Trotz vorgeschriebenem Datenschutzbeauftragten bleibt Datenschutz Chefsache

Seit Inkrafttreten der Datenschutzgrundverordnung (DS-GVO), mit der die Bestellung eines Datenschutzbeauftragten (DSB) für viele Unternehmen Pflicht wurde, ist mittlerweile einige Zeit vergangen. Zwischenzeitlich wurde die Bestellpflicht durch eine Novellierung des Bundesdatenschutzgesetzes (BDSG) sogar wieder etwas entschärft. Die praktische Erfahrung in den letzten Jahren zeichnet allerdings ein klares Bild: die Verantwortung für den Schutz personenbezogener Daten ist immens, der Aufwand bei der Umstellung betrieblicher Prozesse sowie der erforderlichen Dokumentation gewaltig und ein rechtskonformer Umgang bei der Verarbeitung der Daten ohne Fachwissen nicht zu bewältigen. Deshalb lassen sich auch viele kleine Unternehmen, die nach dem BDSG nicht (mehr) unter die Bestellpflicht für einen DSB fallen, gern von einem Fachmann für Datenschutz unterstützen, um auf der sicheren Seite zu sein.

Reicht die Bestellung eines DSB aus, um datenschutzrechtlich abgesichert zu sein?

Sind auch Sie der Meinung, dass Sie mit der Bestellung eines Datenschutzbeauftragten Ihre Pflicht in puncto Datenschutz getan haben? Führt die Bestellung eines DSB dazu, dass Ihr Unternehmen datenschutzkonform aufgestellt wird und die Vorgaben der DS-GVO und der anderen Datenschutzvorschriften erfüllt sind? Schließlich kümmert sich der Datenschutzbeauftragte doch um alles Weitere – richtig?

Nein! Die Verantwortung für die Datenverarbeitung und die Einhaltung des Datenschutzes liegt einzig und allein beim Unternehmen selbst, das juristisch in der Regel von seiner Geschäftsführung vertreten wird. Sie kann nicht delegiert werden, weshalb es unerlässlich ist, dass die Geschäftsführung sich trotz Bestellung eines Datenschutzbeauftragten mit dem Thema Datenschutz befasst, um Entscheidungen mit der nötigen Sorgfalt treffen zu können.

Wie die Geschäftsleitung mit dem Thema Datenschutz umgeht hat zudem häufig Einfluss darauf, wie ernst die Mitarbeiter die datenschutzrechtlichen Vorgaben nehmen. Werden den Beschäftigten keine Leitlinien und feste Prozesse an die Hand gegeben, worauf sie im Arbeitsalltag zu achten haben oder mit bestimmten Vorkommnissen umgehen sollen, kann es schnell zu Datenschutzverstößen kommen. Das gleiche gilt, wenn der Arbeitgeber sich offensichtlich selbst nicht ganz an die Datenschutzgesetze hält – wieso sollten die Mitarbeiter sich an bestimmte Vorgaben halten, wenn der Chef es selbst nicht tut und die Einhaltung nicht kontrolliert oder durchsetzt? Umso wichtiger ist es, dass die Führungsebene sich ihrer datenschutzrechtlichen Verantwortung bewusst ist und die Pflichten, die mit der DS-GVO einhergehen, kennt.

Datenschutzbeauftragte sind Berater in datenschutzrechtlichen Angelegenheiten

Die Aufgabe des Datenschutzbeauftragten besteht lediglich darin, die Geschäftsführung bei der Umsetzung des Datenschutzes im Unternehmen zu unterstützen, sie zu beraten, auf Risiken aufmerksam zu machen und entsprechende Maßnahmen zur Behebung von Missständen vorzuschlagen. Die Entscheidung, ob diese Maßnahmen umgesetzt werden oder nicht, liegt allein bei der Geschäftsführung.

