Einleitung
Datenschutz ohne System ist wie Buchhaltung mit Schuhkarton. Wenn Datenschutz im Unternehmen aus Word-Dokumenten, E-Mail-Chaos und guten Absichten besteht, ist das Risiko für Verstöße und hohe Bußgelder hoch.
Datenschutz ist längst kein Randthema mehr, mit dem sich nur die IT- und Rechtsabteilungen befassen. Spätestens seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 sind Unternehmen aller Größenordnungen dazu verpflichtet, den Schutz personenbezogener Daten systematisch und nachweisbar umzusetzen. Doch was bedeutet das konkret? Reicht es, einen Datenschutzhinweis auf der Website zu veröffentlichen oder Mitarbeitende einmal jährlich zu schulen? Die klare Antwort lautet: nein. Die DSGVO verlangt mehr. Unternehmen müssen die Datenschutzvorgaben nicht nur einhalten, sondern auch jederzeit gegenüber Aufsichtsbehörden nachweisen können.
Die effektivste Umsetzung der Vorgaben erfolgt mithilfe eines Datenschutzmanagementsystems (DSMS). Die DSGVO schreibt den Einsatz eines DSMS zwar nicht explizit vor. Es ist jedoch kaum möglich, die Vorgaben der DSGVO ohne ein DSMS effektiv und nachvollziehbar zu dokumentieren. Es umfasst Prozesse zur Bearbeitung von Betroffenenanfragen, zur Kontrolle von Auftragsverarbeitern, zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA), zur Dokumentierung von technischen und organisatorischen Maßnahmen (TOM) und vieles mehr. Kurz gesagt: Ein DSMS macht Datenschutz zu einem strukturierten Bestandteil der Unternehmensführung.
In diesem Beitrag wird es um die Notwendigkeit eines Datenschutzmanagementsystems (DSMS) – und ob eine rechtliche Pflicht besteht – gehen.
Rechtliche Grundlagen zum Datenschutzmanagementsystem
Seit einem grundlegenden Gerichtsurteil – der sogenannten „Neubürger“-Entscheidung – ist klar: Unternehmen müssen ein funktionierendes Compliance-Management-System einrichten. Das Landgericht München I stellte damals fest, dass Vorstände und Geschäftsführer gesetzlich verpflichtet sind, ihr Unternehmen so zu organisieren, dass Rechtsverstöße möglichst verhindert werden. Wer dieser Pflicht nicht nachkommt, riskiert persönliche Haftung.
Diese Anforderungen gelten auch für den Datenschutz. Das Oberlandesgericht Nürnberg bestätigte 2022, dass insbesondere bei erhöhtem Risiko eine strukturierte Organisation nötig ist, um Datenschutzverstöße zu vermeiden. Dazu gehört ein System, das Risiken früh erkennt, Regelverstöße verhindert und den Schutz der Rechte Dritter sicherstellt – etwa von Kunden oder Geschäftspartnern.
Ein weit verbreiteter Irrtum ist, dass allein der Datenschutzbeauftragte für die Einhaltung der DSGVO verantwortlich sei. Tatsächlich liegt die Verantwortung ausdrücklich bei der Geschäftsführung bzw. dem Vorstand. Diese Pflicht ist nicht delegierbar. Geschäftsleiter müssen also sicherstellen, dass geeignete Datenschutzstrukturen im Unternehmen vorhanden sind – andernfalls drohen persönliche Haftungsrisiken.
Haftung und Bußgelder begründen das Datenschutzmanagementsystem
Die Grundsätze der „Neubürger“-Entscheidung des LG München I gelten auch für das Datenschutzrecht: Geschäftsleiter haften persönlich, wenn sie ihre Organisationspflicht verletzen. Kommt es infolge unzureichender Datenschutzvorkehrungen zu Verstößen und Schäden, können Bußgelder nach Art. 83 DSGVO auch gegen natürliche Personen verhängt werden. Zusätzlich haften Geschäftsleiter zivilrechtlich gegenüber dem Unternehmen (§ 93 AktG, § 43 GmbHG), wenn sie ihre Pflichten verletzt haben.
