunde 198
4.3.4.1.1 Kenntnisse 199
4.3.4.1.2 Fähigkeiten 202
4.3.4.2 Zuverlässigkeit 203
4.3.5 Haftung des Konzerndatenschutzbeauftragten 205
4.3.5.1 Haftungsrechtliche Besonderheiten der Doppelstellung 205
4.3.5.2 Haftung für Fehler des Hilfspersonals 207
4.3.5.2.1 Haftung gegenüber dem Betroffenen aus zivilrechtlicher Sicht 208
4.3.5.2.2 Haftung gegenüber dem Unternehmen aus zivilrechtlicher Sicht 210
4.3.6 Konzerndatenschutzbeauftragter und Betriebsrat 212
4.3.6.1 Ausgangssituation 212
4.3.6.2 Gegenseitige Kontrollbefugnisse auf Konzernebene 212
4.3.6.2.1 Mitwirkung bei der Anstellung des Konzerndatenschutzbeauftragten 212
4.3.6.2.2 Kontrolle der Tätigkeit des Konzerndatenschutzbeauftragten 214
4.3.6.2.3 Überwachung des Konzernbetriebsrats 215
4.3.6.3 Situation anderer Konzernbeauftragter 216
4.3.6.3.1 Verhältnis von Konzerngeldwäschebeauftragtem und Betriebsrat 216
4.3.6.3.2 Verhältnis von Konzernumweltschutzbeauftragten und Betriebsrat 217
4.3.7 Konzerndatenschutzbeauftragter im multinationalen Konzern 219
4.3.7.1 Gemeinschaftsrechtlicher Bezugsrahmen 220
4.3.7.2 Globaler Bezugsrahmen 222
4.3.8 Risikomanagement und Compliance im Konzern 224
4.3.8.1 Besonderheiten eines Konzernrisikomanagementsystems 224
4.3.8.2 Position des Konzerndatenschutzbeauftragten im Risikomanagement 226
4.3.8.3 Konzerndatenschutz und Compliance 227
4.3.9 Stellungnahme zum Konzerndatenschutzbeauftragten 228
5 Konzerndatenschutzbeauftragte in der Praxis 229
5.1 Methodisches Vorgehen 229
5.1.1 Auswahl der Interviewpartner 230
5.1.2 Datenerhebung und -auswertung 231
5.2 Ergebnisse 233
5.2.1 Personelle und institutionelle Einordnung der Befragten 234
5.2.1.1 Berufliche Laufbahn 234
5.2.1.2 Anstellungsverhältnis 234
5.2.1.3 Allgemeine Arbeitsschwerpunkte 235
5.2.2 Konzernorganisation 236
5.2.2.1 Organisation des Unternehmens aus Sicht der Datenverarbeitung 236
5.2.2.2 Aufbau des Datenschutzes im Unternehmen 237
5.2.2.3 Besondere Schwerpunkte des Schutzes personenbezogener Daten 238
5.2.3 Konzerndatenschutzorganisation 239
5.2.3.1 Datenschutzstrategie 239
5.2.3.2 Stellung des Konzerndatenschutzbeauftragten in der Datenschutzstrategie 240
5.2.3.3 Zusammenarbeit mit anderen Institutionen 241
5.2.3.4 Verhältnis zum Betriebsrat 241
5.2.4 Spezielle Wirkungsbereiche des Konzerndatenschutzbeauftragten 243
5.2.4.1 Beratung, Koordination und Kontrolle als Aufgabenfelder 243
5.2.4.2 Konzernweit einheitliches Datenschutzniveau 244
5.2.4.3 Ausgestaltung der Position des Konzerndatenschutzbeauftragten 245
5.2.4.4 Datenübermittlung mit Schwerpunkt Auslandsdatentransfer 245
5.2.4.5 Selbstregulative Instrumente 246
5.2.4.6 Risikomanagement 248
5.2.4.7 Erwägungen der Interviewten 249
6 Gesamtsituation des Konzerndatenschutzbeauftragten 251
6.1 Rechtliche Beurteilung 251
6.1.1 Rechtstheoretische Gesichtspunkte 251
6.1.2 Rechtsdogmatische Schwierigkeiten 253
6.1.2.1 Mehrfachbestellung 254
6.1.2.2 Zuordnung im Konzern 254
6.1.2.3 Veränderter Aufgabenbereich 256
6.1.2.4 Anforderungsprofil eines Konzerndatenschutzbeauftragten 259
6.1.2.5 Haftungsrisiko 260
6.1.2.6 Verhältnis zum Betriebsrat 260
6.1.2.7 Internationaler Bezug 262
6.2 Beurteilung der empirischen Erhebung 263
6.2.1 Unternehmensspezifische Ausgestaltung des (Konzern-)Datenschutzbeauftragten 263
6.2.2 Datenschutzrechtliche Organisationsmöglichkeiten eines Konzerns 264
6.2.3 Strategien zur Umsetzung des Datenschutzes innerhalb von Konzernen 265
6.2.4 Konzernweite datenschutzrechtliche Aufgaben 266
6.3 Schlussfolgerungen 268
6.3.1 Gesetzliche Legitimation für den Konzerndatenschutzbeauftragten 269
6.3.2 Art der Regelung 270
6.3.3 Kompatibilität mit anderen Normen 271
6.3.4 Inhaltliche Ausgestaltung der Gesetzesregelung 272
6.3.5 Normierungsvorschlag 273
6.3.6 Konsequenzen der Normierung 273
7 Ergebnis und Ausblick 276
Literaturverzeichnis 280
Anhang 303
I. Fragebogen Leitfadeninterview 303
1. Person und Bestellung des (Konzern-) Datenschutzbeauftragten 303
2. Organisation des Konzerns aus datenschutzrechtlicher Perspektive 303
3. Umsetzung des Datenschutzes 303
4. Konzerweite datenschutzrechtliche Aufgaben 303
5. Spezifische Problemfelder im Aufgabenbereich 303
6. Ergänzungen durch den Befragten und Schlusswort 303
II. Liste der Interviewpartner 304