Die Aufregung um die neuen datenschutzrechtlichen Regelungen nach Wirksamwerden der EU-Datenschutz-Grundverordnung (DSGVO) scheint sich etwas zu legen. Dies verwundert, lässt sich doch andererseits feststellen, dass immer mehr und immer höhere Bußgelder wegen nicht eingehaltener Datenschutzbestimmungen verhängt werden. Gerät ein Unternehmen in den Fokus der Datenschützer, stellt sich schnell die Frage der internen Verantwortlichkeit und in der Folge auch der Haftung.
Durch die Behörden verhängte Bußgelder richten sich längst nicht mehr nur an große Unternehmen, wie das Kommunikationsunternehmen 1&1, welchem eine Strafe von EUR 9,6 Mio. auferlegt wurde, oder wie die Deutsche Wohnen, bei der es sogar EUR 14,5 Mio. waren. Auch mittelständische Unternehmen geraten mehr und mehr in den Fokus der Datenschützer. Die Anknüpfungspunkte sind dabei vielfältig. So musste ein Krankenhausbetreiber eine Strafe von EUR 400.000,00 zahlen, weil unnötig viele Personen Zugriff auf Patientendaten hatten. Strafen wurden außerdem fällig, weil unnötig viele Daten verarbeitet wurden oder weil Daten unnötig lange gespeichert wurden. Die Höhe möglicher Geldbußen beträgt bis zu EUR 20 Mio. oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
Auch die Datenschutzerklärungen (DSE) der Unternehmen rücken in den Fokus der Aufsicht. Problematisch hierbei ist, dass zahlreiche Unternehmen im Jahr 2008 bei Wirksamwerden der DSGVO hektisch auf standardisierte DSE zurückgegriffen haben, die nicht auf den konkreten Einzelfall eingehen.
Häufig anzutreffende Beispiele aus DSE sind:
„Verarbeiten wir Ihre Daten zum Zwecke der Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, ist Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. b) DSGVO.“
„Wenn Sie mit uns in Kontakt treten, kann es dazu kommen, dass personenbezogene Daten verarbeitet werden. Personenbezogene Daten können sein z.B. Name, Anschrift, Geburtsdatum etc.“
Derartige Formulierungen sind bloße Leerfloskeln, also nichts anderes als das sprichwörtliche Feigenblatt. Sie wiederholen lediglich das, was ohnehin schon abstrakt-generell in der DSGVO geregelt ist. Welche konkreten Daten in welchem konkreten Einzelfall und auf welcher konkreten Rechtsgrundlage verarbeitet werden, erfährt der Adressat der DSE nicht.
Gerät ein Unternehmen in den Fokus der Datenschutz-Aufsicht und muss es sogar Bußgelder befürchten, stellt sich schnell die Frage nach der internen Verantwortlichkeit im Unternehmen und in der Folge ggf. auch die Frage nach einer persönlichen Haftung. So dürften beispielsweise Gesellschafter wenig „begeistert“ von verhängten Geldbußen sein und über eine Inanspruchnahme der Geschäftsführung nachdenken. Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden, so formuliert es das Gesetz in § 43 Abs. 2 Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG). Obliegenheit der Geschäftsführung ist es eben auch, die gesetzlichen Vorgaben zum Datenschutz einzuhalten.
Natürlich muss nicht jeder Geschäftsleiter nun auch Datenschutzprofi sein. Verfügt er jedoch nicht über die notwendigen Kenntnisse, muss er zumindest dafür Sorge tragen, dass – interne oder externe – Expertise hinzugezogen wird. In der Praxis geschieht dies häufig durch die Beauftragung eines Datenschutzbeauftragten (DSB). Unternehmen, bei denen in der Regel mindestens 20 Personen (vormals waren es 10) ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, sind ohnehin verpflichtet, einen DSB zu bestellen. Die in der Praxis beliebte Variante, einen im Datenschutz unqualifizierten Mitarbeiter zum DSB zu bestellen, ist dabei nicht zu empfehlen. Immerhin muss die Geschäftsleitung dafür Sorge tragen, dass nur ein hinreichend qualifizierter DSB bestellt wird.
Aufgabe des DSB ist es nach Art. 39 DSGVO, den Verantwortlichen im Hinblick auf die datenschutzrechtlichen Pflichten zu unterrichten und zu beraten (der DSB ist nur Berater und nicht selbst Verantwortlicher!). Er hat außerdem die Aufgabe, die Vorgänge im Unternehmen zu prüfen und notwendigen Anpassungsbedarf zu empfehlen. Kommt die Geschäftsleitung seinen Empfehlungen nicht nach, trifft den DSB keine Haftung im Fall von Datenschutzverstößen. Erfüllt der DSB seine Pflichten hingegen nicht oder schlecht (beispielsweise, weil er erkennbare Datenschutzverstöße nicht anspricht oder falsche Auskünfte gibt), kann ihn eine vertragliche Haftung gegenüber dem ihn beauftragenden Unternehmen treffen. Über diesen Umweg kann sich ein von einer Geldbuße betroffenes Unternehmen diese beim DSB „wiederholen“ (auch dies ein Grund, warum ein externer DSB zu empfehlen ist). Sowohl Geschäftsleitung als auch DSB sind daher gut beraten, das Thema Datenschutz ernst zu nehmen und insbesondere für eine ausreichende Dokumentation eigenen Handelns zu sorgen, um im Schadensfall auch die Einhaltung der eigenen Pflichten nachweisen zu können.