Besonders brisant ist ein Urteil des OLG Dresden: Danach kann neben dem Unternehmen auch der Geschäftsführer selbst „Verantwortlicher“ im Sinne der DSGVO sein – mit der Folge persönlicher Inanspruchnahme bei Datenschutzverstößen. Auch wenn dieses Urteil umstritten ist, zeigt es deutlich: Datenschutz ist kein rein organisatorisches oder technisches Thema, sondern ein haftungsrelevanter Bereich für Unternehmensleiter.
Wie weit geht die Rechenschaftspflicht?
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verpflichtet Unternehmen nicht nur dazu, die Datenschutzgrundsätze einzuhalten – sie müssen auch jederzeit nachweisen können, dass dies geschieht. Diese Nachweispflicht greift weit: Unternehmen müssen gegenüber Aufsichtsbehörden belegen können, dass technische und organisatorische Maßnahmen (TOM), Prozesse, Schulungen, Datenschutz-Folgenabschätzungen und Risikoanalysen tatsächlich bestehen, angewendet und regelmäßig überprüft werden. Die bloße Behauptung, man sei DSGVO-konform, genügt nicht – es braucht strukturierte Dokumentation und belastbare Nachweise.
Auch betroffene Personen – etwa Kunden oder Mitarbeitende – haben weitreichende Rechte: Sie können Auskunft über die Verarbeitung ihrer Daten verlangen (Art. 15 DSGVO) und Beschwerden bei der Datenschutzaufsicht einreichen. Bei unzureichender Umsetzung der DSGVO kann dies nicht nur zu Bußgeldern, sondern auch zu zivilrechtlichen Ansprüchen auf Schadensersatz führen (Art. 82 DSGVO). Damit ist die Rechenschaftspflicht ein zentrales Compliance-Instrument: Sie schützt nicht nur personenbezogene Daten, sondern auch das Unternehmen selbst vor finanziellen und rechtlichen Risiken.
Im Übrigen gilt die sogenannte Beweislastumkehr. Das bedeutet, dass Unternehmen die Schuld erfüllen müssen, nachzuweisen, dass die Konformität gewahrt worden ist.
Warum ein DSMS (fast) immer notwendig ist
Ob die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO auch eine rechtlich bindende Pflicht zur Einrichtung eines ganzheitlichen Datenschutzmanagementsystems (DSMS) begründet, ist umstritten. Faktisch führt jedoch kaum ein Weg daran vorbei. Ein DSMS ist dringend zu empfehlen, um die Vielzahl an Datenschutzanforderungen systematisch, nachvollziehbar und nachhaltig umzusetzen – vor allem durch eine klare Aufbauorganisation, definierte Zuständigkeiten und wiederkehrende Kontrollprozesse.
Unternehmen sind daher gut beraten, eine Datenschutzorganisation zu schaffen, die den Anforderungen der DSGVO gerecht wird – in Abhängigkeit von Größe, Branche, Datenarten und Risikolage. Wesentliche Bestandteile sind:
- Ressourcenausstattung: Ausreichendes Budget und qualifiziertes Personal
- Festgelegte Prozesse: z. B. für Auskunftsersuchen (Art. 15 DSGVO) oder Datenschutzverletzungen (Art. 33, 34 DSGVO)
- Prozesse der Organisation selbst: Planung, Umsetzung, Dokumentation, Kontrolle und kontinuierliche Verbesserung
- Nachvollziehbare Rollenverteilung und Verantwortlichkeiten
Nur durch eine klare Struktur, abgestimmte Abläufe und regelmäßige Überprüfung lässt sich Datenschutz dauerhaft und rechtssicher umsetzen – und die persönliche Haftung der Unternehmensleitung effektiv begrenzen.
