Verantwortlicher
Verantwortlicher im Sinne des Datenschutzes ist diejenige natürliche oder juristische Person oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Die betreffende Stelle trägt einzig und allein die Verantwortung für die Einhaltung und Umsetzung der datenschutzrechtlichen Vorschriften. In der Regel ist das jeweilige Unternehmen, das juristisch durch seine Geschäftsführung vertreten wird, die verantwortliche Stelle im Sinne der DS-GVO.
Die Verantwortung für die Verarbeitung personenbezogener Daten kann nicht delegiert werden. Deshalb ist es unerlässlich, dass sich die Geschäftsführung als faktisch Verantwortlicher mit dem Thema Datenschutz auseinandersetzt und über alle notwendigen Kenntnisse verfügt, um Entscheidungen mit der nötigen Sorgfalt treffen zu können.
Aufgaben des Verantwortlichen
Es gibt etliche datenschutzrechtliche Aufgaben, die im Alltag an andere Personen wie den Datenschutzkoordinator oder an untergeordnete Führungskräfte delegiert werden können. Die Grundsatzentscheidungen, datenschutzrechtliche Leit- und Richtlinien sowie Prozesse zur Einhaltung der datenschutzrechtlichen Vorgaben müssen aber von den Geschäftsführern persönlich getroffen, mitgetragen und implementiert werden. Nur so wird der Verantwortliche seiner gesetzlichen Verantwortung gerecht und sorgt dafür, dass auch die Mitarbeiter das Thema Datenschutz ernst nehmen und entsprechende Anforderungen akzeptieren und erfüllen. Folgende Aufgaben bzw. Fragen müssen in der Regel von der Geschäftsführung bearbeitet oder beantwortet werden:
- Bestellung des Datenschutzbeauftragen und Abschluss des Dienstleistungsvertrags
- Ziele, Dauer und Umfang des Datenschutzprojekts
- Abschluss und Inhalt einer EDV-Nutzungsvereinbarung
- Erstellung oder Prüfung des Datenschutzkonzepts
- Vorgabe von datenschutzrechtlichen Leit- und Richtlinien
- Implementieren eines Datenschutzmanagements
- Umstellung von betrieblichen Prozessen zur Berücksichtigung des Datenschutzes
- Entscheidung über die Umsetzung empfohlener Maßnahmen
- Einzelfallentscheidungen bei unterschiedlichen Möglichkeiten mit verschieden hohem Risiko
- Meldung eines Datenschutzvorfalls und Information der betroffenen Personen
Haftung des Verantwortlichen
Selbst wenn der Verantwortliche einzelne Aufgaben delegiert, steht er datenschutzrechtlich dennoch in der Verantwortung und kann sich nicht darauf berufen, sich nicht selbst darum gekümmert zu haben.
Im Datenschutzbereich können bei Pflichtverletzungen sowohl Geschäftsführer als auch Vorstände persönlich schadensersatzpflichtig sein, sollten sie ihrer Sorgfaltspflicht nicht nachkommen. Dies betrifft nicht nur Gesellschafter einer Personengesellschaft, auch die Geschäftsführung einer Kapitalgesellschaft trägt ein persönliches Haftungsrisiko. Schadensersatzforderungen und Bußgelder richten sich zwar stets direkt an die Gesellschaft, diese kann den Geschäftsführer aber in Regress nehmen.
Nach Ansicht der europäischen Gesetzgeber ist die Einhaltung der datenschutzrechtlichen Vorgaben eine der zentralen Aufgaben der Geschäftsleitung, sodass der strenge Sorgfaltsmaßstab der Generalklausel des § 43 GmbHG bzw. des § 93 Abs. 2 AktG gilt.