Datenschutz im Unternehmen: Wer trägt welche Verantwortung?

Das Wichtigste im Überblick:

• Die DSGVO definiert klar, wer als Verantwortlicher gilt: Entscheidend ist die Entscheidungsgewalt über Zwecke und Mittel der Datenverarbeitung
• Bei der gemeinsamen Verantwortlichkeit müssen alle Beteiligten ihre Zuständigkeiten vertraglich regeln
• Ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter Pflicht

Jetzt Angebot anfordern!

Komplexe Verantwortlichkeiten richtig einordnen

Die Digitalisierung von Geschäftsprozessen wirft für viele Unternehmen die zentrale Frage auf: Wer trägt eigentlich die Verantwortung für den Datenschutz? Gerade wenn mehrere Abteilungen oder externe Dienstleister an der Datenverarbeitung beteiligt sind, ist die Klärung der Verantwortlichkeiten nicht nur essenziell, sondern auch komplex. Als Datenschutzexperten und externe Datenschutzbeauftragte beraten wir seit vielen Jahren Unternehmen bei genau dieser Herausforderung. Unsere Erfahrung zeigt, dass besonders die Schnittstellen zwischen verschiedenen Abteilungen und externen Dienstleistern kritische Punkte darstellen, an denen Verantwortlichkeiten häufig unklar sind oder sich überschneiden – hier setzen wir mit unserer Expertise gezielt an.

Wer ist Verantwortlicher nach der DSGVO?

Die DSGVO definiert den Verantwortlichen in Art. 4 Nr. 7 als diejenige Stelle, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Dabei kommt es nicht auf die formale Organisationsstruktur an. Ein häufiger Irrtum ist die Annahme, dass in Konzernen automatisch die Muttergesellschaft die Verantwortung trägt. Tatsächlich ist jede verarbeitende Konzerneinheit grundsätzlich eigenständig verantwortlich. 

Der Verantwortliche muss sicherstellen, dass die Datenverarbeitung im Einklang mit den Datenschutzgrundsätzen erfolgt. Dies umfasst die Rechtmäßigkeit der Verarbeitung, Transparenz gegenüber den Betroffenen und die Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Daten. Eine besondere Herausforderung stellt dabei die fortlaufende Anpassung dieser Maßnahmen an sich ändernde Geschäftsprozesse und neue technische Entwicklungen dar.

Gemeinsame Verantwortlichkeit richtig gestalten

In der Praxis sind häufig mehrere Akteure an der Datenverarbeitung beteiligt. Entscheiden diese gemeinsam über Zwecke und Mittel, liegt eine gemeinsame Verantwortlichkeit vor. Dies erfordert zwingend eine schriftliche Vereinbarung zur Aufgabenverteilung. Darin müssen die Zuständigkeiten klar geregelt und für die Betroffenen transparent dargestellt werden. 

Besonders wichtig: Bei gemeinsamer Verantwortlichkeit haften alle Beteiligten gesamtschuldnerisch. Das bedeutet, dass Betroffene ihre Ansprüche gegenüber jedem der Verantwortlichen geltend machen können. Die interne Aufteilung der Verantwortlichkeiten spielt dabei für den Betroffenen keine Rolle. Aus unserer Beratungspraxis wissen wir, dass gerade die praktische Umsetzung dieser Vereinbarungen oft unterschätzt wird – sie müssen regelmäßig überprüft und an veränderte Prozesse angepasst werden.

Jetzt Angebot anfordern!

Der Auftragsverarbeiter als verlängerter Arm

Anders gelagert ist der Fall der Auftragsverarbeitung: Hier agiert der Dienstleister weisungsgebunden ohne eigenen Entscheidungsspielraum. Klassische Beispiele sind Cloud-Dienste oder externe IT-Dienstleister. Der Verantwortliche muss den Auftragsverarbeiter sorgfältig auswählen und durch konkrete Weisungen steuern.

Die Verarbeitung muss durch einen Auftragsverarbeitungsvertrag (AV-Vertrag) geregelt werden. Dieser definiert die Pflichten des Auftragsverarbeiters und legt fest, wie die Daten zu verarbeiten sind. Regelmäßige Kontrollen durch den Verantwortlichen sind ebenfalls erforderlich.

Zentrale Pflichten des Verantwortlichen

Als Verantwortlicher müssen Sie verschiedene Pflichten erfüllen. Die Dokumentation aller datenverarbeitenden Prozesse, deren rechtliche Absicherung und diesbezügliche Informationspflichten gegenüber den Betroffenen nehmen dabei einen zentralen Stellenwert ein. Die Betroffenen müssen über die Verarbeitung ihrer Daten transparent informiert werden. Dies geschieht in der Regel durch eine Datenschutzinformation.

Ein weiterer wichtiger Aspekt ist die Bestellung eines Datenschutzbeauftragten. Diese ist verpflichtend, wenn mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder bestimmte Geschäftszwecke verfolgt werden . Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften und berät das Unternehmen in allen Datenschutzfragen.

