Die datenschutzrechtliche Einordnung von Aufsichtsratsmitgliedern ist bislang kaum geklärt – gewinnt aber in der Praxis zunehmend an Bedeutung. Spätestens dann, wenn Aufsichtsräte im Rahmen ihrer Tätigkeit Zugriff auf umfangreiche personenbezogene Daten erhalten, stellt sich die Frage: Handeln sie lediglich als Teil der verantwortlichen Stelle – oder sind sie selbst (mit-)verantwortlich im Sinne der DSGVO?
Der folgende Beitrag zeigt, warum eine pauschale Antwort nicht überzeugt – und weshalb eine differenzierende Betrachtung erforderlich ist.
1. Ausgangspunkt: Die klassische Sichtweise
Nach überwiegender Auffassung ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO die Gesellschaft selbst. Der Aufsichtsrat handelt als Organ der juristischen Person und ist damit Teil der internen Organisation. Auch das einzelne Aufsichtsratsmitglied nimmt seine Aufgaben nicht eigenständig, sondern im Rahmen der Organfunktion wahr.
Konsequenz dieser Sichtweise ist eine klare Zurechnung:
- Verantwortlicher ist allein die Gesellschaft
- Aufsichtsratsmitglieder sind keine eigenständigen datenschutzrechtlichen Akteure
- Betroffenenrechte, insbesondere Auskunftsansprüche nach Art. 15 DSGVO, sind gegenüber der Gesellschaft geltend zu machen
Diese Einordnung liegt auf den ersten Blick nahe, da sie die gesellschaftsrechtliche Organstruktur konsequent in das Datenschutzrecht überträgt.
2. Zweifel an der rein formalen Betrachtung
Bei näherer Betrachtung zeigt sich jedoch, dass diese formale Sichtweise die tatsächlichen Abläufe in der Aufsichtsratsarbeit nur unzureichend erfasst.
Aufsichtsratsmitglieder:
- sind nicht weisungsgebunden
- verfügen über eigenständige Kontrollrechte
- können nach § 90 Abs. 3 AktG gezielt Berichte anfordern
- verarbeiten Informationen häufig auch individuell (z. B. durch Notizen oder eigene Ablagestrukturen)
Gerade das individuelle Initiativrecht zur Anforderung von Berichten spricht dafür, dass Aufsichtsratsmitglieder zumindest Einfluss auf die Verarbeitung personenbezogener Daten nehmen. Sie entscheiden faktisch mit darüber, welche Informationen erhoben und verarbeitet werden.
Damit stellt sich die zentrale Frage: Reicht dieser Einfluss aus, um eine (Mit-)Verantwortlichkeit im Sinne der DSGVO zu begründen?
3. Gemeinsame Verantwortlichkeit als mögliche Einordnung
Nach Art. 26 DSGVO liegt eine gemeinsame Verantwortlichkeit vor, wenn mehrere Akteure gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden.
Die Rechtsprechung des EuGH stellt dabei maßgeblich auf eine funktionale Betrachtung ab:
- tatsächlicher Einfluss ist entscheidend
- formale Strukturen treten in den Hintergrund
- auch punktuelle Mitveranlassung kann genügen
Überträgt man diese Grundsätze auf die Aufsichtsratstätigkeit, erscheint eine gemeinsame Verantwortlichkeit jedenfalls nicht von vornherein ausgeschlossen.
4. Die entscheidende Differenzierung: Organisation der Datenverarbeitung
Eine überzeugende Lösung kann jedoch nicht allein an der Organstellung anknüpfen. Maßgeblich ist vielmehr die konkrete Ausgestaltung der Datenverarbeitung in der Praxis.
Es lassen sich zwei Idealtypen unterscheiden:
(1) Integrierte Organverarbeitung
- Nutzung eines zentralen, vom Unternehmen bereitgestellten Board-Portals
- keine eigenständigen Datenbestände der Mitglieder
- Berichtsanforderungen erfolgen strukturiert über das Gremium
→ In dieser Konstellation spricht alles für eine alleinige Verantwortlichkeit der Gesellschaft.
(2) Dezentralisierte Individualverarbeitung
- Nutzung eigener Geräte und Speichersysteme
- individuelle Archivierung von Unterlagen
- eigenständige und gezielte Berichtsanforderungen einzelner Mitglieder
- teilweise Entkopplung von der organisatorischen Sphäre der Gesellschaft
→ Hier verdichten sich die Argumente für eine (Mit-)Verantwortlichkeit der Aufsichtsratsmitglieder.
5. Parallele zum Betriebsrat – und ihre Grenzen
Ein Blick auf die Diskussion um die datenschutzrechtliche Stellung des Betriebsrats zeigt interessante Parallelen.
Auch dort wurde lange über eine gemeinsame Verantwortlichkeit diskutiert. Der Gesetzgeber hat diese Frage jedoch mit § 79a BetrVG ausdrücklich zugunsten einer alleinigen Verantwortlichkeit des Arbeitgebers entschieden.
Diese gesetzliche Klarstellung ist auf den Aufsichtsrat jedoch nicht ohne Weiteres übertragbar:
- Der Betriebsrat ist kein Organ der juristischen Person, sondern ein eigenständiges Gremium mit Gegenmachtfunktion
- Für den Aufsichtsrat fehlt eine vergleichbare gesetzliche Regelung
Gerade dieser Unterschied spricht dafür, die Frage der Verantwortlichkeit beim Aufsichtsrat offen und differenziert zu behandeln.
6. Praktische Konsequenzen
In der Praxis werden Aufsichtsratsmitglieder kaum vermeiden können, eigene Dokumentationen über ihre Tätigkeit im Aufsichtsrat anzulegen. Da der BGH davon ausgeht, dass mit dem Ende der Amtszeit das Aufsichtsratsmitglied die vom Unternehmen erhaltenen Unterlagen zurückgeben muss, ist dies schon deshalb sinnvoll, um sich im Fall eines nachfolgenden Haftungsprozesses sinnvoll verteidigen zu können. Werden in diesem Zusammenhang personenbezogene Daten durch das Aufsichtsratsmitglied verarbeitet, spricht mehr für eine (Mit-)Verantwortlichkeit des einzelnen Aufsichtsratsmitgliedes.
Wollte man eine solche vermeiden, wäre folgende Gesichtspunkte zu beachten:
- Nutzung zentraler Board-Portale, die vom Unternehmen bereitgestellt werden
- klare Vorgaben zur Datenverarbeitung und -speicherung
- Vermeidung privater Datenbestände mit personenbezogenen Daten
- strukturierte Prozesse für Berichtsanforderungen
- Sensibilisierung der Aufsichtsratsmitglieder für datenschutzrechtliche Risiken
7. Fazit
Die datenschutzrechtliche Einordnung von Aufsichtsratsmitgliedern lässt sich nicht abschließend mit einem pauschalen „Ja“ oder „Nein“ beantworten.
Vielmehr spricht vieles für folgende Leitlinie:
Je stärker sich die Datenverarbeitung aus der organisatorischen Sphäre der Gesellschaft löst und individualisiert wird, desto eher kommt eine (gemeinsame) Verantwortlichkeit der Aufsichtsratsmitglieder in Betracht.
Damit wird deutlich: Die Frage ist bislang ungeklärt – und bietet zugleich erhebliches Potenzial für weitere rechtliche Diskussionen.