In diesem Artikel:
Wer trägt die Verantwortung?
Wie entstehen rechtliche Risiken im Datenschutz?
Welche Schäden können entstehen?
Haftung der Beteiligten
Fazit: Verantwortung ernst nehmen und absichern
Ein Sachverhalt im echten Leben ist selten eindeutig – das gilt besonders im Datenschutz. Sowohl die rechtliche Bewertung als auch die praktische Umsetzung bergen Unsicherheiten. In diesem Beitrag zeigen wir, wie man mit diesen Herausforderungen pragmatisch umgehen kann und welche Risiken dabei zu beachten sind.
Wer trägt die Verantwortung im Datenschutz?
Im Datenschutzrecht ist die Klärung der Verantwortlichkeit ein zentraler Punkt. Dabei ist zwischen verschiedenen Rollen zu differenzieren:
1. Die juristische Person als Verantwortliche
Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist grundsätzlich die juristische Person (z. B. eine Kommune, Hochschule oder ein Unternehmen), vertreten durch deren gesetzlich bestellten Vertreter (z. B. Bürgermeister, Präsident oder Geschäftsführer). Diese trägt die Letztverantwortung für die Einhaltung datenschutzrechtlicher Vorschriften – auch dann, wenn operative Aufgaben delegiert wurden.
2. Sachbearbeitende Beschäftigte
Beschäftigte, die personenbezogene Daten im Rahmen ihrer dienstlichen Aufgaben verarbeiten, tragen eine Mitverantwortung. Sie sind verpflichtet, nach Maßgabe der ihnen bekannten rechtlichen Vorgaben zu handeln. Ein fahrlässiger oder vorsätzlicher Verstoß kann disziplinar- oder arbeitsrechtliche Folgen nach sich ziehen – in besonders schwerwiegenden Fällen auch Regressansprüche, z. B. bei grober Fahrlässigkeit oder vorsätzlicher Verletzung von Datenschutzpflichten.
Beispiel: Ein Lehrstuhl verarbeitet Daten von Studierenden ohne erforderliche Einwilligung – hier liegt die Verantwortung organisatorisch beim Lehrstuhl, rechtlich aber bei der Hochschule bzw. deren Präsidenten.
3. Datenschutzbeauftragte (DSB)
Der oder die Datenschutzbeauftragte hat eine beratende und überwachende Funktion, trägt jedoch keine direkte Verantwortung für datenschutzkonformes Handeln. Eine fehlerhafte Beratung kann aber mittelbar Auswirkungen auf die Verantwortlichkeit haben, insbesondere bei grober Falschberatung oder unterlassener Aufklärung.
4. Abweichende Organisationsregelungen
Durch interne Regelungen, wie z. B. eine Datenschutzgeschäftsordnung, können Verantwortlichkeiten organisatorisch zentralisiert werden (z. B. für IT oder Einkauf). Eine solche Bündelung entbindet andere Mitarbeitende jedoch nicht vollständig von ihrer Mitverantwortung – insbesondere, wenn sie Risiken erkennen, aber nicht melden.
Wie entstehen rechtliche Risiken im Datenschutz
Ein zentrales Risiko liegt in der unsicheren Rechtslage: Viele datenschutzrechtliche Fragestellungen sind weder abschließend gesetzlich geregelt noch höchstrichterlich entschieden. Daher lassen sich Risiken in vier Stufen einteilen:
1. Geringe Risiken
Diese bestehen, wenn die Datenverarbeitung auf einer klaren gesetzlichen Grundlage oder gefestigten Rechtsprechung (z. B. des EuGH oder BVerwG) basiert.
Beispiel: Die Verarbeitung erfolgt aufgrund einer gesetzlichen Meldepflicht oder mit ausdrücklicher Einwilligung bei einem klaren Verarbeitungszweck.
2. Normale Risiken
Hier liegt die Grundlage in der herrschenden Meinung von Fachkreisen, Aufsichtsbehörden oder Fachliteratur – jedoch ohne höchstrichterliche Bestätigung.
