Die Geschäftsführungen sollten ihre internen Datenschutzbeauftragten (DSB) im Blick haben und regelmäßig Meetings mit ihnen abhalten, um sich über den aktuellen Stand in Sachen Datenschutz informieren zu lassen. Schnell kann eine Schlafmütze als DSB zum Problem der Geschäftsführung werden.
Kompetenz
Seit dem 25. Mai 2018, seitdem die Datenschutzgrundverordnung (DSGVO) angewendet wird, sind exakt fünf Monate vergangen. Eine meiner vielen gewonnenen Erkenntnisse ist, dass sich nicht alle DSB in Unternehmen ihrer Aufgaben bewusst sind. Womöglich verfügt jemand nicht über die nötige Fachkunde. Vielleicht ist aber auch die eine oder andere Person einfach so in diese Funktion hineingeschubst worden?
Wenn ein Verantwortlicher einem Mitarbeiter die Rolle des DSB einfach so auferlegt, sollte er dabei bedenken, dass letztendlich immer er selbst laut DSGVO verantwortlich bleibt. Auch für das Tun (oder Nichttun) des DSB trägt die Geschäftsführung die Verantwortung.
Mit dieser gesetzlichen Pflicht sollte jeder Chef für die Kompetenz des DSB sorgen, indem seine ständige Weiterbildung auf diesem Gebiet ermöglicht und gefördert wird. Nur dann wird dieser in der Lage sein, seine Aufgaben auch DSGVO-konform umsetzen zu können.
Haftung
So oder so ist immer die Geschäftsführung die verantwortliche Person im Sinne der DSGVO, die datenschutzrelevante Ereignisse zu verantworten hat, nicht der DSB. Dieser hat bloß dafür zu sorgen, dass die Umsetzung der DSGVO und des BDSG im Unternehmen erfolgt. Nur wenn der DSB grob fahrlässig oder vorsätzlich handelt, ist er als Mitarbeiter beschränkt haftend. Dann findet das Bürgerliche Gesetzbuch (BGB) seine Anwendung. Bei einem externen DSB sieht das schon wieder ganz anders aus.
Haftung des externen Datenschutzbeauftragten
Der externe Datenschutzbeauftragte haftet für jegliches Verschulden im Zusammenhang mit der Wahrnehmung seiner Aufgaben.
»Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben.« Art. 37 Abs. 5 DSGVO
Zu den Aufgaben des DSB zählen unter anderem:
- Unterrichtung und Beratung des Verantwortlichen
- Überwachung der Einhaltung der DSGVO
- Sensibilisierung und Schulung der Mitarbeiter
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung
Fazit
In Haftungsfragen liegt der Vorteil ganz klar bei der Bestellung eines externen Datenschutzbeauftragten, der auch noch per se die notwendige Fachkunde mit sich bringt.