Geschäftsführer und Vorstände sind gesetzlich verpflichtet, ihr Unternehmen so zu organisieren, dass es sich an alle geltenden Gesetze hält. Dies ist die sogenannte Legalitätspflicht. Daraus ergibt sich eine allgemeine Compliance-Pflicht, die von der Rechtsprechung in den letzten Jahren immer weiter verschärft wurde.
Ein bekanntes Beispiel ist der Siemens-Neubürger-Fall, in dem das für Compliance zuständige Vorstandsmitglied persönlich für einen Korruptionsfall bei Siemens haftbar gemacht wurde, was tragische Folgen hatte.
Bereits unter der Geltung der Datenschutzrichtlinie vor Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) galt implizit die Legalitätspflicht, sodass eine Pflicht bestand, die Datenschutzgesetze einzuhalten. Dennoch kam es in der Praxis zu vielen Datenschutzverstößen, da insbesondere Fachabteilungen und Mitarbeiter im Tagesgeschäft Rechtsverstöße verursachten.
Um dieses Problem zu beheben, verschärfte die DSGVO die Organisationspflichten von Unternehmen. Grundsätzlich ist das Unternehmen selbst – und nicht etwa der Datenschutzbeauftragte – dafür verantwortlich, alle erforderlichen Maßnahmen zu ergreifen, um die rechtlichen Vorgaben der DSGVO einzuhalten.
Diese Maßnahmen müssen nicht nur umgesetzt, sondern auch nachweislich dokumentiert werden (sog. Rechenschaftspflicht). Wenn eine Datenschutzbehörde ein Unternehmen überprüft, muss das Unternehmen nachweisen können, dass die organisatorischen Maßnahmen zum Datenschutz tatsächlich umgesetzt wurden. Gelingt dieser Nachweis nicht, stellt dies bereits einen Datenschutzverstoß dar.
Besonders brisant für Führungskräfte ist die Tatsache, dass sie auch persönlich für Datenschutzverstöße haftbar gemacht werden können. Führungskräfte tun daher gut daran, das Thema Datenschutz ernst zu nehmen und den Datenschutz innerhalb ihres Unternehmens wirksam zu organisieren.
Gesetzliche Ausgangslage
Nach der gesetzlichen Ausgangslage ist das Unternehmen, also der sogenannte Verantwortliche, dafür zuständig, die Datenschutzmaßnahmen umzusetzen und die Einhaltung sicherzustellen. Diese Rechtspflicht trifft insbesondere den Geschäftsführer oder den Vorstand als Leitungsorgane des Unternehmens.
Die Maßnahmen und Tätigkeiten, die dazu dienen, die Datenschutzvorschriften umzusetzen, werden als Datenschutzmanagementsystem (DSMS) bezeichnet. Jedes Unternehmen im Anwendungsbereich der DSGVO muss ein solches DSMS einrichten. Der Umfang und die Ausgestaltung eines solchen Systems können jedoch stark variieren. Ein datenkritisches, großes Unternehmen wie Facebook muss wesentlich umfangreichere und differenziertere Datenschutzvorkehrungen treffen als ein Handwerksbetrieb mit 30 Mitarbeitern.
Soweit das Unternehmen einen Datenschutzbeauftragten bestellt hat, spielt auch dieser eine Rolle und hat gesetzlich zugewiesene Pflichtaufgaben. Hierzu zählen die Schulung der Mitarbeiter, die Beratung der Geschäftsleitung und die Überwachung der Einhaltung der Datenschutzvorschriften. Nach der gesetzlichen Ausgangslage hat der Datenschutzbeauftragte allerdings nicht die Pflicht, die erforderlichen Maßnahmen umzusetzen. Die gesetzliche Pflicht zur Erstellung und Pflege eines Verfahrensverzeichnisses, zum Abschluss von Auftragsverarbeitungsverträgen, zur Umsetzung angemessener Datensicherheitsmaßnahmen und zur Dokumentation trifft das Unternehmen.
Bei der Beauftragung eines externen Datenschutzbeauftragten sollte daher genau festgelegt werden, welche Aufgaben der Datenschutzbeauftragte übernimmt. Soweit er bei der Wahrnehmung der gesetzlichen Mindestaufgaben bleibt, verbleibt die Pflicht zur Einrichtung und Implementierung eines Datenschutzmanagementsystems beim Unternehmen.
Delegation der Datenschutzaufgaben
Gesetzlich zulässig und häufig auch sinnvoll ist es, dass das Unternehmen die Umsetzung der Datenschutzpflichten delegiert. Aufgaben können sowohl an den Datenschutzbeauftragten als auch an weitere Mitarbeiter delegiert werden.
Die Delegation der Datenschutzaufgaben ist allerdings nur dann wirksam, wenn das Unternehmen den mit den Datenschutzaufgaben betrauten Personen die angemessenen finanziellen und zeitlichen Ressourcen zur Verfügung stellt.