Beispiel: Die Pflicht zur Angabe der Anrede beim Newsletter-Abo. Hier gibt es keine eindeutige Regelung, aber etablierte Praxis, dass diese kein Pflichtfeld sein darf.
3. Hohe Risiken
Bestehen divergierende Auffassungen zwischen Aufsichtsbehörden und der praktischen Umsetzung, ohne dass eine verbindliche Klärung vorliegt, steigt das Risiko.
Beispiel: Der Einsatz von Google Analytics durch öffentliche Stellen – trotz persistierender Kritik durch Datenschutzaufsichten.
4. Sehr hohe Risiken
Diese entstehen, wenn entgegen einer vorliegenden Rechtsprechung oder klarer Stellungnahmen von Datenschutzbehörden gehandelt wird – oder wenn „nach Bauchgefühl“ entschieden wird, ohne den DSB oder Fachquellen zu konsultieren.
Beispiel: Betrieb einer Facebook-Fanpage ohne Vereinbarung zur gemeinsamen Verantwortlichkeit mit Meta, entgegen EuGH-Rechtsprechung.
Welche Schäden können entstehen?
Rechtswidrige Datenverarbeitung kann auf verschiedenen Ebenen Folgen haben:
Schadensersatzansprüche: Betroffene können bei erlittenem immateriellen oder materiellen Schaden Ersatz verlangen (Art. 82 DSGVO).
Anordnungen durch Aufsichtsbehörden: Behörden können Verarbeitungen untersagen oder bestehende Systeme stilllegen lassen – mit massiven Auswirkungen auf Prozesse, Effizienz und Budget.
Reputationsschäden: Datenschutzvorfälle können öffentlich bekannt werden und das Vertrauen von Bürgern, Kunden oder Partnern nachhaltig schädigen.
Bußgelder: Gegen Behörden und sonstige öffentliche Stellen werden in Deutschland grundsätzlich keine Geldbußen verhängt. Nimmt eine öffentliche Stelle aber als öffentlich-rechtliches Unternehmen am Wettbewerb teil, kann auch ihr bei Verstößen gegen den Datenschutz ein Bußgeld drohen.
Beispiel: Eine Stadtwerke GmbH ist eine 100%ige Tochter einer Stadt und versorgt Bürgerinnen und Bürger mit Strom, Wasser, Gas und Internet. Sie ist in der Rechtsform einer GmbH organisiert und tritt am freien Markt als Energieversorger in Wettbewerb mit privaten Unternehmen.
Investitionsverluste und Nachbesserungskosten: Bereits entwickelte Systeme oder Prozesse müssen ggf. rückgebaut oder angepasst werden, wenn sich im Nachhinein die Rechtswidrigkeit der Datenverarbeitung herausstellt. Das verursacht Kosten, Ressourcenbindung und Verzögerungen.
Haftung der Beteiligten
Für die sachbearbeitenden Beschäftigten und sonstige Beteiligte besteht in der Regel keine persönliche Haftung, wenn sie sich auf einen vertretbaren juristischen Rat verlassen haben. Schadensersatzansprüche der Betroffenen richten sich stets gegen den Verantwortlichen, nicht gegen einzelne Mitarbeitende.
Fazit: Verantwortung ernst nehmen und absichern
Verantwortung im Datenschutz ist vielschichtig – aber klar strukturierbar. Verantwortliche Organisationen sollten:
klare Zuständigkeiten definieren,
alle Mitarbeitenden regelmäßig sensibilisieren,
Entscheidungen auf rechtlicher Grundlage dokumentieren und
datenschutzrechtliche Expertise (z. B. durch den DSB) systematisch einbinden.
Denn nur so lassen sich rechtliche Risiken minimieren und die Handlungsfähigkeit der Organisation sichern.
Wie die actago GmbH Sie unterstützen kann
Die actago GmbH begleitet Sie von Anfang an und berät Sie umfassend in den Bereichen Datenschutz und Informationssicherheit. Gemeinsam entwickeln wir Lösungen, die risikobasiert, wirtschaftlich und praxistauglich sind. So minimieren Sie Risiken und bleiben rechtlich auf der sicheren Seite.
