Compliance-Verstöße dokumentieren – Haftung des Datenschutzbeauftragten

Compliance-Verstöße dokumentieren – Haftung des Datenschutzbeauftragten. Datenschutzbeauftragte müssen Compliance-Verstöße sorgfältig dokumentieren – fehlende Dokumentation kann nicht nur Bußgelder nach sich ziehen, sondern im Ernstfall auch eine persönliche Haftung des Datenschutzbeauftragten begründen.

Einleitung: Warum Dokumentation über Haftung entscheidet

Die Rolle des Datenschutzbeauftragten ist zentral – doch sie birgt auch juristisches Risiko. Denn wer von Datenschutzverstößen im Unternehmen weiß, diese aber nicht dokumentiert oder weiterverfolgt, verletzt nicht nur seine Überwachungspflicht, sondern setzt sich im Ernstfall selbst der Haftung aus.

Die DSGVO verlangt von Unternehmen nach Art. 5 Abs. 2 DSGVO Rechenschaft darüber, dass alle Datenschutzvorgaben eingehalten werden. Diese sogenannte „Accountability“ ist ohne sorgfältige Dokumentation nicht erfüllbar. Spätestens bei einer Prüfung durch die Aufsichtsbehörde oder bei Schadensersatzforderungen durch Betroffene rückt die Frage in den Mittelpunkt: Wurde ein Datenschutzverstoß rechtzeitig erkannt – und wenn ja, was wurde dokumentiert und unternommen?

Rechtsstellung und Pflichten des Datenschutzbeauftragten

Interner oder externer Datenschutzbeauftragter

Gemäß Art. 37 DSGVO sind Unternehmen in vielen Fällen verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen – sei es intern (als Mitarbeiter) oder extern (durch Dienstleister). Beide Varianten tragen die gleiche Verantwortung für die unabhängige Kontrolle und Beratung in Datenschutzfragen. Ihre Stellung ist besonders:

• Unabhängigkeit: Der DSB darf keine Weisungen erhalten (Art. 38 Abs. 3 DSGVO)
• Ressourcenausstattung: Das Unternehmen muss ihm Zeit, Personal und Zugriff gewähren
• Benachteiligungsverbot: Der DSB darf wegen der Ausübung seiner Aufgaben nicht benachteiligt werden

Pflichten nach Art. 39 DSGVO

Die DSGVO definiert die Aufgaben des DSB konkret – darunter:

• Überwachung der Einhaltung datenschutzrechtlicher Vorschriften
• Sensibilisierung und Schulung der Beschäftigten
• Beratung bei Datenschutz-Folgenabschätzungen
• Zusammenarbeit mit Aufsichtsbehörden

Entscheidend ist: All diese Tätigkeiten müssen nachvollziehbar dokumentiert werden, um im Zweifel darlegen zu können, dass der Datenschutzbeauftragte seinen Pflichten tatsächlich nachgekommen ist.

Haftungsrisiken in der Praxis

Auch wenn Datenschutzbeauftragte grundsätzlich nicht für alle Fehler im Unternehmen verantwortlich sind, können sie sich unter bestimmten Umständen persönlich haftbar machen – insbesondere dann, wenn sie ihre Pflichten grob verletzen oder Verstöße bewusst ignorieren.

Persönliche Haftung bei grober Fahrlässigkeit oder Untätigkeit

Datenschutzbeauftragte haften nicht automatisch für Datenschutzverstöße, die im Unternehmen begangen werden. Doch wenn sie ihre Aufgaben nicht ordnungsgemäß erfüllen – etwa Verstöße verschweigen, dokumentationspflichtige Sachverhalte ignorieren oder offensichtliche Mängel nicht melden –, kann ihnen grob fahrlässiges Verhaltenvorgeworfen werden.

