Die Rolle des Datenschutzbeauftragten
Ein Datenschutzbeauftragter (DSB) ist im Unternehmen die Schnittstelle zwischen Datenschutzrecht und Unternehmenspraxis. Seine Hauptaufgabe liegt darin, die Einhaltung der DSGVO und anderer relevanter Datenschutzgesetze sicherzustellen. Dabei gilt:
- Der DSB agiert unabhängig.
- Er berichtet direkt an die Geschäftsführung – ohne Zwischenschritte.
- Seine Rolle ist beratend und überwachend, nicht jedoch operativ umsetzend.
Die Geschäftsführung bleibt stets in der Gesamtverantwortung. Der DSB weist auf Risiken und Verstöße hin, die Umsetzung obliegt jedoch dem Unternehmen selbst.
Welche konkreten Aufgaben ein Datenschutzbeauftragter in der Praxis übernimmt, erfahren Sie im Beitrag „Aufgaben eines Datenschutzbeauftragten“.
Verantwortung gegenüber der Geschäftsleitung
Ein zentrales Element der Verantwortung besteht im Reporting: Erkennt der DSB datenschutzwidrige Vorgänge, muss er diese unverzüglich der Geschäftsleitung mitteilen. Nur so kann das Unternehmen rechtzeitig reagieren und Verstöße abstellen. Unterlassen wird zu einem Kernrisiko: Wer Verstöße erkennt, aber nicht meldet, verletzt seine Pflicht.
Das kann zwei Folgen haben:
- Verstoß wurde übersehen – fehlende Sorgfaltspflicht.
- Verstoß wurde erkannt, aber nicht weitergegeben – Verletzung der Hinweispflicht.
Haftungsfragen: Interner vs. externer Datenschutzbeauftragter
Die Frage nach der Haftung unterscheidet sich maßgeblich zwischen internen und externen Datenschutzbeauftragten:
Interner Datenschutzbeauftragter
Als Arbeitnehmer genießt ein interner Datenschutzbeauftragter den Vorteil der haftungsrechtlichen Privilegierung. Persönliche Haftung tritt in der Regel nur bei grober Fahrlässigkeit oder vorsätzlichem Fehlverhalten ein. Kleinere Fehler, etwa eine verspätete Reaktion, führen normalerweise nicht zu einer persönlichen Inanspruchnahme – selbst wenn das Unternehmen dadurch dennoch Schaden erleidet.
Externer Datenschutzbeauftragter
Ein externer Datenschutzbeauftragter wird als Dienstleister vertraglich verpflichtet. Verursacht er schuldhaft Fehler, haftet er für diese. Dies kann für Unternehmen von Vorteil sein, da im Schadensfall ein Regressanspruch gegen den externen DSB denkbar ist, insbesondere bei fahrlässigem oder vorsätzlichem Fehlverhalten. Die Verantwortung kann so klarer zugeordnet werden.
Ein externer DSB, der zugleich Rechtsanwalt ist, bietet durch seine Qualifikation und Haftpflichtversicherung einen besonderen Mehrwert – warum das so ist, zeigt der Artikel „Externer Datenschutzbeauftragter durch Rechtsanwalt – warum sich das lohnt“.
Hinweis: Hier finden Sie einen Vergleich zwischen internem und externem DSB.
Praktische Überlegungen zur Verantwortung
In der Praxis zeigt sich, dass Haftungsfragen oft schwer nachweisbar sind. War der Fehler ein bloßes Übersehen? Oder eine bewusste Pflichtverletzung? Arbeitgeber wägen zudem ab, ob sie Regressforderungen tatsächlich geltend machen – nicht zuletzt, da dies das Vertrauensverhältnis belasten kann.
Vor diesem Hintergrund sollten Unternehmen bei der Besetzung der Rolle sorgfältig abwägen:
- Kompetenz und Erfahrung des Datenschutzbeauftragten
- Klarheit der Pflichten und Erwartungen im Unternehmen
- Frage der internen Haftungsprivilegierung im Vergleich zur möglichen Durchgriffshaftung bei externen DSB
Fazit: Verantwortung braucht klare Strukturen
Die Verantwortung eines Datenschutzbeauftragten ist hoch, bewegt sich jedoch je nach Status zwischen beratender Funktion, Meldepflichten und Monitoring. Interne DSB sind rechtlich durch ihre Stellung als Arbeitnehmer besser abgesichert, während Unternehmen bei externen Beauftragten mehr Möglichkeiten haben, im Schadensfall Haftung durchzusetzen. Wichtig bleibt in jedem Fall: eine klare Kommunikation zwischen DSB und Geschäftsführung, sorgfältige Dokumentation und der unbedingte Wille, Datenschutzverstöße konsequent zu adressieren.
