Geht es danach, wer in einer Organisation die Verantwortung für den Datenschutz trägt, richten sich schnell die Augen auf die oder den Datenschutzbeauftragten (DSB). Menschen machen Fehler und schnell ist im „Datenschutz-Alltag“ etwas übersehen. Aber rechtfertigt eine „Datenpanne“ auch eine Abberufung des DSB? 

Beauftragung des DSB für den Datenschutz zieht nicht die Verantwortung nach sich

Die Datenschutz-Grundverordnung (DSGVO) regelt, dass „… dass der (oder die) DSB bei der Erfüllung seiner oder ihrer Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung trägt, wobei er (oder sie) die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt …“.

Die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben sieht die DSGVO also beim „Verantwortlichen“ und nicht beim DSB.

Art. 4 DSGVO definiert diesen als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Dies sind in Behörden, Einrichtungen, Unternehmen die jeweilige Leitung(sebene).

Gegen wen richten sich Sanktionen der DSGVO?

Sanktionen bei Datenschutzverletzungen können sich dann ebenso gegen den Verantwortlichen richten wie Haftungsansprüche Betroffener. So hat unter anderem nach Art. 82 DSGVO jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen und jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. 

Die DSGVO hat auch die Beweislast des Verantwortlichen zu Gunsten des Betroffenen verschärft: So tritt eine Haftungbefreiung nur dann ein, wenn der Betroffenen nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Was umfasst die „Verantwortung des Verantwortlichen“?

Nach Artikel 24 DSGVO umfasst die Verantwortung des Verantwortlichen

  • die Einhaltung der DSGVO,
  • geeignete Schutzmaßnahmen und
  • den Nachweis dafür.

Das verfassungsrechtliche Verhältnismäßigkeitsprinzip sorgt für eine Haftungsbegrenzung:  „Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen“. (Artikel 24 Abs. 2 DSGVO)

Wer ist verantwortlich bei Auftragsverarbeitung?

Die Aufsichtsbehörden für den Datenschutz haben entsprechend klargestellt:

„Die Gesamtverantwortung für die Datenverarbeitung und Nachweispflicht des Verantwortlichen umfasst auch die Verarbeitung durch den Auftragsverarbeiter. Hiervon kann sich der Verantwortliche nicht durch die Beauftragung eines Auftragsverarbeiters befreien.“

Hält sich ein Auftragsverarbeiter aber nicht an die Vorgaben des Verantwortlichen und verstößt er gegen die DSGVO, wird er hingegen selbst zum Verantwortlichen. Auch hier gilt also wieder: Wer über die Zwecke und Mittel der Verarbeitung entscheidet, ist verantwortlich.

Ein Auftragsverarbeiter haftet dann ggf. auch selbst für den Schaden, z.B. wenn er rechtmäßig erteilte Anweisungen des für die Datenverarbeitung Verantwortlichen missachtet oder gegen diese Anweisungen gehandelt hat. Betroffene können sich dann „aussuchen“, ob sie Ihre Ansprüche gegen den Verantwortlichen oder den Auftragsverarbeiter richten. Das Haftungsrisiko für Auftragsverarbeiter ist also durch die DSGVO merklich gestiegen.

Wer haftet bei einem Datenschutzverstoß innerhalb der Organisation?

Die Aufsichtsbehörden für den Datenschutz haben bereits klargestellt, dass Organisationen gem. Art. 83 DSGVO für schuldhafte Datenschutzverstöße ihrer Beschäftigten haften, sofern es sich nicht um einen Exzess, d.h. ein sehr deutliches Überschreiten der Vorgaben im Unternehmen (z.B. wenn ein vorsätzlich schädigendes Verhalten des gegen den Datenschutz verstoßenden. Beschäftigten vorliegt) handelt. Dabei ist nicht erforderlich, dass für die konkrete Handlung ein gesetzlicher Vertreter oder eine Leitungsperson (mit-)verantwortlich ist.

Die Geschäftsleitung als verantwortliche Stelle kann also in aller Regel nicht pauschal auf bestehende Aufgabendelegation verweisen.

In der Konsequenz bedeutet dies: Für die Abberufung des DSB muss also immer ein wichtiger Grund in der Person vorliegen. Dies kann z.B. dann vorliegen, wenn der DSB auf ihm in seiner Tätigkeit bekannt werdende Missstände weder (ggf. wiederholt) hinweist noch Abhilfe verlangt. Insoweit gelten wieder die allgemeinen arbeitsrechtlichen Maßstäbe für fachliche Experten.

Fazit

Die Frage, wer für welche Datenschutzverstöße innerhalb einer Organisation „haftet“, ist keine einfach zu beantwortende Frage und bedarf stets der individuellen (juristischen) Betrachtung. Die DSGVO ist noch ein junges Recht und es wird Aufgabe der Rechtsprechung sein, die unbestimmten Rechtsbegriffe im Haftungsrecht mit „Leben zu füllen“. Die Erfüllung des Datenschutzrechts stellt nach wie vor die beste „Versicherung“ gegen die Unwägbarkeiten dar. Dabei unterstützen wir Sie gerne.

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more
    Hinweisgebersysteme müssen eingerichtet werden

    Hinweisgebersysteme müssen eingerichtet werden

    Am 17.12.2021 hätte die Whistleblower-Richtlinie (EU) 2019/1937 in nationales Recht umgesetzt werden müssen. Der deutsche Gesetzgeber ist dem bis jetzt jedoch nicht nachgekommen. Die Richtlinie soll es Arbeitnehmern und anderen Beteiligten ermöglichen, mittels eines...

    read more
    Datenschutz-Risiken bei der externen IT-Betreuung

    Datenschutz-Risiken bei der externen IT-Betreuung

    Ob Server oder Laptop, Büro oder Home-Office – laufender Support auch aus der Ferne ist für die Gewährleistung eines sicheren IT-Betriebs und Datensicherheit unverzichtbar.  Zahlreiche Verantwortliche betrachten dabei nur die technischen Aspekte und übersehen, dass...

    read more
    „Privacy by Design“ zwischen Wunsch und Wirklichkeit

    „Privacy by Design“ zwischen Wunsch und Wirklichkeit

    Die Forderung nach Datenschutz durch Technikgestaltung hat eine zentrale Bedeutung in der Datenschutz-Grundverordnung (DSGVO). So manches Software-Produkt fällt negativ auf, weil Anforderungen aus dem Datenschutz bei der Entwicklung nicht beachtet wurden.  Die DSGVO...

    read more