Aktuelles zum Thema: IT-Recht

Die obersten Datenschutz-Aufsichtsbehörden haben Ende November einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit ist in der Praxis von der Verwendung von Google Analytics und ähnlicher Tools in seiner derzeitigen Form in den meisten Fällen abzuraten.

Der BGH hat im Juli dieses Jahres die strafrechtlich relevante Garantenpflicht eines Leiters der Innenrevision einer Anstalt des öffentlichen Rechts bejaht und die Verurteilung zur Betrugsbehilfe durch Unterlassen bestätigt (Az. 5 StR 394/08). Zugleich hat der BGH ausgeführt, dass vergleichbare Maßstäbe auch für „Compliance Officer“ in Unternehmen anwendbar seien. In diesem Beitrag soll geklärt werden, ob die strafrechtlichen Überlegungen des BGH auch auf die Stellung des Datenschutzbeauftragten im Betrieb übertragen werden können.

Durch die fast vollständige Umstellung auf elektronische Betriebsabläufe in Unternehmen kommt der Speicherung und Sicherung der erfassten Daten eine essentielle Bedeutung zu. Nach der herrschenden Rechtsprechung muss dabei grundsätzlich davon ausgegangen werden, dass der Unternehmer selbst für die gesetzlich erforderliche, regelmäßige Sicherung seiner Daten verantwortlich ist.

Der Datenschutzbeauftragte kann bei Verstößen gegen das Datenschutzrecht nur in Ausnahmefällen direkt von den Betroffenen haftungsrechtlich zur Verantwortung gezogen werden. Haftungsgegner ist in solchen Fällen das Unternehmen selbst. Damit stellt sich die Frage, ob und wann das zur Haftung herangezogene Unternehmen bei einem Verstoß gegen Datenschutzrecht Rückgriff gegenüber dem Datenschutzbeauftragen nehmen kann.