Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 190

235

Sofern es sich bei dem Verantwortlichen um keine natürliche Person handelt, trifft die (interne) Verantwortung zur Einhaltung datenschutzrechtlicher Vorgaben originär die Geschäftsleitung.471 Die Geschäftsleitung kann jedoch die Verantwortung für die einzelnen Datenverarbeitungsvorgänge auf einzelne Mitarbeiter delegieren. Je nach Größe und Tätigkeitsfeld der jeweiligen Stelle kann der Aufbau einer solchen Datenschutz-Organisation als organisatorische Datenschutzmaßnahme i.S.v. Art. 24 i.V.m. Art. 39 Abs. 1 lit. b DSGVO sogar verpflichtend sein.472 Für Unternehmen bzw. die Unternehmensleitung kann sich eine entsprechende Pflicht aus § 130 Abs. 1 (i.V.m. § 9 Abs. 1) OWiG ergeben, wonach Unternehmensinhaber bzw. die Geschäftsleitung verpflichtet sind, Aufsichtsmaßnahmen zu ergreifen, um Verstöße gegen Gesetze zu verhindern, die mit Bußgeldern geahndet werden;473 dies gilt insofern auch für Verstöße gegen die Bestimmungen der DSGVO.

236

Im Falle einer solchen Delegation sind die jeweiligen Mitarbeiter (intern) verpflichtet, die Einhaltung der ihnen übertragenen datenschutzrechtlichen Pflichten bzw. die datenschutzrechtliche Konformität der ihnen anvertrauten Datenverarbeitungsverfahren zu gewährleisten. Die Verantwortlichkeiten der einzelnen Mitarbeiter müssen hierbei jedoch klar definiert und kommuniziert werden.474 Soweit die Verantwortlichkeiten nicht eindeutig definiert sind, bleibt die Geschäftsleitung für solche Verstöße verantwortlich. Für die Art und Weise der Pflichtendelegation auf Unternehmensmitarbeiter enthält die DSGVO keine verbindlichen Vorgaben. Die Pflicht zur Einhaltung einer oder mehrerer der vorgenannten Verpflichtungen kann pro Gesellschaft, pro Geschäftseinheit, pro Geschäftsprozess oder für jeden einzelnen Datenverarbeitungsvorgang übertragen werden.

237

Jede Delegation muss in der Praxis auch umsetzbar sein. Demgemäß müssen die verantwortlichen Mitarbeiter in der Lage sein, ihren Verpflichtungen nachzukommen. Entscheidend ist hierbei insbesondere, dass die verantwortliche Person die Befugnis haben muss, die betreffenden Datenverarbeitungsaktivitäten zu ändern, d.h. die Verantwortung für die Einhaltung bestimmter datenschutzrechtlicher Vorgaben darf nicht an eine Person delegiert werden, die nicht befugt ist, (verbindliche) Weisungen zu derartigen Datenschutzvorgängen zu erteilen. Daher kann die Verantwortung für die Einhaltung geltender Datenschutzbestimmungen nicht niedriger übertragen werden als die Ebene, auf welcher die inhaltliche und operative Entscheidungsbefugnis über die Datenverarbeitung liegt. In der Regel können daher lediglich leitende Angestellte sowie Prozessverantwortliche für die materielle Rechtmäßigkeit der Datenverarbeitung verantwortlich sein, die (intern) die Entscheidung darüber treffen können, welche personenbezogenen Daten zu welchem Zweck und mit welchen Mitteln verarbeitet werden.475