Wer prüft die Einhaltung des Datenschutzes?

Das System in Deutschland ist so angelegt, dass die Einhaltung des Datenschutzes dem Grunde nach durch die jeweils zuständige Aufsichtsbehörde überwacht wird. Für Unternehmen bedeutet dies nach dem jetzigen Stand des BDSG; dass die jeweiligen Beauftragten für den Datenschutz der Länder diese Aufgabe übernehmen.

Neben den Aufsichtsbehörden geht das BDSG aber davon aus, dass der Datenschutzbeauftragte als "unabhängige" Instanz in Unternehmen auf die Einhaltung des Datenschutzes hinwirken soll. Er übernimmt daher quasi auch eine Kontrollfunktion, die eigentlich den Aufsichtsbehörden obliegen würde.

Nicht unterschätzen sollte man zudem, dass Datenschutzverstöße mittlerweile dem Verbraucherschutz zugeordent werden bzw. Datenschutzverstöße wettbewerbsrechtliche Relevanz haben. Daher können Verstöße auch durch die Verbrauscherschutzorganisationen oder Mitbewerber im Wege von z.B. Abmahnnugen geahndet werden.

Man sollte das Thema Datenschutzorganisation daher durchaus ernst nehmen, da es immer größere strategische Bedeutung gewinnt und eine Querschnittsmaterie zwischen IT und Recht darstellt.

Beste Grüße

Guido Aßhoff

Fachanwalt für IT-Recht und Zert. Externer Datenschutzbeauftragter

Dafür ist jeder Verantwortliche zunächst selbst zuständig. Der Geschäftsführer einer GmbH muss sich also darum kümmern, dass der Datenschutz in seiner Firma eingehalten wird. Denn Datenschutz ist Chefsache. Der Chef haftet im Rahmen der Datenschutzgrundverordnung der EU (DS-GVO) ab 25.05.2018 sogar erst einmal für seine Mitarbeiter (bisher war das anders).

Um Datenschutz zu gewährleisten, kann sich der Verantwortliche anderer bedienen, etwa einen Datenschutzbeauftragten bestellen bzw. beauftragen. Dennoch haftet der Verantwortliche immer mit bzw. muss er nachweisen, dass er alles richtig gemacht hat (DS-GVO, Beweislastumkehr).

Das gilt auch für Webseiten, die - vor allem anderen - der öffentlichste Teil eines Unternehmens sind. Wer im Impressum als Verantwortlicher genannt ist, haftet. Er kann seine Haftung zumindest versuchen zu reduzieren, wenn er Dienstleister in Anspruch nimmt.

Ob eine Firma sich datenschutzrechtlich korrekt verhält, kann grundsätzlich von jedem (Verbraucher, Konkurrent, andere Firma) geprüft werden. Zuständig für die Verhängung von Bußgeldern sind ab 25.05.2018 die Aufsichtsbehörden, die durch die DS-GVO auch zu Bußgeldstellen werden.

Für die Prüfung des Datenschutzes ist der Datenschutzbeauftragte verantwortlich. Allerdings können auch die Aufsichtsbehörden jederzeit eine entsprechende Prüfung anordnen bzw. durchführen. Um eine unabhängige Beurteilung zu erhalten, können sich Unternehmen einem Datenschutzaudit unterziehen. Entsprechende Auditoren werden über die beiden großen Berufsverbände BvD (Berufsverband der Datenschutzbeauftragten Deutschlands) und GDD (Gesellschaft für Datenschutz und Datensicherheit) vermittelt.

Die Prüfung erfolgt durch die zuständige Aufsichtsbehörde. In jedem Bundesland gibt es hierfür eine/n Landesdatenschutzbeauftragten, die für die Prüfungen im jeweiligen Bundesland zuständig sind.

Falls ein Unternehmen als Auftragsverarbeiter tätig ist, ist es natürlich auch möglich, dass von Seiten des Auftraggebers eine Prüfung hinsichtlich der im AV-Vertrag getroffenen Regelungen erfolgt.