Die Verantwortung für die Einhaltung des Datenschutzes trägt der „Verantwortliche“. Handelt es sich um ein Unternehmen, also eine juristische Person, kann diese natürlich nicht selbst handeln. Die Verantwortung für den Datenschutz im Unternehmen trägt daher der für das Unternehmen bzw. die juristische Person Vertretungsberechtigte, in der Regel also der Geschäftsführer, Vorstand oder allgemein Manager.
In der Praxis wird oft versucht, das Thema Datenschutz abzugeben. Vielfach erhofft sich die Geschäftsführung dadurch auch eine Übertragung der Verantwortung und im Ergebnis eine Befreiung von der eigenen Haftung. Jedoch kann durch die bloße Delegation einer Aufgabe keine Befreiung von der Verantwortung erreicht werden. Unter welchen Bedingungen zumindest eine anteilige „Enthaftung“ möglich ist, erläutert dieser Artikel.
Inwieweit kann der Datenschutz delegiert werden?
Selbst wenn Unternehmen einen Datenschutzbeauftragten bestellt haben, verringert sich nicht automatisch die Verantwortung der Unternehmensleitung für den Datenschutz. Denn die Pflichten des Datenschutzbeauftragten bestehen im Wesentlichen darin, zu kontrollieren, ob der Datenschutz im Unternehmen korrekt umgesetzt wird und insbesondere, ob die Unternehmensleitung eine hierfür geeignete Strategie verfolgt. Zusätzlich hat der Datenschutzbeauftragte Beratungs- und Hinweispflichten in Bezug auf datenschutzrechtliche Belange.
Für die korrekte Umsetzung des Datenschutzes ist und bleibt das Unternehmen selbst verantwortlich; in letzter Linie also die Geschäftsführung. Diese kann nun zwar Aufgaben zur Erledigung an Mitarbeiter oder Externe übertragen. Mit der Delegation einer Aufgabe geht die Verantwortung aber keinesfalls verloren, sondern sie wandelt sich lediglich um.
Kriterien zur Delegation des Datenschutzes im Unternehmen
Bei der Delegation des unternehmerischen Datenschutzes muss die eigentlich verantwortliche Geschäftsführung besondere Kriterien erfüllen, um ihrer Sorgfaltspflicht nachzukommen:
“Auswahl geeigneter Mitarbeiter”
Die Geschäftsführung hat sich bereits im Rahmen der Auswahl des Aufgabenempfängers zu vergewissern, dass dieser über ausreichende persönliche und fachliche Kompetenzen verfügt, um die Aufgabe fachgerecht durchzuführen (siehe auch der Beschluss des Düsseldorfer Kreis vom November 2010).
Wann ein Mitarbeiter für eine bestimmte Position geeignet ist, bestimmt sich jeweils nach dem Einzelfall. Als Richtwert gilt: Je verantwortungsvoller die Aufgabe ist, desto größer sollte die Fachkunde und Praxiserfahrung im künftigen Tätigkeitsbereich sein. Bei leitenden Angestellten sollte zudem darauf geachtet werden, dass diese über genügend Führungskompetenzen verfügen und auch in der Lage sind, größerem Druck standzuhalten. Zusätzlich sind Interessenskonflikte zu vermeiden: Niemand sollte einen Prozess überwachen, für den er selbst verantwortlich ist.
“Einweisung in die Datenschutz-Aufgaben”
Der Aufgabenempfänger sollte, soweit notwendig, vor der Aufnahme der Tätigkeit in sein neues Aufgabenfeld eingewiesen werden. Dabei sind ihm insbesondere die mit der neuen Tätigkeit verbundenen Aufgaben und Pflichten zu erklären sowie die gängigen Arbeitsabläufe zu erläutern. Auch der korrekte Umgang mit benötigten Betriebsmitteln, beispielsweise der Einsatz von Verschlüsselungs- und Datenübertragungstechnologien spielt hierbei ggf. eine wichtige Rolle.
Im Hinblick auf den Datenschutzbeauftragten ist hier insbesondere die Beschreibung der Verarbeitungstätigkeiten zu nennen, die den Beauftragten auf seine Aufgaben vorbereiten und bei ihrer Erledigung unterstützen sollen.
“Organisation und Position im Unternehmen”
Ein besonderes Augenmerk verdient die Organisation bzw. die Position oder Rolle des mit dem Datenschutz Beauftragten im Unternehmen. Die Geschäftsführung sollte stets darauf achten, dass dem Aufgabenempfänger sämtliche Ressourcen zur Verfügung stehen, die zur Erfüllung der Aufgaben und Pflichten nötig sind. Auch müssen dem Beauftragten die nötigen Kompetenzen und Berechtigungen eingeräumt und die entsprechenden Aufgabengebiete klar definiert werden.
Aus Gründen der Transparenz und Nachweisbarkeit sollten Gegenstand und Umfang der Delegation jeweils konkret festgelegt und festgehalten werden. Denn genau diese Dokumentation kann unter Umständen im Streitfall darüber entscheiden, wer die tatsächliche Verantwortung für ein (ausgebliebenes) Handeln trägt. Mit der durch die Datenschutz-Grundverordnung eingeführten Rechenschaftspflicht sind Aufzeichnungen zum Beweis, dass man dieser Pflicht nachgekommen ist, ohnehin unabdingbar.
