Geht es danach, wer in einer Organisation die Verantwortung für den Datenschutz trägt, richten sich schnell die Augen auf die oder den Datenschutzbeauftragten (DSB). Menschen machen Fehler und schnell ist im „Datenschutz-Alltag“ etwas übersehen. Aber rechtfertigt eine „Datenpanne“ auch eine Abberufung des DSB?
Beauftragung des DSB für den Datenschutz zieht nicht die Verantwortung nach sich
Die Datenschutz-Grundverordnung (DSGVO) regelt, dass „… dass der (oder die) DSB bei der Erfüllung seiner oder ihrer Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung trägt, wobei er (oder sie) die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt …“.
Die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben sieht die DSGVO also beim „Verantwortlichen“ und nicht beim DSB.
Art. 4 DSGVO definiert diesen als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
Dies sind in Behörden, Einrichtungen, Unternehmen die jeweilige Leitung(sebene).
Gegen wen richten sich Sanktionen der DSGVO?
Sanktionen bei Datenschutzverletzungen können sich dann ebenso gegen den Verantwortlichen richten wie Haftungsansprüche Betroffener. So hat unter anderem nach Art. 82 DSGVO jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen und jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
Die DSGVO hat auch die Beweislast des Verantwortlichen zu Gunsten des Betroffenen verschärft: So tritt eine Haftungbefreiung nur dann ein, wenn der Betroffenen nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Was umfasst die „Verantwortung des Verantwortlichen“?
Nach Artikel 24 DSGVO umfasst die Verantwortung des Verantwortlichen
- die Einhaltung der DSGVO,
- geeignete Schutzmaßnahmen und
- den Nachweis dafür.
Das verfassungsrechtliche Verhältnismäßigkeitsprinzip sorgt für eine Haftungsbegrenzung: „Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen“. (Artikel 24 Abs. 2 DSGVO)
Wer ist verantwortlich bei Auftragsverarbeitung?
Die Aufsichtsbehörden für den Datenschutz haben entsprechend klargestellt:
„Die Gesamtverantwortung für die Datenverarbeitung und Nachweispflicht des Verantwortlichen umfasst auch die Verarbeitung durch den Auftragsverarbeiter. Hiervon kann sich der Verantwortliche nicht durch die Beauftragung eines Auftragsverarbeiters befreien.“
Hält sich ein Auftragsverarbeiter aber nicht an die Vorgaben des Verantwortlichen und verstößt er gegen die DSGVO, wird er hingegen selbst zum Verantwortlichen. Auch hier gilt also wieder: Wer über die Zwecke und Mittel der Verarbeitung entscheidet, ist verantwortlich.
Ein Auftragsverarbeiter haftet dann ggf. auch selbst für den Schaden, z.B. wenn er rechtmäßig erteilte Anweisungen des für die Datenverarbeitung Verantwortlichen missachtet oder gegen diese Anweisungen gehandelt hat. Betroffene können sich dann „aussuchen“, ob sie Ihre Ansprüche gegen den Verantwortlichen oder den Auftragsverarbeiter richten. Das Haftungsrisiko für Auftragsverarbeiter ist also durch die DSGVO merklich gestiegen.
Wer haftet bei einem Datenschutzverstoß innerhalb der Organisation?
Die Aufsichtsbehörden für den Datenschutz haben bereits klargestellt, dass Organisationen gem. Art. 83 DSGVO für schuldhafte Datenschutzverstöße ihrer Beschäftigten haften, sofern es sich nicht um einen Exzess, d.h. ein sehr deutliches Überschreiten der Vorgaben im Unternehmen (z.B. wenn ein vorsätzlich schädigendes Verhalten des gegen den Datenschutz verstoßenden. Beschäftigten vorliegt) handelt. Dabei ist nicht erforderlich, dass für die konkrete Handlung ein gesetzlicher Vertreter oder eine Leitungsperson (mit-)verantwortlich ist.
Die Geschäftsleitung als verantwortliche Stelle kann also in aller Regel nicht pauschal auf bestehende Aufgabendelegation verweisen.
In der Konsequenz bedeutet dies: Für die Abberufung des DSB muss also immer ein wichtiger Grund in der Person vorliegen. Dies kann z.B. dann vorliegen, wenn der DSB auf ihm in seiner Tätigkeit bekannt werdende Missstände weder (ggf. wiederholt) hinweist noch Abhilfe verlangt. Insoweit gelten wieder die allgemeinen arbeitsrechtlichen Maßstäbe für fachliche Experten.
Fazit
Die Frage, wer für welche Datenschutzverstöße innerhalb einer Organisation „haftet“, ist keine einfach zu beantwortende Frage und bedarf stets der individuellen (juristischen) Betrachtung. Die DSGVO ist noch ein junges Recht und es wird Aufgabe der Rechtsprechung sein, die unbestimmten Rechtsbegriffe im Haftungsrecht mit „Leben zu füllen“. Die Erfüllung des Datenschutzrechts stellt nach wie vor die beste „Versicherung“ gegen die Unwägbarkeiten dar. Dabei unterstützen wir Sie gerne.
