In der DSGVO ist immer wieder vom „Verantwortlichen“ die Rede, der Maßnahmen zum Schutz von personenbezogenen Daten treffen muss und der im Fall eines Verstoßes zur Rechenschaft gezogen wird. Doch wer ist in Datenschutzbelangen eigentlich der Verantwortliche?

Zunächst ist das derjenige, in dessen Namen Entscheidungen über die Verarbeitung der Daten von Personen getroffen werden. Dies umfasst die Zwecke der Erfassung, Speicherung, Verwendung oder anderer Formen der Verarbeitung der personenbezogenen Daten und die Mittel, mit denen das geschieht. Der juristisch Verantwortliche wird in der Regel durch eine Person vertreten, die das Unternehmen, die Behörde oder die Organisation leitet. Bekommt also diese Leitungsperson Kenntnis von einem Datenschutzverstoß, dann muss er dies innerhalb von 72 Stunden an die Aufsichtsbehörde melden.

Haftung für Datenschutzverstöße

Meist geht der Verantwortliche jedoch nicht selbst mit personenbezogenen Daten um, sondern er beauftragt andere und delegiert seine Datenschutzpflichten damit an sie. Dies können angestellte oder freie Mitarbeiter oder externe Dienstleister sein. In allen Fällen aber bleibt der Verantwortliche gegenüber der Aufsichtsbehörde in der Haftung. Auch dann, wenn zwischen dem Arbeitgeber und den Mitarbeitern eine Datenschutzvereinbarung geschlossen wird, die regelt, dass der Mitarbeiter für Schäden haftet, die er zu verantworten hat, wird das Bußgeld immer dem Verantwortlichen auferlegt.

Der Arbeitnehmer haftet nach den Grundsätzen des betrieblichen Haftungsausgleiches nur in vollem Umfang, wenn er vorsätzlich oder grob fahrlässig gehandelt hat. Bei mittlerer Fahrlässigkeit kann er an der Schadenshaftung beteiligt werden, beispielsweise, wenn er übersehen hat, dass durch eine Handlung des Unternehmens ein Schaden entstehen konnte. Bei nur geringer Fahrlässigkeit haftet er in der Regel gar nicht.