Verantwortung, Haftung & Delegierbarkeit des Datenschutzes im Unternehmen

activeMind AG - Verantwortung und Haftung bei der Delegation des Datenschutzes

Die Verantwortung für die Einhaltung des Datenschutzes trägt die „verantwortliche Stelle“. Handelt es sich um ein Unternehmen, kann diese Stelle natürlich nicht selbst handeln. Die Verantwortung für den Datenschutz im Unternehmen muss deswegen der Vertretungsberechtigte tragen, in der Regel der Geschäftsführer oder Manager. In der Praxis wird oft versucht, das Thema Datenschutz – zumindest ein Stück weit – zu delegieren. Vielfach erhofft sich die Geschäftsführung dadurch auch eine Übertragung der Verantwortung und im Ergebnis eine Befreiung von der eigenen Haftung. Jedoch kann durch die bloße Delegation einer Aufgabe keine Befreiung von der Verantwortung erreicht werden. Unter welchen Bedingungen zumindest eine anteilige „Enthaftung“ möglich ist, erläutert dieser Artikel.

Inwieweit kann der Datenschutz delegiert werden?

Selbst wenn Unternehmen einen Datenschutzbeauftragten bestellt haben, verringert sich nicht automatisch die Verantwortung der Unternehmensleitung für den Datenschutz. Denn die Pflichten des Datenschutzbeauftragten beschränken sich im Wesentlichen auf Beratungs- und Hinweispflichten in Bezug auf datenschutzrechtliche Belange. Die Geschäftsführung hat hingegen auch im Rahmen der Delegation die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes anzuwenden. Mit der Delegation einer Aufgabe geht die Verantwortung also nicht verloren, sie wandelt sich lediglich um. Denn bei der Delegation des unternehmerischen Datenschutzes auf einen Mitarbeiter muss die eigentlich verantwortliche Geschäftsführung besondere Kriterien erfüllen, um ihrer Sorgfaltspflicht nachzukommen.

Kriterien zur Delegation des Datenschutzes im Unternehmen

Auswahl geeigneter Mitarbeiter

Die Geschäftsführung hat sich bereits im Rahmen der Auswahl des Aufgabenempfängers zu vergewissern, dass dieser über ausreichende persönliche und fachliche Kompetenzen verfügt, um die Aufgabe fachgerecht durchzuführen (siehe auch der Beschluss des Düsseldorfer Kreis vom November 2010). Wann ein Mitarbeiter für eine bestimmte Position geeignet ist, bestimmt sich jeweils nach dem Einzelfall. Als Richtwert gilt: Je verantwortungsvoller die Aufgabe ist, desto größer sollte die Praxiserfahrung im künftigen Tätigkeitsbereich sein. Bei leitenden Angestellten sollte zudem darauf geachtet werden, dass diese über genügend Führungskompetenzen verfügen und auch in der Lage sind, größerem Druck standzuhalten. Zusätzlich sind Interessenskonflikte zu vermeiden: Niemand sollte einen Prozess überwachen, für den er selbst verantwortlich ist.

Einweisung in die Datenschutz-Aufgaben

Der Aufgabenempfänger sollte, soweit notwendig, vor der Aufnahme der Tätigkeit in sein neues Aufgabenfeld eingewiesen werden. Dabei sind ihm insbesondere die mit der neuen Tätigkeit verbundenen Aufgaben und Pflichten zu erklären sowie die gängigen Arbeitsabläufe zu erläutern. Auch der korrekte Umgang mit benötigten Betriebsmitteln, beispielsweise der Einsatz von Verschlüsselungs- und Datenübertragungstechnologien spielt hierbei ggf. eine wichtige Rolle.

Organisation & Position im Unternehmen

Ein besonderes Augenmerk verdient die Organisation bzw. die Position oder Rolle des mit dem Datenschutz Beauftragten im Unternehmen. Die Geschäftsführung sollte stets darauf achten, dass dem Aufgabenempfänger sämtliche Ressourcen zur Verfügung stehen, die zur Erfüllung der Aufgaben und Pflichten nötig sind. Auch müssen dem Empfänger die nötigen Kompetenzen und Berechtigungen eingeräumt und die entsprechenden Aufgabengebiete klar definiert werden.

Aus Gründen der Transparenz und Nachweisbarkeit sollten Gegenstand und Umfang der Delegation jeweils konkret schriftlich festgelegt werden. Denn genau dieses Schriftstück kann unter Umständen im Streitfall darüber entscheiden, wer die tatsächliche Verantwortung für ein (ausgebliebenes) Handeln trägt.

Datenschutz-Schulung und Aufklärung

Der Aufgabenempfänger sollte mit den einschlägigen gesetzlichen Bestimmungen vertraut gemacht werden. Je nach Reichweite der Tätigkeit kann eine allgemeine Belehrung unter Umständen nicht mehr ausreichend sein; stattdessen sind spezifische Fortbildungen zu Datenschutzthemen angemessen.

Zudem muss bei jedem Angestellten zu jeder Zeit Klarheit darüber herrschen, für welchen Teil des Betriebsablaufes der jeweilige Mitarbeiter verantwortlich ist und welche gesetzlichen Regelungen und anderweitigen Rahmenbedingungen bei der Ausübung der Tätigkeit einzuhalten sind.

Die Aufklärungs- und Schulungspflicht besteht übrigens grundsätzlich auch dann, wenn die Geschäftsführung davon ausgehen kann, dass der Mitarbeiter bereits über einschlägige Kenntnisse verfügt.

Kontrolle des ausgeübten Datenschutzes

Die Geschäftsführung muss sich grundsätzlich von der korrekten Erledigung der übertragenen Aufgaben überzeugen. Eine umfassende Pflicht zur Kontrolle der einzelnen Aufgaben besteht jedoch grundsätzlich nicht. Auch hier bestimmt sich der Umfang der Kontrolle entsprechend den Umständen des jeweiligen Einzelfalls. Wichtige Kriterien dabei sind insbesondere die Zumutbarkeit von Überwachungsmaßnahmen, die Unternehmensgröße, die Qualifikation des Mitarbeiters, die Bedeutung oder Komplexität der Aufgabe sowie der Aufbau der innerbetrieblichen Organisation. So kann im Regelfall die Durchführung von Stichprobenprüfungen für eine Erfüllung der Kontrollpflichten genügen. Ebenso ist zu erwarten, dass sich das Management regelmäßig durch die Beauftragten berichten lässt, um ggf. steuernd einzugreifen.

Fazit: Datenschutz ist delegierbar, die Haftung bleibt

Erst wenn alle oben genannten Kriterien bei der Delegation des Datenschutzes erfüllt sind, ist kein Zweifel an der Sorgfaltspflicht der Geschäftsführung mehr gegeben. Für die Geschäftsleitung kommt so eine Freizeichnung von der eigenen Verantwortlichkeit in Betracht, weil im es im deutschen Datenschutzrecht vor allem um den Nachweis getroffener Schutzmaßnahmen geht. Verantwortliche Manager müssen sich aber letztendlich von dem Traum verabschieden, den Datenschutz durch Delegation oder Bestellung eines Beauftragten vollständig ad acta legen zu können.

Bitte bewerten Sie diese Inhalte!
[9 Bewertung(en)/ratings]

[/av_icon_box]

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.