Ein Sachverhalt im echten Leben ist selten eindeutig – das gilt besonders im Datenschutz. Sowohl die rechtliche Bewertung als auch die praktische Umsetzung bergen Unsicherheiten. In diesem Beitrag zeigen wir, wie man mit diesen Herausforderungen pragmatisch umgehen kann und welche Risiken dabei zu beachten sind.
Wer trägt die Verantwortung im Datenschutz?
Im Datenschutzrecht ist die Klärung der Verantwortlichkeit ein zentraler Punkt. Dabei ist zwischen verschiedenen Rollen zu differenzieren:
1. Die juristische Person als Verantwortliche
Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist grundsätzlich die juristische Person (z. B. eine Kommune, Hochschule oder ein Unternehmen), vertreten durch deren gesetzlich bestellten Vertreter (z. B. Bürgermeister, Präsident oder Geschäftsführer). Diese trägt die Letztverantwortung für die Einhaltung datenschutzrechtlicher Vorschriften – auch dann, wenn operative Aufgaben delegiert wurden.
2. Sachbearbeitende Beschäftigte
Beschäftigte, die personenbezogene Daten im Rahmen ihrer dienstlichen Aufgaben verarbeiten, tragen eine Mitverantwortung. Sie sind verpflichtet, nach Maßgabe der ihnen bekannten rechtlichen Vorgaben zu handeln. Ein fahrlässiger oder vorsätzlicher Verstoß kann disziplinar- oder arbeitsrechtliche Folgen nach sich ziehen – in besonders schwerwiegenden Fällen auch Regressansprüche, z. B. bei grober Fahrlässigkeit oder vorsätzlicher Verletzung von Datenschutzpflichten.
Beispiel: Ein Lehrstuhl verarbeitet Daten von Studierenden ohne erforderliche Einwilligung – hier liegt die Verantwortung organisatorisch beim Lehrstuhl, rechtlich aber bei der Hochschule bzw. deren Präsidenten.
3. Datenschutzbeauftragte (DSB)
Der oder die Datenschutzbeauftragte hat eine beratende und überwachende Funktion, trägt jedoch keine direkte Verantwortung für datenschutzkonformes Handeln. Eine fehlerhafte Beratung kann aber mittelbar Auswirkungen auf die Verantwortlichkeit haben, insbesondere bei grober Falschberatung oder unterlassener Aufklärung.
4. Abweichende Organisationsregelungen
Durch interne Regelungen, wie z. B. eine Datenschutzgeschäftsordnung, können Verantwortlichkeiten organisatorisch zentralisiert werden (z. B. für IT oder Einkauf). Eine solche Bündelung entbindet andere Mitarbeitende jedoch nicht vollständig von ihrer Mitverantwortung – insbesondere, wenn sie Risiken erkennen, aber nicht melden.
Wie entstehen rechtliche Risiken im Datenschutz
Ein zentrales Risiko liegt in der unsicheren Rechtslage: Viele datenschutzrechtliche Fragestellungen sind weder abschließend gesetzlich geregelt noch höchstrichterlich entschieden. Daher lassen sich Risiken in vier Stufen einteilen:
1. Geringe Risiken
Diese bestehen, wenn die Datenverarbeitung auf einer klaren gesetzlichen Grundlage oder gefestigten Rechtsprechung (z. B. des EuGH oder BVerwG) basiert.
Beispiel: Die Verarbeitung erfolgt aufgrund einer gesetzlichen Meldepflicht oder mit ausdrücklicher Einwilligung bei einem klaren Verarbeitungszweck.
2. Normale Risiken
Hier liegt die Grundlage in der herrschenden Meinung von Fachkreisen, Aufsichtsbehörden oder Fachliteratur – jedoch ohne höchstrichterliche Bestätigung.
Beispiel: Eine Pflicht zur Angabe der Anrede beim Newsletter-Abo.Hier gibt es keine eindeutige Regelung, aber etablierte Praxis, dass diese kein Pflichtfeld sein darf.
