Verantwortung, Haftung & Delegierbarkeit im Datenschutz

Okt 29, 2019 | Allgemein

Verantwortung für den Datenschutzes im Unternehmen
Der Verantwortliche muss sicherstellen und nachweisen könne, dass er durch seine geeigneten technischen und organisatorischen Maßnahmen, die Verarbeitung gemäß der Datenschutzgrundverordnung einhalten kann.

Grundlagen zur Haftung und Delegierbarkeit
Die Grundlagen für die Regelung der Haftung beim Datenschutz und die Delegierbarkeit der Verantwortung finden sich in der Datenschutzgrundverordnung (DSGVO) der EU sowie im Bundesdatenschutzgesetz (BDSG).

Haftung
Die Haftung eines Unternehmens für Verstöße gegen den Datenschutz umfasst Schadenersatzzahlungen an geschädigte Personen, die Verhängung von Geldbußen durch die Aufsichtsbehörde, sowie ggf. die Übernahme von Prozesskosten. Das Unternehmen kann hierfür Dritte in Regress nehmen, u. a. seine Vorstände oder Geschäftsführer, aber auch unmittelbar für Verstöße verantwortliche Mitarbeiter, freie Mitarbeiter, Dienstleister oder Auftragsverarbeiter.

Delegierbarkeit des Datenschutzes im Unternehmen
Der Verantwortliche hat einen Datenschutzbeauftragten zu benennen, wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird
  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien oder strafrechtlicher Verurteilungen und Straftraten umfasst
  • mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden
  • Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden

Anforderungen an eine wirksame Delegation
Gegenstand und Umfang der Delegation sind konkret festzulegen und zu dokumentieren. Genau diese Dokumentation kann im Streitfall entscheidend dafür sein, wer die tatsächliche Verantwortung für ein Handeln (oder dessen Ausbleiben) trägt. Die in der DSGVO eingeführte Rechenschaftspflicht verlangt entsprechende Aufzeichnungen.

Anforderungen an die/den Datenschutzbeauftragte/n
Die/der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen sein oder aber auch seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

Der Verantwortliche muss auf jeden Fall sicherstellen, dass die beauftragte Person geeignet ist. Er hat sich darüber zu vergewissern, dass die/der Datenschutzbeauftragte auf Grundlage seiner beruflichen Qualifikationen und insbesondere seines Fachwissens im Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt wird. Sowie auf seiner Fähigkeit zur Erfüllung der in Artikel 9 DSGVO genannten Aufgaben.

Interne/r Datenschutzbeauftragte/r
Die/der interne Datenschutzbeauftragte sollte vor Beginn seiner Tätigkeit in das neue Aufgabenfeld eingewiesen werden. Dies umfasst die Aufklärung über die Pflichten und den korrekten Umgang mit Betriebsmitteln (z.B. Verschlüsselungstechnologie). Die Pflicht zu Aufklärung und Schulung besteht auch dann, wenn davon ausgegangen werden kann, dass der Mitarbeiter schon über einschlägiges Wissen verfügt.

Zusammenfassung
Die Entscheidung ob ein Unternehmen die datenschutzrechtlichen Aufgaben an eine/n interne/n oder externe/n Datenschutzbeauftragte/n delegiert, sollte gut durchdacht werden. Die Verantwortung für den Datenschutz bleibt nach wie vor beim Verantwortlichen, welcher aufgrund der Empfehlungen und Prüfungen der/des Datenschutzbeauftragten die datenschutzrechtlichen Maßnahmen umsetzen lässt. Daher ist es wichtig, dass die beauftragte Person den Anforderungen nach der Datenschutzgrundverordnung entspricht.

Referenzen:

Wissenswertes