“Der DSB hat zwar eine Bericht­erstat­tungs­pflicht gegen­über dem Ver­ant­wort­li­chen, die­se umfasst aber gera­de nicht die Pflicht, betrof­fe­ne Per­so­nen oder deren per­so­nen­be­zo­ge­ne Daten offen­zu­le­gen.” – Eileen Binder

Zunächst ist zu klä­ren, wer grund­sätz­lich Zugriff auf das Post­fach haben soll­te. Unter­schie­de kön­nen sich sodann dar­aus erge­ben, ob im Unter­neh­men ein inter­ner oder exter­ner Daten­schutz­be­auf­trag­ter benannt ist. Das hat u.a. Fol­gen für die Ver­tre­ter­re­ge­lung und Wei­ter­ga­be der Personendaten.

Wer darf denn nun auf das Datenschutz-Postfach Zugriff haben?

Erfah­rungs­ge­mäß wird in Unter­neh­men bei die­ser Fra­ge eine gan­ze Rei­he an Ver­ant­wor­tungs­trä­gern, bis hoch zum Geschäfts­füh­rer, dis­ku­tiert. Dabei ist die Ant­wort recht sim­pel und ergibt sich sogar aus dem Bun­des­da­ten­schutz­ge­setz (BDSG):

• 6 Abs. 5 S. 2 BDSG besagt:

„Die oder der Daten­schutz­be­auf­trag­te ist zur Ver­schwie­gen­heit über die Iden­ti­tät der betrof­fe­nen Per­son sowie über Umstän­de, die Rück­schlüs­se auf die betrof­fe­ne Per­son zulas­sen, ver­pflich­tet, soweit sie oder er nicht davon durch die betrof­fe­ne Per­son befreit wird.“

Der Daten­schutz­be­auf­trag­te (= DSB) hat dem­nach eine Ver­schwie­gen­heits­pflicht. Die Ver­schwie­gen­heits­pflicht ist umfas­send. Sie dient dazu, dass Betrof­fe­ne kei­ne Kon­se­quen­zen zu befürch­ten haben, wenn Sie etwa einen Ver­ar­bei­tungs­ver­stoß an den DSB mel­den oder Betrof­fe­nen­rech­te gel­tend machen. Der DSB hat zwar eine Bericht­erstat­tungs­pflicht gegen­über dem Ver­ant­wort­li­chen, die­se umfasst aber gera­de nicht die Pflicht, betrof­fe­ne Per­so­nen oder deren per­so­nen­be­zo­ge­ne Daten offen­zu­le­gen. Im Gegen­teil, der DSB darf nur in dem Umfang an die Geschäfts­lei­tung oder den Daten­schutz­ko­or­di­na­tor berich­ten, dass hier­durch kei­ne Rück­schlüs­se auf die betrof­fe­ne Per­son mög­lich sind. Der Zugriff auf die an ihn gerich­te­ten digi­ta­len Nach­rich­ten und damit letzt­lich auf das E‑Mail-Postfach steht dem­nach aus­schließ­lich dem DSB zu.

Inter­ner und exter­ner Datenschutzbeauftragter

Aus die­ser Klar­stel­lung erge­ben sich nun unter­schied­li­che Fol­gen für inter­ne und exter­ne Datenschutzbeauftragte.

Bei­de haben zunächst gemein­sam, dass nur sie als Daten­schutz­be­auf­trag­te Zugriff auf das Datenschutz-Postfach haben dürfen.

