Verantwortung, Haftung und Delegierbarkeit des Datenschutzes im Unternehmen

Die Verantwortung für die Einhaltung des Datenschutzes trägt der „Verantwortliche“. Handelt es sich um ein Unternehmen, also eine juristische Person, kann diese natürlich nicht selbst handeln. Die Verantwortung für den Datenschutz im Unternehmen trägt daher der für das Unternehmen bzw. die juristische Person Vertretungsberechtigte, in der Regel also der Geschäftsführer, Vorstand oder allgemein Manager.

In der Praxis wird oft versucht, das Thema Datenschutz abzugeben. Vielfach erhofft sich die Geschäftsführung dadurch auch eine Übertragung der Verantwortung und im Ergebnis eine Befreiung von der eigenen Haftung. Jedoch kann durch die bloße Delegation einer Aufgabe keine Befreiung von der Verantwortung erreicht werden. Unter welchen Bedingungen zumindest eine anteilige „Enthaftung“ möglich ist, erläutert dieser Artikel.

Inwieweit kann der Datenschutz delegiert werden?

Selbst wenn Unternehmen einen Datenschutzbeauftragten bestellt haben, verringert sich nicht automatisch die Verantwortung der Unternehmensleitung für den Datenschutz. Denn die Pflichten des Datenschutzbeauftragten bestehen im Wesentlichen darin, zu kontrollieren, ob der Datenschutz im Unternehmen korrekt umgesetzt wird und insbesondere, ob die Unternehmensleitung eine hierfür geeignete Strategie verfolgt. Zusätzlich hat der Datenschutzbeauftragte Beratungs- und Hinweispflichten in Bezug auf datenschutzrechtliche Belange.

Für die korrekte Umsetzung des Datenschutzes ist und bleibt das Unternehmen selbst verantwortlich; in letzter Linie also die Geschäftsführung. Diese kann nun zwar Aufgaben zur Erledigung an Mitarbeiter oder Externe übertragen. Mit der Delegation einer Aufgabe geht die Verantwortung aber keinesfalls verloren, sondern sie wandelt sich lediglich um.

Kriterien zur Delegation des Datenschutzes im Unternehmen

Bei der Delegation des unternehmerischen Datenschutzes muss die eigentlich verantwortliche Geschäftsführung besondere Kriterien erfüllen, um ihrer Sorgfaltspflicht nachzukommen:

Die Geschäftsführung hat sich bereits im Rahmen der Auswahl des Aufgabenempfängers zu vergewissern, dass dieser über ausreichende persönliche und fachliche Kompetenzen verfügt, um die Aufgabe fachgerecht durchzuführen (siehe auch der Beschluss des Düsseldorfer Kreis vom November 2010).

Wann ein Mitarbeiter für eine bestimmte Position geeignet ist, bestimmt sich jeweils nach dem Einzelfall. Als Richtwert gilt: Je verantwortungsvoller die Aufgabe ist, desto größer sollte die Fachkunde und Praxiserfahrung im künftigen Tätigkeitsbereich sein. Bei leitenden Angestellten sollte zudem darauf geachtet werden, dass diese über genügend Führungskompetenzen verfügen und auch in der Lage sind, größerem Druck standzuhalten. Zusätzlich sind Interessenskonflikte zu vermeiden: Niemand sollte einen Prozess überwachen, für den er selbst verantwortlich ist.

Der Aufgabenempfänger sollte, soweit notwendig, vor der Aufnahme der Tätigkeit in sein neues Aufgabenfeld eingewiesen werden. Dabei sind ihm insbesondere die mit der neuen Tätigkeit verbundenen Aufgaben und Pflichten zu erklären sowie die gängigen Arbeitsabläufe zu erläutern. Auch der korrekte Umgang mit benötigten Betriebsmitteln, beispielsweise der Einsatz von Verschlüsselungs- und Datenübertragungstechnologien spielt hierbei ggf. eine wichtige Rolle.