Bei Datenpannen bestehen strikte Meldepflichten: Innerhalb von 72 Stunden muss eine Meldung an die Aufsichtsbehörde erfolgen. In bestimmten Fällen müssen auch die Betroffenen informiert werden.

Unser Expertenteam unterstützt Sie

Als Two Towers Consulting verfügen wir über umfassende Erfahrung in der praktischen Umsetzung von Datenschutzanforderungen. In zahlreichen erfolgreichen Projekten haben wir Unternehmen DSGVO-konform aufgestellt – ohne dass es je zu Bußgeldern kam.

Unser pragmatischer Ansatz fokussiert sich auf praxistaugliche Lösungen: Wir entwickeln maßgeschneiderte Datenschutzkonzepte, die sich effizient in bestehende Unternehmensabläufe integrieren lassen. Dabei begleiten wir Sie von der Ist-Analyse über die Implementierung der notwendigen Prozesse bis hin zur möglichen Übernahme der Position des externen Datenschutzbeauftragten.

Vereinbaren Sie jetzt ein Beratungsgespräch. Wir analysieren Ihre spezifische Situation und entwickeln ein maßgeschneidertes Konzept für Ihr Unternehmen.

Jetzt Angebot anfordern!

Häufig gestellte Fragen

Ab wann benötigen wir einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens 20 Mitarbeiter regelmäßig personenbezogene Daten automatisiert verarbeiten. Auch bei der Verarbeitung besonders sensibler Daten oder bei Kernaktivitäten mit systematischer Überwachung ist ein Datenschutzbeauftragter erforderlich.

Wer haftet bei Datenschutzverstößen?

Grundsätzlich haftet der Verantwortliche für Datenschutzverstöße. Bei gemeinsamer Verantwortlichkeit haften alle Beteiligten gesamtschuldnerisch. Betroffene können sich mit ihren Ansprüchen an jeden der Verantwortlichen wenden.

Können wir die Datenschutzverantwortung outsourcen?

Die grundsätzliche Verantwortung verbleibt immer beim Unternehmen. Sie können jedoch einen externen Datenschutzbeauftragten bestellen und bestimmte Aufgaben an Dienstleister auslagern. Die rechtliche Verantwortung tragen Sie als Unternehmen weiterhin selbst.

Welche Mindestanforderungen gibt es an die Dokumentation?

Sie müssen bspw. ein Verzeichnis von Verarbeitungstätigkeiten führen, technische und organisatorische Maßnahmen dokumentieren und die Erfüllung der Informationspflichten nachweisen können. Auch Einwilligungen und deren Widerruf müssen dokumentiert werden.

Wie oft müssen Datenschutzprozesse überprüft werden?

Eine regelmäßige Überprüfung ist rechtlich vorgeschrieben, wobei die Häufigkeit von der Art und dem Umfang der Datenverarbeitung abhängt. Wir empfehlen mindestens eine jährliche Überprüfung sowie anlassbezogene Kontrollen bei Änderungen in den Verarbeitungsprozessen.

Was passiert bei einem Verstoß gegen die Meldepflicht?

Verstöße gegen die Meldepflicht können mit erheblichen Bußgeldern geahndet werden. Diese können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen.

Müssen kleine Unternehmen alle Anforderungen erfüllen?

Grundsätzlich gelten die DSGVO-Anforderungen für alle Unternehmen. Der Umfang der Maßnahmen muss jedoch verhältnismäßig sein und sich an der Größe des Unternehmens sowie Art, Umfang und Zweck der Datenverarbeitung orientieren.

Wie lange müssen Dokumente aufbewahrt werden?

Die Aufbewahrungsfristen variieren erheblich je nach Daten- bzw. Dokumentenart. Verarbeitungsverzeichnisse müssen ständig aktuell gehalten werden, Einwilligungen sollten für die Dauer der Verarbeitung plus Verjährungsfristen aufbewahrt werden.

Wer kontrolliert die Einhaltung der Datenschutzvorschriften?

Die Aufsichtsbehörden der Bundesländer sind für die Kontrolle zuständig. Sie können sowohl anlassbezogen als auch im Rahmen regulärer Überprüfungen tätig werden.

Welche Rolle spielt die Unternehmensleitung beim Datenschutz?

Die Unternehmensleitung trägt die Gesamtverantwortung für die Einhaltung des Datenschutzes. Sie muss die erforderlichen organisatorischen und technischen Maßnahmen veranlassen und deren Wirksamkeit überwachen.

_{Hinweis: Leistungen, die dem Rechtsdienstleistungsgesetz unterfallen, werden von der Kanzlei Two Towers Legal erbracht.}

Verwandte Themen

• Fällt die Bestellpflicht für Datenschutzbeauftragte?
• Löschung as a Service: Geht das?
• Bereichsausnahmen bei der Einschaltung von Unterauftragsverarbeitern
• Auskunftsersuchen nach Art. 15 DSGVO – erfüllen oder ablehnen?
• Bußgeld gegen Uber: 290 Mio. Euro und jede Menge Rechtsunsicherheit