Zur Umsetzung eines wirksamen Datenschutzmanagementsystems greifen Unternehmen zunehmend auf etablierte Managementstandards zurück. Sie ermöglichen eine strukturierte Umsetzung und fördern Vergleichbarkeit und Auditierbarkeit. Relevante Standards und Rahmenwerke sind:
- ISO 27701: Erweiterung der ISO 27001 um Datenschutzanforderungen
- ISO 29100: Rahmenwerk für Datenschutz in Informationssystemen
- IDW PH 9.860.1: Datenschutzprüfung durch Wirtschaftsprüfer
- IDW PS 980: Prüfungsstandard für Compliance-Management-Systeme
Fazit
Ein DSMS sorgt dafür, dass datenschutzrechtliche Anforderungen der DSGVO und anderer Gesetze systematisch umgesetzt und dokumentiert werden. Das reduziert das Risiko von Bußgeldern, Schadensersatzforderungen und Reputationsschäden erheblich. Zudem kann das Unternehmen bei Prüfungen durch Aufsichtsbehörden oder bei Beschwerden nachweisen, dass es seinen Pflichten ordnungsgemäß nachkommt („Accountability“).
Durch klare Zuständigkeiten und dokumentierte Prozesse kann die Geschäftsleitung nachweisen, dass sie ihren Organisationspflichten nachgekommen ist. Das ist besonders relevant, da Manager und Geschäftsführer unter Umständen persönlich haftbar gemacht werden können, wenn Datenschutzverletzungen auf fehlende oder mangelhafte Strukturen zurückzuführen sind.
Ein gut strukturiertes DSMS sorgt für Transparenz: Wer ist wofür zuständig? Welche Daten werden wo verarbeitet? Das erleichtert interne Abläufe – etwa bei der Bearbeitung von Auskunftsersuchen, bei Datenschutzverletzungen oder bei Projektfreigaben mit personenbezogenen Daten. Zudem werden doppelte Arbeiten, Unsicherheiten und ad-hoc-Lösungen vermieden.
Datenschutz wird zunehmend als Wettbewerbsfaktor wahrgenommen. Unternehmen, die den Schutz personenbezogener Daten sichtbar ernst nehmen, stärken ihr Image und das Vertrauen ihrer Stakeholder – ein nicht zu unterschätzender Vorteil in Zeiten wachsender Sensibilität für digitale Rechte.
Ein DSMS beinhaltet Notfallpläne, Meldeketten und vordefinierte Prozesse für Datenschutzverstöße. Das ermöglicht eine rasche und koordinierte Reaktion – besonders wichtig, wenn die 72-Stunden-Frist zur Meldung einer Datenschutzverletzung an die Aufsichtsbehörde greift (Art. 33 DSGVO).
Viele Geschäftspartner, insbesondere in regulierten Branchen oder im internationalen Geschäft, erwarten heute ein hohes Datenschutzniveau – teilweise nachweisbar durch Zertifikate oder Audits. Ein DSMS schafft die Grundlage, um externe Anforderungen besser zu erfüllen, etwa im Rahmen von ISO-Zertifizierungen (z. B. ISO 27701) oder TISAX.
Ein DSMS lässt sich mit bestehenden Managementsystemen (z. B. für IT-Sicherheit, Qualität oder Compliance) verzahnen. Das fördert Synergien, spart Ressourcen und unterstützt eine ganzheitliche Unternehmensführung.
Ein Datenschutzmanagementsystem ist kein „bürokratisches Monster“, sondern ein strategisches Werkzeug zur rechtssicheren, effizienten und verantwortungsvollen Verarbeitung personenbezogener Daten. Es verschafft Unternehmen Schutz, Struktur und Vorteile im Wettbewerb – und wird in der Praxis zunehmend zur Voraussetzung für nachhaltiges Wachstum und digitale Vertrauensbildung.