Beispiel: Ein interner DSB erkennt über Monate hinweg, dass sensible Beschäftigtendaten ohne Rechtsgrundlage verarbeitet werden, dokumentiert dies jedoch nicht und warnt auch die Geschäftsführung nicht. Kommt es zum Schadensfall, drohen nicht nur Bußgelder gegen das Unternehmen, sondern auch interne Regressforderungen gegen den Datenschutzbeauftragten.

Organisationsverschulden der Unternehmensleitung

Wichtig: Auch wenn der DSB eine Schlüsselfunktion erfüllt, entbindet seine Existenz nicht die Geschäftsleitung von ihrer Gesamtverantwortung. Diese trägt die Pflicht, eine funktionierende Datenschutzorganisation bereitzustellen – inklusive klarer Zuständigkeiten, regelmäßiger Kontrollen und ausreichender Ressourcen.

Verlässt sich die Geschäftsleitung blind auf den DSB, ohne ihn in Entscheidungen einzubinden oder Rückmeldungen einzufordern, liegt ein klassisches Organisationsverschulden vor – das sowohl aufsichtsrechtlich als auch zivilrechtlich haftungsrelevant ist.

Dokumentationspflicht nach Art. 5 Abs. 2 DSGVO

Nach dem Grundsatz der Rechenschaftspflicht (Accountability) müssen Unternehmen und ihre DSB nachweisen können, dass sie datenschutzkonform handeln. Dazu gehört u. a.:

• Dokumentation von Schulungen
• Protokollierung von Datenschutzverstößen
• Nachweise über getroffene technische und organisatorische Maßnahmen (TOM)
• Schriftliche Beratungsergebnisse bei datenschutzrelevanten Projekten

Fehlt eine solche Dokumentation, steht schnell die Frage im Raum: Wurde der Verstoß nicht erkannt – oder nur nicht dokumentiert?

Beweiswert der Dokumentation bei Verfahren

Die Dokumentation datenschutzrelevanter Vorgänge ist weit mehr als formale Pflichterfüllung – sie entscheidet im Ernstfall darüber, ob ein Unternehmen oder ein Datenschutzbeauftragter haftungsrechtlich entlastet oder zur Verantwortung gezogen wird.

Dokumentation als Schutzschild im Bußgeldverfahren

Kommt es zu einer Prüfung durch die Datenschutzaufsicht – etwa nach einer Beschwerde oder einem gemeldeten Verstoß –, wird zunächst geprüft, welche Maßnahmen das Unternehmen ergriffen und wie es sie dokumentiert hat. Fehlt diese Nachweisführung, entsteht schnell der Eindruck, dass es an gelebter Datenschutz-Compliance mangelt – und das kann hohe Bußgelder nach sich ziehen.

Eine vollständige, konsistente Dokumentation zeigt hingegen, dass das Unternehmen seine Pflichten ernst nimmt, Verstöße erkennt und systematisch bearbeitet. Das kann nicht nur zu milderen Sanktionen führen, sondern in manchen Fällen sogar zur vollständigen Entlastung.

Entlastungsfunktion vor Zivilgerichten

Auch im zivilrechtlichen Kontext – etwa bei Schadensersatzklagen nach Art. 82 DSGVO – spielt die Dokumentation eine Schlüsselrolle. Gelingt es dem Unternehmen oder dem Datenschutzbeauftragten, durch Protokolle, Schulungsnachweise oder interne Memos nachzuweisen, dass auf erkannte Risiken reagiert wurde, kann dies Ansprüche erheblich schwächen oder abwehren.

Fehlt dieser Nachweis, droht im schlimmsten Fall die persönliche Haftung des DSB für eigenes Fehlverhalten (z. B. bei grober Pflichtverletzung oder vollständigem Untätigbleiben trotz Kenntnis eines Problems).

Parallelen zur internen Revision

Die Rolle der Dokumentation im Datenschutz ähnelt stark derjenigen in der internen Revision: Sie dient nicht nur der Kontrolle, sondern auch der Selbstabsicherung. Wer dokumentiert, schafft Transparenz – und kann im Streitfall belegen, dass er Risiken erkannt, bewertet und bearbeitet hat.