Für inter­ne Daten­schutz­be­auf­trag­te ist die Aus­schließ­lich­keit des Zugriffs schnell und pro­blem­los ein­ge­rich­tet. Eine klei­ne zu über­win­den­de Hür­de gibt es höchs­tens im Ver­tre­tungs­fall. Da, je nach inter­ner Orga­ni­sa­ti­on, damit gerech­net wer­den muss, dass Daten­pan­nen über das DS-Postfach gemel­det wer­den, muss auch bei kür­ze­ren Abwe­sen­hei­ten des Daten­schutz­be­auf­trag­ten jemand das DSB-Postfach prü­fen und hier­für auf die­ses zugrei­fen. Im Fal­le einer Daten­pan­ne beginnt eine Mel­de­frist an die Datenschutz-Aufsichtsbehörde von 72 Stun­den nach Bekannt­wer­den der Ver­let­zungs­hand­lung. Ein Ver­strei­chen der Frist mit anschlie­ßen­der Nach­mel­dung ist zwar mög­lich, birgt aber immer das Risi­ko einer Geld­bu­ße. Es ist daher emp­feh­lens­wert, einen Ver­tre­ter für den Zeit­raum der Abwe­sen­heit des DSB zu ernen­nen, der das Post­fach regel­mä­ßig über­prüft. Die­sem Ver­tre­ter soll­ten die inter­nen Datenschutz-Meldeprozesse bekannt und spe­zi­ell in die­sem Zusam­men­hang auf die Ver­trau­lich­keit hin­ge­wie­sen sein.

Bei exter­nen Daten­schutz­be­auf­trag­ten stellt sich das Ver­tre­ter­pro­blem in der Regel nicht in die­ser Schär­fe. Wird ein Dienst­leis­ter oder eine Kanz­lei her­an­ge­zo­gen, über wel­che der Daten­schutz­be­auf­trag­te sei­ne Diens­te zur Ver­fü­gung stellt, so steht hin­ter dem DSB fast immer ein gan­zes Team. Das Team unter­liegt, genau­so wie der Daten­schutz­be­auf­trag­te selbst, den erwei­ter­ten Ver­schwie­gen­heits­pflich­ten. Dane­ben soll­te jeder exter­ne DSB einen inter­nen Daten­schutz­ko­or­di­na­tor im Unter­neh­men haben, der im Ernst­fall vor­über­ge­hend über­neh­men könnte.

Weiter- oder Umlei­tung der Datenschutz-E-Mails?

Bis hier­her lässt sich fest­hal­ten, dass sich zum einen auf­grund der oben genann­ten Rege­lung des § 6 Abs. 5 S. 2 BDSG ergibt, dass aus­schließ­lich der DSB Zugriff auf das DS-Postfach haben darf. Damit ist aus­ge­schlos­sen, dass Beschäf­tig­te oder Geschäfts­lei­ter des Unter­neh­mens par­al­lel eben­falls Zugriff haben. Zum ande­ren ist das DS-Postfach oft­mals im Unter­neh­men selbst ein­ge­rich­tet. Sofern dem exter­nen DSB kein direk­ter Zugriff ein­ge­rich­tet ist, muss gewähr­leis­tet wer­den, dass ein­ge­hen­de E‑Mails im DS-Postfach nur ihn errei­chen. Es ist daher dar­auf zu ach­ten, dass aus­schließ­lich der DSB einen Zugriff auf das inter­ne Post­fach erlangt oder, falls der DSB ein eige­nes Post­fach zur Ver­fü­gung stellt, die E‑Mails an die­ses umge­lei­tet wer­den. Eine blo­ße Wei­ter­lei­tung, die zur Fol­ge hat, dass Kopien der E‑Mails auf den inter­nen Unter­neh­mens­ser­vern lie­gen blei­ben, ist daher grund­sätz­lich nicht zulässig.

Fazit

Der DSB hat eine gesetz­li­che Ver­schwie­gen­heits­pflicht. Er darf daher nur in dem Umfang an die Geschäfts­lei­tung oder den Daten­schutz­ko­or­di­na­tor berich­ten, dass hier­durch kei­ne Rück­schlüs­se auf betrof­fe­ne Per­so­nen mög­lich sind. Für den Zugriff auf das DS-Postfach bedeu­tet das, dass die­ser nur dem Daten­schutz­be­auf­trag­ten zusteht. DS-Postfächer sind daher so ein­zu­rich­ten, dass nur der DSB Zugriff dar­auf hat oder, für den Fall, dass die­ser ein eige­nes Post­fach zur Ver­fü­gung stellt, an die­ses die ein­ge­hen­den E‑Mails aus­schließ­lich umge­lei­tet wer­den. Eine Wei­ter­lei­tung ist grund­sätz­lich nicht zulässig.