Wofür ist der Verantwortliche verantwortlich?
Der Verantwortliche einer Organisation ist natürlich auch für die Datenschutzerklärung der Website verantwortlich. Da der Internetauftritt das Aushängeschild der Organisation ist, sollte er auch diese Seite nicht ganz vernachlässigen. Von Zeit zu Zeit kann ein Blick darauf zumindest nicht schaden.
Jede Internetseite, die eine Datenschutzerklärung hat, benennt dort einen „Verantwortlichen“ für die Datenverarbeitung. Dies gilt zunächst nur für den Internetauftritt, doch in der Regel ist die Geschäftsführung eines Unternehmens, Vereins oder einer Institution natürlich auch insgesamt für den Datenschutz in der Organisation verantwortlich. In der Datenschutzerklärung ist die Angabe der juristischen Person als Verantwortlicher in der Regel erlaubt, doch bei kleinen Organisationen ohne Datenschutzbeauftragten wird dies ohnehin eine einzelne Person sein, die man dann auch nennen sollte.
Manchmal ist in der Datenschutzerklärung nur der Verweis auf das Impressum angegeben. Dann muss man mit weiteren Klicks nach den gewünschten Informationen erst suchen. Ob dies noch dem Transparenzgebot entspricht, ist fraglich. Vor allem, wenn kein Datenschutzbeauftragter bestellt ist, sollten Betroffene, die sich an den Verantwortlichen wenden möchte, diesen auch leicht und schnell erreichen können. Benannt werden muss ein Datenschutzbeauftragter nur dann, wenn besondere Kategorien von personenbezogenen Daten wie Gesundheitsdaten, Gewerkschaftszugehörigkeit, ethnische Herkunft usw. in großen Mengen verarbeitet werden, das Unternehmen ständig risikobehaftete Verarbeitungsvorgänge durchführt, wie z. B. eine Videoüberwachung, oder mindestens 20 Mitarbeiter (Angestellte, Praktikanten, Teilzeitkräfte, Freelancer) ständig personenbezogene Daten verarbeiten, z.B. mit einem E-Mail-Programm.
Insbesondere letzteres führt dazu, dass fast alle Unternehmen mit Büroarbeitsplätzen einen Datenschutzbeauftragten benötigen, selbst wenn dort nur Zeitarbeiter, Freelancer oder Studenten arbeiten. Ein Verstoß gegen diese Pflicht ist eine Ordnungswidrigkeit und wird im schlimmsten Fall mit einem Bußgeld bis zu 50.000 Euro belegt.
Wenn Sie tatsächlich keinen Datenschutzbeauftragten benennen müssen, dann sollten Sie dies in der Datenschutzerklärung so schreiben. In diesem Fall sind Sie als Geschäftsführer allein für den Datenschutz zuständig. Sie können allerdings nicht als ihr eigener Datenschutzbeauftragter fungieren. Oftmals sieht man in Datenschutzerklärungen kleinerer Unternehmen oder Vereine, dass als Datenschutzbeauftragter der Geschäftsführer angegeben wird.
Benötigt die Organisation keinen Datenschutzbeauftragten, dann sind Sie als Geschäftsführer allerdings nur derjenige, der die Verantwortung für die Verarbeitung von Personendaten und mögliche Verstöße trägt. Als solcher sind Sie der direkte Ansprechpartner für Betroffene, die sich an Sie wenden wollen.
Ansonsten gilt auch für kleine Organisationen, dass der oder die Geschäftsführer/in, IT-Leiter/in, oder Personalverantwortliche nicht gleichzeitig Datenschutzbeauftragter sein können. Da Datenschutzbeauftragte eine Kontrollfunktion haben, würden sie sonst in die Lage kommen, sich selbst kontrollieren zu müssen. Aus diesem Grund sollten Sie sich als Geschäftsführer/in auf keinen Fall selbst als Datenschutzbeauftragte/r angeben.