Das Missverständnis von der umfassenden Verantwortung des Datenschutzbeauftragten

veröffentlicht am 31. August 2021

Wer trägt eigentlich die Verantwortung für die Einhaltung des Datenschutzes im Unternehmen? Es ist ein Missverständnis zu glauben, die Verantwortung läge beim Datenschutzbeauftragten. Sie liegt bei der Geschäftsführung und sollte in der Linienorganisation zuverlässig auf die operativ verantwortlichen Führungskräfte delegiert werden.
 
„Für den Datenschutz haben wir doch unseren Datenschutzbeauftragten.” Auch wenn dieser Satz selten so ausgesprochen wird, spürt man gelegentlich, dass Geschäftsleitung und Belegschaft in den Unternehmen der Gesundheits- und Sozialwirtschaft tatsächlich so denken: Wenn man ohnehin eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen muss, dann wird es doch auch ihre oder seine Aufgabe sein, sich um die Einhaltung des Datenschutzes zu kümmern, oder?

Nicht ganz! Aus der Verantwortungszuweisung an den Verantwortlichen in Art. 24 Abs. 1 DSGVO und der Unterscheidung zwischen dem Verantwortlichen und dem Datenschutzbeauftragten ergibt sich schon, dass eine direkte Weisungskompetenz des Datenschutzbeauftragten in der Organisation nicht existiert. Die Aufgabe des Datenschutzbeauftragten ist gem. Art. 39 Abs. 1 Buchst. b DSGVO lediglich die Überwachung der Einhaltung des Datenschutzrechts im Unternehmen. Daneben soll er zwar auch beratend für die verschiedenen Fachbereiche des Verantwortlichen tätig sein und als zentrale Anlaufstelle für die Aufsichtsbehörden fungieren. Dies führt im Ergebnis jedoch nur dazu, dass durch den Datenschutzbeauftragten ausschließlich eine Empfehlung an den Verantwortlichen erfolgt, der dann seinerseits entscheidet und ggf. Weisungen erteilen kann. Im ersten Schritt fällt die Rolle des Verantwortlichen also vielmehr dem gesetzlichen Vertreter einer Organisation zu, also Geschäftsführung oder Vorstand. Dies übrigens unabhängig davon, ob dieser hauptamtlich oder ehrenamtlich tätig ist.

Mit Ausnahme von Kleinstunternehmen ist eine persönliche Wahrnehmung dieser Verantwortung durch den gesetzlichen Vertreter in der Regel jedoch nicht möglich, da die Organisation eines Sozialunternehmens, eines Krankenhauses oder einer Pflegeeinrichtung dafür viel zu komplex ist. Hinzu kommt, dass die für den Datenschutz zur Verfügung stehenden Zeitressourcen eines Geschäftsführers es regelmäßig nicht erlauben, sich persönlich um die Einhaltung der datenschutzrechtlichen Vorgaben in allen Bereichen und Abteilungen zu kümmern.

Daher ist unbedingt anzuraten, dass die datenschutzrechtliche Compliance des Unternehmens – übrigens ebenso wie die Compliance in allen anderen wesentlichen Rechtsgebieten – eine arbeitsrechtlich verbindliche Grundlage für die Führungskräfte ist, beispielsweise als regelmäßige Formulierung der Stellenbeschreibung von Bereichs- oder Abteilungsleitern. Im Rahmen des Datenschutzmanagementsystems ist ebenfalls dafür zu sorgen, dass der Datenschutzbeauftragte fachlich unabhängig agieren kann und ihm für die Erfüllung seiner Aufgaben auch die erforderlichen Ressourcen zur Verfügung gestellt werden.

Das Fehlen einer internen Delegation der Zuständigkeit für die Datenschutzeinhaltung kann im Fall eines Datenschutzverstoßes als ein Organisationsverschulden des Verantwortlichen ausgelegt werden. Damit würde sich ein Indiz dafür ergeben, dass der Verantwortliche insgesamt seinen Sorgfaltspflichten i.S.v. Art. 5 Abs. 1 DSGVO nicht nachkommt, wodurch ein entsprechend empfindliches Bußgeld nicht auszuschließen wäre.

Ihre Branchenexperten für die Gesundheits- und Sozialwirtschaft bei Rödl & Partner helfen im Bedarfsfall bei der rechtssicheren Abbildung datenschutzrechtlicher Zuständigkeiten in Stellenbeschreibungen oder Arbeitsverträgen. Sprechen Sie uns gerne unverbindlich an. Wir finden eine Lösung für Ihre Herausforderungen.

Hier finden Sie mehr Artikel aus der Rubrik „Datenschutzthema des Monats” »