Trotz vorgeschriebenem Datenschutzbeauftragten bleibt Datenschutz Chefsache

Ein Jahr ist die Datenschutzgrundverordnung, kurz DS-GVO, nun in Kraft. Die Bestellung eines Datenschutzbeauftragten (DSB) wurde damit in Deutschland für die meisten Unternehmen zur Pflicht. Aber auch viele kleine Unternehmen, die nach dem nach wie vor gültigen Bundesdatenschutzgesetz (BDSG) nicht unter die Bestellpflicht für einen DSB fallen, lassen sich gern von einem Fachmann für Datenschutz unterstützen, um auf der sicheren Seite zu sein.

Reicht die Bestellung eines DSB aus, um datenschutzrechtlich abgesichert zu sein?

Sind auch Sie der Meinung, dass Sie mit der Bestellung eines Datenschutzbeauftragten Ihre Pflicht in puncto Datenschutz getan haben? Führt die Bestellung eines DSB dazu, dass Ihr Unternehmen datenschutzkonform aufgestellt wird und die Vorgaben der DS-GVO und der anderen Datenschutzvorschriften erfüllt sind? Schließlich kümmert sich der Datenschutzbeauftragte doch um alles Weitere – richtig?
Nein! Die Verantwortung für die Datenverarbeitung und die Einhaltung des Datenschutzes liegt einzig und allein beim Unternehmen selbst, das juristisch in der Regel von seiner Geschäftsführung vertreten wird. Sie kann nicht delegiert werden, weshalb es unerlässlich ist, dass die Geschäftsführung sich trotz Bestellung eines Datenschutzbeauftragten mit dem Thema Datenschutz befasst, um Entscheidungen mit der nötigen Sorgfalt treffen zu können.

Datenschutzbeauftragte sind Berater in datenschutzrechtlichen Angelegenheiten

Die Aufgabe des Datenschutzbeauftragten besteht lediglich darin, die Geschäftsführung bei der Umsetzung des Datenschutzes im Unternehmen zu unterstützen, sie zu beraten, auf Risiken aufmerksam zu machen und entsprechende Maßnahmen zur Behebung von Missständen vorzuschlagen. Die Entscheidung, ob diese Maßnahmen umgesetzt werden oder nicht, liegt allein bei der Geschäftsführung.
Selbstverständlich können einzelne Datenschutzaufgaben im Betriebsalltag an andere Personen wie beispielsweise den Datenschutzkoordinator delegiert werden. Grundsatzentscheidungen, datenschutzrechtliche Leit- und Richtlinien sowie Prozesse zur Einhaltung der datenschutzrechtlichen Vorgaben müssen aber von der Geschäftsführung persönlich getroffen, mitgetragen und implementiert werden. Nur so werden Sie der gesetzlichen Verantwortung gerecht und sorgen dafür, dass auch Ihre Mitarbeiter das Thema Datenschutz ernst nehmen und entsprechende Anforderungen akzeptieren und erfüllen.

Persönliche Haftung der Geschäftsführung möglich!

Bei Pflichtverletzungen im Datenschutzbereich können sowohl Geschäftsführer als auch Vorstände persönlich ersatzpflichtig sein. Dies betrifft nicht nur Gesellschafter einer Personengesellschaft, auch die Geschäftsführung einer Kapitalgesellschaft trägt ein persönliches Haftungsrisiko. Sie kann von der Gesellschaft selbst in Regress genommen werden, sollte sie ihrer Sorgfaltspflicht nicht nachkommen.

Nach Ansicht der europäischen Gesetzgeber ist die Einhaltung der datenschutzrechtlichen Vorgaben eine der zentralen Aufgaben der Geschäftsleitung, sodass der strenge Sorgfaltsmaßstab der Generalklausel des § 43 GmbHG bzw. des § 93 Abs. 2 AktG gilt.

D&O-Versicherung sichert nur bedingt ab!

Es besteht für Geschäftsführer und Vorstände zwar die theoretische Möglichkeit, sich mit einer D&O-Versicherung abzusichern, praktisch gibt es bei Datenschutzverstößen aber zwei wesentliche Haken: Zum einen enthalten viele Versicherungen einen Selbstbehalt von meist zehn Prozent der Schadenssumme, was in Anbetracht der hohen Bußgelder nach der DS-GVO und den dazukommenden zivilrechtlichen Schadensersatzforderungen nicht gerade wenig ist. Zum anderen leisten die Versicherungen bei vorsätzlicher Schadensverursachung in der Regel überhaupt nicht. Tun Sie als Vorstand bzw. Geschäftsführer zu wenig für den Datenschutz oder ignorieren Sie die Empfehlungen Ihres Datenschutzbeauftragten, muss Ihnen bewusst sein, dass Sie Datenschutzverstöße billigend in Kauf nehmen – was für eine vorsätzliche Schadensverursachung ausreichend ist.

Fazit: Datenschutz bleibt also auch nach der Bestellung eines Datenschutzbeauftragten Chefsache. Der europäische Gesetzgeber hat die Verantwortung für die Einhaltung der Vorgaben zur Verarbeitung personenbezogener Daten ganz klar der Geschäftsführung eines Unternehmens persönlich auferlegt. Sie muss deshalb dafür Sorge tragen, dass die zahlreichen Pflichten der DS-GVO bei der Verarbeitung personenbezogener Daten eingehalten werden. Der Datenschutzbeauftragte hingegen hat nur eine beratende, unterstützende und überwachende Funktion.