x Hilfe schließen

Nicht Ihr Job: Die Verantwortung für die Datenschutzumsetzung

Nicht Ihr Job: Die Verantwortung für die Datenschutzumsetzung © fotolia, fotogestoeber

Ist die Tätigkeit des Datenschutzbeauftragten seit der DSGVO mit erheblichen (Haltungs-) Risiken verbunden? Muss man als Datenschutzbeauftragter damit rechen, selbst Bußgelder tragen zu müssen oder gar vor dem Strafrichter zu landet?

Über den Autor

Mehr als 12 Jahre Berufserfahrung als Vollzeit-Datenschützer im Unternehmen. Darüber hinaus ist er seit vielen Jahren als Chefredakteur von "Datenschutz aktuell" tätig und zeigt seinen Lesern wie sich Datenschutz pragmatisch umsetzen lässt.

Frage: Ich bin etwas verwirrt: Letzte Woche war ich bei einer Informationsveranstaltung einer Rechtsanwaltskanzlei. Dort habe ich gehört, dass die Tätigkeit des Datenschutzbeauftragten seit dem 25.05.2018 mit erheblichen (Haltungs-) Risiken verbunden ist. Dies soll sich auch aus der Formulierung des Art. 39 Datenschutz-Grundverordnung (DSGVO) ergeben, wonach der Datenschutzbeauftragte die Einhaltung der Verordnung und anderer Datenschutzvorschriften überwachen soll. Diese Formulierung hätte der Gesetzgeber auch für andere Beauftragte zu speziellen Themen gewählt. Ähnlich wie der Compliance-Beauftragte müsse man damit rechnen, dass man selbst Bußgelder tragen muss oder gar vor dem Strafrichter landet. Um die Risiken zu minimieren, könne man die Dienste der Spezialisten der Rechtsanwaltskanzlei in Anspruch nehmen. Ist an diesem Szenario etwas dran oder will man hier nur Geschäft generieren?

Antwort: An der Einschätzung, dass die betreffende Kanzlei Neukundengeschäft generieren will, könnte durchaus etwas dran sein. Generell ist es so, dass die Umsetzung der datenschutzrechtlichen Anforderungen Sache des Verantwortlichen ist. Da gibt es vom Grundsatz her auch keinen Unterschied zur früheren Situation vor der DSGVO, in der das Unternehmen die Verantwortung für die Einhaltung der Regelungen zum Datenschutz trug. Als Datenschutzbeauftragter hatten Sie früher einen Hinwirkungsauftrag. Das Hinwirken bestand in erster Linie im Beraten in Datenschutzfragen, in der Sensibilisierung von Beschäftigten und in der Kontrolle von Verfahren zur Verarbeitung personenbezogener Daten. In Zeiten der DSGVO ändert sich hier nichts Wesentliches, auch wenn die DSGVO in Art. 39 eher von einem Überwachungsauftrag spricht.

Den Begriff der Überwachung in Art. 39 Abs. 1 Buchst. b DSGVO interpretieren manche Juristen – wahrscheinlich auch diese Kanzlei – so, dass den Datenschutzbeauftragten eine Verantwortung trifft. Wahrscheinlich sieht man hier Parallelen zum Compliance- Officer, den unter Umständen eine gewisse Verantwortung und Haftung treffen können. Vor allem unter strafrechtlichen Gesichtspunkten kann den Compliance-Officer eine Garantenpflicht treffen, sprich: er muss gewissermaßen dafür sorgen, dass es nicht zu Gesetzesverstößen kommt. Inwieweit beide Funktionen vergleichbar sind, kann derzeit wohl niemand sagen. Einschlägige Rechtsprechung zur Verantwortung des Datenschutzbeauftragten für das Fehlverhalten anderer Personen gibt es bislang nicht.

Aufsichtsbehörden sehen Sie nicht in der Verantwortung

Dass man Neukundengeschäft generieren will, können Sie vielleicht aus Folgendem schließen: Möglicherweise hat die Rechtsanwaltskanzlei nicht erwähnt, dass die Art.-29-Datenschutzgruppe in ihrem Arbeitspapier (Workingpaper) 243 vom 13.12.2016 zur Funktion und zu den Aufgaben des Datenschutzbeauftragten keine Verantwortung beim Datenschutzbeauftragten sieht. Folglich hat man Ihnen eine wichtige und möglicherweise entscheidende Information vorenthalten.

Bildquelle: fotolia, Urheber: fotogestoeber 

© 2019 TeachToProtect