Im Hinblick auf den Datenschutzbeauftragten ist hier insbesondere die Beschreibung der Verarbeitungstätigkeiten zu nennen, die den Beauftragten auf seine Aufgaben vorbereiten und bei ihrer Erledigung unterstützen sollen.

Ein besonderes Augenmerk verdient die Organisation bzw. die Position oder Rolle des mit dem Datenschutz Beauftragten im Unternehmen. Die Geschäftsführung sollte stets darauf achten, dass dem Aufgabenempfänger sämtliche Ressourcen zur Verfügung stehen, die zur Erfüllung der Aufgaben und Pflichten nötig sind. Auch müssen dem Beauftragten die nötigen Kompetenzen und Berechtigungen eingeräumt und die entsprechenden Aufgabengebiete klar definiert werden.

Aus Gründen der Transparenz und Nachweisbarkeit sollten Gegenstand und Umfang der Delegation jeweils konkret festgelegt und festgehalten werden. Denn genau diese Dokumentation kann unter Umständen im Streitfall darüber entscheiden, wer die tatsächliche Verantwortung für ein (ausgebliebenes) Handeln trägt. Mit der durch die Datenschutz-Grundverordnung eingeführten Rechenschaftspflicht sind Aufzeichnungen zum Beweis, dass man dieser Pflicht nachgekommen ist, ohnehin unabdingbar.

Der Aufgabenempfänger sollte mit den einschlägigen gesetzlichen Bestimmungen vertraut gemacht werden. Je nach Reichweite der Tätigkeit kann eine allgemeine Belehrung unter Umständen nicht mehr ausreichend sein; stattdessen sind spezifische Fortbildungen zu Datenschutzthemen angemessen.

Zudem muss bei jedem Angestellten zu jeder Zeit Klarheit darüber herrschen, für welchen Teil des Betriebsablaufes der jeweilige Mitarbeiter verantwortlich ist und welche gesetzlichen Regelungen und anderweitigen Rahmenbedingungen bei der Ausübung der Tätigkeit einzuhalten sind.

Die Aufklärungs- und Schulungspflicht besteht übrigens grundsätzlich auch dann, wenn die Geschäftsführung davon ausgehen kann, dass der Mitarbeiter bereits über einschlägige Kenntnisse verfügt. Auf die Besonderheiten des jeweiligen Einsatzes muss immer hingewiesen werden.

Die Geschäftsführung muss sich grundsätzlich von der korrekten Erledigung der übertragenen Aufgabe überzeugen. Eine umfassende Pflicht zur Kontrolle einzelner Umsetzungsschritte besteht jedoch grundsätzlich nicht. Auch hier bestimmt sich der Umfang der Kontrolle entsprechend den Umständen des jeweiligen Einzelfalls. Was verlangt die eigene Sorgfalt?

Wichtige Kriterien dabei sind insbesondere die Zumutbarkeit von Überwachungsmaßnahmen, die Unternehmensgröße, die Qualifikation des Mitarbeiters, die Bedeutung oder Komplexität der Aufgabe sowie der Aufbau der innerbetrieblichen Organisation. So kann im Regelfall die Durchführung von Stichprobenprüfungen für eine Erfüllung der Kontrollpflichten genügen. Ebenso ist zu erwarten, dass sich das Management regelmäßig durch die Beauftragten berichten lässt, um ggf. steuernd einzugreifen.

Fazit: Datenschutz ist delegierbar, die Haftung bleibt

Erst wenn alle oben genannten Kriterien bei der Delegation des Datenschutzes erfüllt sind, ist kein Zweifel an der Sorgfaltspflicht der Geschäftsführung mehr gegeben. Verantwortliche Manager müssen sich aber letztendlich von dem Traum verabschieden, den Datenschutz durch Delegation oder Bestellung eines Beauftragten vollständig ad acta legen zu können.

Dieser aktualisierte Artikel erschien zuerst am 23. Februar 2016.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.