Selbstverständlich können einzelne Datenschutzaufgaben im Betriebsalltag an andere Personen wie beispielsweise den Datenschutzkoordinator delegiert werden. Grundsatzentscheidungen, datenschutzrechtliche Leit- und Richtlinien sowie Prozesse zur Einhaltung der datenschutzrechtlichen Vorgaben müssen aber von der Geschäftsführung persönlich getroffen, mitgetragen und implementiert werden. Nur so werden Sie der gesetzlichen Verantwortung gerecht und sorgen dafür, dass auch Ihre Mitarbeiter das Thema Datenschutz ernst nehmen und entsprechende Anforderungen akzeptieren und erfüllen.

Damit die Verarbeitung personenbezogener Daten im gesamten Unternehmen im Einklang mit den rechtlichen Vorgaben erfolgt, muss der Datenschutz von allen Personen im Betriebsalltag gelebt werden – von der Geschäftsleitung bis zum Auszubildenden. Nur, wenn alle Beteiligten für den Datenschutz sensibilisiert sind und wissen, was sie zu tun und zu beachten haben, können die rund 50 Einzelpflichten der DS-GVO erfüllt werden.

Persönliche Haftung der Geschäftsführung möglich!

Bei Verstößen gegen die datenschutzrechtlichen Vorschriften haftet grundsätzlich die verantwortliche Stelle, sowohl für Bußgelder, die nach den Vorgaben der DS-GVO verhängt wurden, als auch für etwaige zivilrechtliche Ansprüche von Betroffenen. Selbst wenn die Geschäftsleitung einzelne Aufgaben delegiert, steht sie datenschutzrechtlich dennoch in der Verantwortung und kann sich nicht darauf berufen, sich nicht selbst darum gekümmert zu haben. Anders gesagt: Unternehmen haften für ihre Mitarbeiter.

Allerdings können bei Pflichtverletzungen im Datenschutzbereich zudem sowohl Geschäftsführer als auch Vorstände persönlich ersatzpflichtig sein. Dies betrifft nicht nur Gesellschafter einer Personengesellschaft, auch die Geschäftsführung einer Kapitalgesellschaft trägt ein persönliches Haftungsrisiko. Sie kann von der Gesellschaft selbst in Regress genommen werden, sollte sie ihrer Sorgfaltspflicht nicht nachkommen.

Nach Ansicht der europäischen Gesetzgeber ist die Einhaltung der datenschutzrechtlichen Vorgaben eine der zentralen Aufgaben der Geschäftsleitung, sodass der strenge Sorgfaltsmaßstab der Generalklausel des § 43 GmbHG bzw. des § 93 Abs. 2 AktG gilt.

D&O-Versicherung sichert nur bedingt ab!

Es besteht für Geschäftsführer und Vorstände zwar die theoretische Möglichkeit, sich mit einer D&O-Versicherung abzusichern, praktisch gibt es bei Datenschutzverstößen aber zwei wesentliche Haken: Zum einen enthalten viele Versicherungen einen Selbstbehalt von meist zehn Prozent der Schadenssumme, was in Anbetracht der hohen Bußgelder nach der DS-GVO und den dazukommenden zivilrechtlichen Schadensersatzforderungen nicht gerade wenig ist. Zum anderen leisten die Versicherungen bei vorsätzlicher Schadensverursachung in der Regel überhaupt nicht. Tun Sie als Vorstand bzw. Geschäftsführer zu wenig für den Datenschutz oder ignorieren Sie die Empfehlungen Ihres Datenschutzbeauftragten, muss Ihnen bewusst sein, dass Sie Datenschutzverstöße billigend in Kauf nehmen – was für eine vorsätzliche Schadensverursachung ausreichend ist.

Fazit: Datenschutz bleibt also auch nach der Bestellung eines Datenschutzbeauftragten Chefsache. Der europäische Gesetzgeber hat die Verantwortung für die Einhaltung der Vorgaben zur Verarbeitung personenbezogener Daten ganz klar der Geschäftsführung eines Unternehmens persönlich auferlegt. Sie muss deshalb dafür Sorge tragen, dass die zahlreichen Pflichten der DS-GVO bei der Verarbeitung personenbezogener Daten eingehalten werden. Der Datenschutzbeauftragte hingegen hat nur eine beratende, unterstützende und überwachende Funktion.