Entbindet ein externer Datenschutzbeauftragter die verantwortliche Stelle des Unternehmens von der Verantwortung?
Die Antwort ist Nein.
Der Datenschutzbeauftragte hat selbst keine Weisungsbefugniss und kann daher für die Umsetzung des Datenschutzes im Unternehmen nicht verantwortlich gemacht werden. Diese Verantwortung liegt in vollem Umfang bei der sogenannten "verantwortlichen Stelle" des Unternehmens. Das ist in der Regel die Unternehmensleitung bzw. Geschäftsführung.
Laut Gesetz hat der von einem Unternehmen bestellte interne oder externe Datenschutzbeauftragter (DSB) darauf hinzuwirken, dass das Unternehmen datenschutzkonform tätig ist.
So haftet der Datenschutzbeauftragte grundsätzlich für Fehler wie falsche, unvollständige oder zu späte Datenschutzberatung. Er haftet unter Umständen auch für fehlende Hinweise auf organisatorische Probleme sowie das „Übersehen“ von Fehlern und Pannen.
Wenn die „verantwortliche Stelle“ die Umsetzung von Maßnahmen, die der DSB klar benannt hat, unterlässt oder verzögert, kann der DSB dafür nicht verantwortlich gemacht werden. Er selbst hat nicht die Macht oder die Pflicht, Veränderungen im Unternehmen aktiv herbeizuführen.
Der DSB kann daher und soll nur auf die Einhaltung der einschlägigen rechtlichen Regelungen „hinwirken“ – so steht es im Gesetz. Darüberhinaus ist es seine Pflicht, die Aufsichtsbehörde zu informieren, wenn es im Unternehmen in datenschutzrechtlicher Hinsicht gravierende Mängel gibt, die in Missachtung seiner Arbeit nicht behoben werden. Das bedeutet für ihn, dass er haftbar gemacht werden kann, wenn er datenschutzrechtliche Mängel sehenden Auges durchgehen lässt.