“Datenschutz-Schulung und Aufklärung”
Der Aufgabenempfänger sollte mit den einschlägigen gesetzlichen Bestimmungen vertraut gemacht werden. Je nach Reichweite der Tätigkeit kann eine allgemeine Belehrung unter Umständen nicht mehr ausreichend sein; stattdessen sind spezifische Fortbildungen zu Datenschutzthemen angemessen.
Zudem muss bei jedem Angestellten zu jeder Zeit Klarheit darüber herrschen, für welchen Teil des Betriebsablaufes der jeweilige Mitarbeiter verantwortlich ist und welche gesetzlichen Regelungen und anderweitigen Rahmenbedingungen bei der Ausübung der Tätigkeit einzuhalten sind.
Die Aufklärungs- und Schulungspflicht besteht übrigens grundsätzlich auch dann, wenn die Geschäftsführung davon ausgehen kann, dass der Mitarbeiter bereits über einschlägige Kenntnisse verfügt. Auf die Besonderheiten des jeweiligen Einsatzes muss immer hingewiesen werden.[
“Kontrolle des ausgeübten Datenschutzes”
Die Geschäftsführung muss sich grundsätzlich von der korrekten Erledigung der übertragenen Aufgabe überzeugen. Eine umfassende Pflicht zur Kontrolle einzelner Umsetzungsschritte besteht jedoch grundsätzlich nicht. Auch hier bestimmt sich der Umfang der Kontrolle entsprechend den Umständen des jeweiligen Einzelfalls. Was verlangt die eigene Sorgfalt?
Wichtige Kriterien dabei sind insbesondere die Zumutbarkeit von Überwachungsmaßnahmen, die Unternehmensgröße, die Qualifikation des Mitarbeiters, die Bedeutung oder Komplexität der Aufgabe sowie der Aufbau der innerbetrieblichen Organisation. So kann im Regelfall die Durchführung von Stichprobenprüfungen für eine Erfüllung der Kontrollpflichten genügen. Ebenso ist zu erwarten, dass sich das Management regelmäßig durch die Beauftragten berichten lässt, um ggf. steuernd einzugreifen.
Kriterien für die Einholung externen Rats
Um mit der gebotenen Sorgfalt zu entscheiden, muss der Entscheider dies auf einer angemessenen Informationslage tun. Liegen die notwendigen Informationen oder die notwendige Fachkunde nicht vor, müssen diese beigebracht werden.
Gerade im Bereich des Datenschutzrechts kann es also durchaus sein, dass es die Sorgfalt erfordert, externen Rat einzukaufen. Wird eine solche Beratung in Anspruch genommen, darf der Verantwortliche auf diesen Rat nach ständiger Rechtsprechung des Bundesgerichtshofs unter folgenden Bedingungen vertrauen:
- Der Berater muss fachliche Befähigung ausweisen. Diese äußert sich in der Regel durch Zugehörigkeit zu einem bestimmten Berufstand, etwa Rechtsanwälte, Steuerberater oder Wirtschaftsprüfer. Entscheidend ist selbstverständlich, dass Beruf und die zu erfüllenden Anforderungen zueinander passen. In der Praxis muss beachtet werden, dass der Datenschutzbeauftragte zwar anerkannter Beruf ist, aber im Gegensatz zu den genannten Beispielen keine Berufsausbildung oder einen Abschluss erfordert. Derzeit darf sich jeder so nennen und seine Leistung anbieten. Um nicht in die eigene Haftung zu laufen, sollten Verantwortliche daher im Ernstfall kritisch hinterfragen, ob ein externer Datenschutzbeauftragter die notwendige Befähigung tatsächlich besitzen kann. Dass die einmalige Teilnahme an irgendeinem – im besten Falle mehrtägigen – Seminar zum Zertifizierten Datenschutzbeauftragten nicht ausreicht, um aus dem Stand heraus die notwendige Fachkunde auch für komplexere Fragestellungen zu erwerben, sollte offensichtlich sein.
- Der Berater muss unabhängig sein.
- Der Berater muss ausreichend informiert worden sein. Hierbei handelt es sich um eine Bringschuld! D.h. das Unternehmen muss aktiv informieren. Natürlich sollte der Berater auch gezielt fragen.
Das Ergebnis der Beratung muss zumindest einer Plausibilitätskontrolle unterworfen werden. Basiert das Ergebnis auf vollständigen Informationen, ist es nachvollziehbar und widerspruchsfrei? Sind alle diese Voraussetzungen zweifelsfrei erfüllt, haftet im Zweifelsfall nicht mehr der Verantwortliche, sondern ggf. der externe Berater.
Fazit: Datenschutz ist delegierbar, die Haftung bleibt
Erst wenn alle oben genannten Kriterien bei der Delegation des Datenschutzes erfüllt sind, ist kein Zweifel an der Sorgfaltspflicht der Geschäftsführung mehr gegeben. Verantwortliche Manager müssen sich aber letztendlich von dem Traum verabschieden, den Datenschutz durch Delegation oder Bestellung eines Beauftragten vollständig ad acta legen zu können.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!