Handlungsempfehlungen für Datenschutzbeauftragte

Um rechtlich auf der sicheren Seite zu stehen und Haftungsrisiken wirksam zu minimieren, sollten Datenschutzbeauftragte ihre Aufgaben proaktiv, systematisch und beweisbar erfüllen. Folgende Maßnahmen haben sich in der Praxis bewährt:

1. Interne Verstoßdatenbank aufbauen

Führen Sie ein Verstoßregister, in dem alle bekannten oder vermuteten Datenschutzverletzungen strukturiert erfasst werden – inklusive Datum, Beteiligten, Maßnahmen und Abschluss. Dieses Register sollte nicht nur für Aufsichtsbehörden abrufbar sein, sondern auch intern als Kontrollinstrument dienen.

2. Schulungen und Sensibilisierung dokumentieren

Regelmäßige Mitarbeiterschulungen sind ein zentraler Bestandteil jeder Datenschutzorganisation. Wichtig ist, dass nicht nur die Inhalte, sondern auch die Teilnahme und Durchführung protokolliert werden – idealerweise mit Bestätigung durch die Teilnehmer:innen. So lässt sich im Fall eines Verstoßes nachweisen, dass angemessene Prävention stattgefunden hat.

3. Zuständigkeiten und Delegation festhalten

In größeren Organisationen delegiert der Datenschutzbeauftragte bestimmte Aufgaben – etwa an Bereichsverantwortliche oder IT-Sicherheitsbeauftragte. Wichtig: Diese Delegationen sollten schriftlich dokumentiert sein, inklusive klarer Verantwortlichkeiten und Schnittstellen.

4. Kommunikation mit Behörden vorbereiten

Gerät ein Unternehmen ins Visier der Datenschutzaufsicht, ist eine frühzeitige und transparente Kommunikationentscheidend. Der DSB sollte hierfür standardisierte Verfahren vorbereiten, insbesondere zur Erfüllung von Meldepflichten nach Art. 33 DSGVO, und dokumentieren, welche Maßnahmen er in solchen Situationen angestoßen hat.

Fazit: Dokumentation schützt – und entlastet

Datenschutzbeauftragte stehen im Zentrum der Unternehmens-Compliance – doch mit dieser Verantwortung wächst auch das persönliche Risiko. Wer Datenschutzverstöße nicht erkennt, nicht weiterleitet oder schlicht nicht dokumentiert, macht sich im Zweifel selbst angreifbar.

Die gute Nachricht: Dokumentation ist der stärkste Schutzschild. Sie beweist Engagement, Transparenz und Sorgfalt – und kann im Ernstfall über Haftung oder Entlastung entscheiden. Unternehmen und DSB sollten daher gemeinsam Strukturen schaffen, die eine saubere, vollständige und nachvollziehbare Dokumentation aller datenschutzrelevanten Vorgänge ermöglichen.

👉 Jetzt Datenschutzprozesse prüfen lassen – wir unterstützen Sie bei der haftungssicheren Umsetzung: www.hortmannlaw.com/contact

Vorschläge:

• „Welche Pflichten ein Unternehmen in puncto Cookie-Banner, Mitarbeiterüberwachung und Datenweitergabe erfüllen muss, lesen Sie im Beitrag Compliance richtig umsetzen.“
• „Wie sich DSGVO-Verstöße durch mangelhafte Auskünfte auf den Schadensersatz auswirken können, zeigt der Beitrag Schadensersatz bei verweigerter oder verzögerter Datenschutzauskunft – Crypto.com.“
• „Für Verantwortliche in Unternehmen lohnt auch ein Blick auf Geschäftsführerhaftung in der GmbH – Pflichten, Risiken und Compliance.“

‍