Eine sinnvolle und in der Praxis bewährte Organisation des Datenschutzes sieht in der Grundform die Bestimmung eines verantwortlichen Geschäftsführers, eines internen Umsetzungsverantwortlichen, des sogenannten Datenschutzkoordinators, und die gesetzliche Rolle des Datenschutzbeauftragten vor.
Der Datenschutzbeauftragte hat in der Regel die juristische und praktische Expertise im Datenschutzrecht und vermittelt das nötige Wissen zur Umsetzung an den Datenschutzkoordinator, der die Implementierung innerhalb des Unternehmens übernimmt.
Legalitätspflicht der Geschäftsleitung
Die Geschäftsleitung ist gesetzlich verpflichtet, eine geeignete Aufbauorganisation zu schaffen, um die Einhaltung der Datenschutzvorgaben zu gewährleisten. Die Rolle des Geschäftsführers geht dabei von einer operativen zu einer überwachenden Rolle über.
Soweit es im Geschäftsbetrieb zu Datenschutzverstößen kommt, kann der Geschäftsführer sich hinsichtlich einer persönlichen Haftung exkulpieren, also die Haftung abwehren, indem er nachweist, dass er seinen gesetzlichen Pflichtaufgaben gerecht geworden ist, indem er die operativen Aufgaben delegiert, ein angemessenes Budget bereitgestellt und die Einhaltung übernimmt.
All dies muss er nachweisen können. Die Überwachung kann beispielsweise durch regelmäßigen Austausch mit dem Datenschutzbeauftragten oder durch den Aufbau eines Reporting-Systems erfolgen, bei dem in regelmäßigen Abständen Datenschutzberichte erstellt werden, Abweichungen identifiziert und nötigenfalls Verbesserungsmaßnahmen umgesetzt werden.
Datenschutzrechtliche Organisationspflichten
Die DSGVO verschärft die Pflichten zur Organisation des Datenschutzes. Das Unternehmen muss sicherstellen, dass alle erforderlichen organisatorischen Maßnahmen zur Einhaltung der DSGVO getroffen und nachgewiesen werden. Die Geschäftsleitung bleibt verantwortlich für die Schaffung einer effektiven Datenschutzorganisation und die Bereitstellung ausreichender Ressourcen
Persönliche Haftung der Leitungsorgane
Für Führungskräfte besteht die Möglichkeit einer persönlichen Haftung für Datenschutzverstöße. Sie können sich jedoch von der Haftung entlasten, indem sie nachweisen, dass sie alle notwendigen organisatorischen und rechtlichen Maßnahmen getroffen haben. Dazu gehört auch die klare Delegation von Aufgaben und die Bereitstellung von Ressourcen zur Umsetzung des Datenschutzes.
Haftung der Muttergesellschaft für Tochtergesellschaften
Auch die Muttergesellschaft kann für Datenschutzverstöße ihrer Tochtergesellschaften haftbar gemacht werden, wenn sie nicht nachweisen kann, dass sie die Tochtergesellschaften angemessen überwacht und unterstützt hat. Die Überwachung kann durch ein konzernweites Datenschutzmanagementsystem erfolgen, das auch die Delegation und Überwachung der Datenschutzpflichten einschließt.
Rechtsfolgen der Delegation
Die Rolle des Geschäftsführers geht durch eine solche Organisation von einer operativen in eine überwachende Rolle über. Soweit es dann im Geschäftsbetrieb zu Datenschutzverstößen kommt, kann der Geschäftsführer sich hinsichtlich einer persönlichen Haftung dadurch exkulpieren, indem er darlegen kann, dass er seinen gesetzlichen Pflichtaufgaben gerecht geworden ist: Die operativen Aufgaben wurden delegiert, ein angemessenes Budget und Ressourcen bereitgestellt, und die Einhaltung überwacht.
Praktische Umsetzung und Berichtswesen
Um sicherzustellen, dass alle organisatorischen Maßnahmen eingehalten werden, muss ein effektives Reporting-System aufgebaut werden. Regelmäßige Datenschutzberichte, die Abweichungen identifizieren und nötigenfalls Verbesserungsmaßnahmen umsetzen, helfen dabei, die Einhaltung zu dokumentieren und zu überwachen.
Fazit
Die klare Organisation, Zuweisung von Rollen und Verantwortlichkeiten sowie die Delegation der operativen Datenschutz-Tätigkeiten, die durch die Unternehmensleitung sichergestellt werden müssen, führen einerseits zu einer Haftungsentlastung und ermöglichen andererseits die operative Entlastung der Geschäftsführung im Datenschutz.
Nicht delegierbar ist allerdings die gesetzliche Aufgabe der Geschäftsführung, ein entsprechendes Budget bereitzustellen und für die Einhaltung der Datenschutzbestimmungen Sorge zu tragen. Es empfiehlt sich, diese Rollenverteilung schriftlich niederzulegen und innerhalb des Unternehmens bekannt zu machen.
Orientiert an anerkannten Standards für Management-Systeme sollte dies in einer Datenschutzleitlinie dokumentiert werden. Die Datenschutzleitlinie ist somit das zentrale strategische Dokument für den Aufbau einer angemessenen Datenschutzorganisation.