3. Hohe Risiken
Bestehen divergierende Auffassungen zwischen Aufsichtsbehörden und der praktischen Umsetzung, ohne dass eine verbindliche Klärung vorliegt, steigt das Risiko.
Beispiel: Der Einsatz von Google Analytics durch öffentliche Stellen – trotz persistierender Kritik durch Datenschutzaufsichten.
4. Sehr hohe Risiken
Diese entstehen, wenn entgegen einer vorliegenden Rechtsprechung oder klarer Stellungnahmen von Datenschutzbehörden gehandelt wird – oder wenn „nach Bauchgefühl“ entschieden wird, ohne den DSB oder Fachquellen zu konsultieren.
Beispiel: Betrieb einer Facebook-Fanpage ohne Vereinbarung zur gemeinsamen Verantwortlichkeit mit Meta, entgegen EuGH-Rechtsprechung.
Welche Schäden können entstehen?
Rechtswidrige Datenverarbeitung kann auf verschiedenen Ebenen Folgen haben:
Schadensersatzansprüche: Betroffene können bei erlittenem immateriellen oder materiellen Schaden Ersatz verlangen (Art. 82 DSGVO).
Anordnungen durch Aufsichtsbehörden: Behörden können Verarbeitungen untersagen oder bestehende Systeme stilllegen lassen – mit massiven Auswirkungen auf Prozesse, Effizienz und Budget.
Reputationsschäden: Datenschutzvorfälle können öffentlich bekannt werden und das Vertrauen von Bürgern, Kunden oder Partnern nachhaltig schädigen.
Bußgelder: Gegen Behörden und sonstige öffentliche Stellen werden in Deutschland grundsätzlich keine Geldbußen verhängt. Nimmt eine öffentliche Stelle aber als öffentlich-rechtliches Unternehmen am Wettbewerb teil, kann auch ihr bei Verstößen gegen den Datenschutz ein Bußgeld drohen.
Beispiel: Eine Stadtwerke GmbH ist eine 100%ige Tochter einer Stadt und versorgt Bürgerinnen und Bürger mit Strom, Wasser, Gas und Internet. Sie ist in der Rechtsform einer GmbH organisiert und tritt am freien Markt als Energieversorger in Wettbewerb mit privaten Unternehmen.
Investitionsverluste und Nachbesserungskosten: Bereits entwickelte Systeme oder Prozesse müssen ggf. rückgebaut oder angepasst werden, wenn sich im Nachhinein die Rechtswidrigkeit der Datenverarbeitung herausstellt. Das verursacht Kosten, Ressourcenbindung und Verzögerungen.
Haftung der Beteiligten
Für die sachbearbeitenden Beschäftigten und sonstige Beteiligte besteht in der Regel keine persönliche Haftung, wenn sie sich auf einen vertretbaren juristischen Rat verlassen haben. Schadensersatzansprüche der Betroffenen richten sich stets gegen den Verantwortlichen, nicht gegen einzelne Mitarbeitende.
Fazit: Verantwortung ernst nehmen und absichern
Verantwortung im Datenschutz ist vielschichtig – aber klar strukturierbar. Verantwortliche Organisationen sollten:
klare Zuständigkeiten definieren,
alle Mitarbeitenden regelmäßig sensibilisieren,
Entscheidungen auf rechtlicher Grundlage dokumentieren und
datenschutzrechtliche Expertise (z. B. durch den DSB) systematisch einbinden.
Denn nur so lassen sich rechtliche Risiken minimieren und die Handlungsfähigkeit der Organisation sichern.
Wie die actago GmbH Sie unterstützen kann
Die actago GmbH begleitet Sie von Anfang an und berät Sie umfassend in den Bereichen Datenschutz und Informationssicherheit. Gemeinsam entwickeln wir Lösungen, die risikobasiert, wirtschaftlich und praxistauglich sind. So minimieren Sie Risiken und bleiben rechtlich auf der sicheren Seite.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
