Organisatorische Maßnahmen i.S.v. Art. 32 DSGVO

I. Pflicht zur Ergreifung von technischen und
organisatorischen Maßnahmen nach Art. 24,
32 DSGVO

Nach Art. 24 Abs. 1 Satz 1 DSGVO muss der Verantwortliche, d.h. das datenverarbeitende Unternehmen,¹ »geeignete technische und organisatorische Maßnahmen um[setzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. « Art. 24 DSGVO konkretisiert damit die Umsetzung der Grundsätze des Art. 5 DSGVO für den Verantwortlichen.

Art. 32 DSGVO spezifiziert diese Verpflichtung noch weiter im Hinblick auf die Einhaltung der Datensicherheit. Denn nach Art. 32 Abs. 1, Halbs. 1 DSGVO ist der Verantwortliche, d.h. das datenverarbeitende Unternehmen, verpflichtet, »[u]nter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos […] geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten«. 

Diese Vorschrift verpflichtet also den Verantwortlichen unmittelbar zur Gewährleistung der Sicherheit der Datenverarbeitung mittels technischer und organisatorischer Maßnahmen.² Technische und organisatorische Maßnahmen sind zunächst alle notwendigen sowie geeigneten Maßnahmen, um die Beachtung des Datenschutzes und der Datensicherheit bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten und den dazu betriebenen Verfahren sicherzustellen.³ 

Während sich technische Maßnahmen regelmäßig auf alle Hard-, Software- und Netzwerkkomponenten beziehen, etwa Maßnahmen der Zugriffskontrolle wie technische Berechtigungskonzepte und Passwortsicherungen,⁴ beziehen sich die organisatorischen Maßnahmen insbesondere auf den Ablauf, die Umstände und die durchführenden Personen, wie etwa die Verpflichtungen zur Befolgung von technischen Prozessen, die Protokollierungen von Tätigkeiten oder Schulungen zur Sensibilisierung von Beschäftigen für datenschutzrechtliche und -technische Belange.⁵

Als ein Beispiel für eine technische wie auch eine organisatorische Maßnahme seien die Maßnahmen für sichere Passwörter bzw. die Sicherung der hinter diesen passwortgeschützten Accounts liegenden Daten genannt. Technisch können entsprechende Einstellungen vorgenommen werden, dass nur hinreichend sichere Passwörter (Mindestlänge, Buchstaben, Zahlen, Sonderzeichen) vergeben werden können. Daneben muss jedoch auch sichergestellt werden, dass Beschäftigte nicht für alle Accounts im Rahmen ihrer beruflichen Tätigkeit dasselbe Passwort verwenden. Dies erfolgt durch eine Passwort-Richtlinie oder eine Klausel in einer IT-Richtlinie bzw. einer Betriebsvereinbarung, nach der die Beschäftigten verpflichtet werden, unterschiedliche Passwörter und zur Verwaltung der nicht selten weniger als 20 notwendigen Passwörter einen Passwortmanager sowie – soweit möglich – eine Zwei-Faktor-Authentifizierung zu verwenden. Regelmäßig entstehen so erst im Zusammenwirken von technischen und organisatorischen Maßnahmen i.S.v. Art. 24 und 32 DSGVO geeignete Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit, da sie erst zusammen für ein geeignetes Schutzniveau sorgen können. So hilft etwa die hinreichende Komplexität eines Passworts nur bedingt, wenn dieses Passwort für mehrere Accounts verwendet wird. Denn im Falle eines Accountbruchs durch Passwort-Erlangung wären so gleich alle weiteren Accounts in der dringenden Gefahr kompromittiert zu werden.⁶

Organisatorische Maßnahmen wie IT-Richtlinien und Betriebsvereinbarungen sind also schon deswegen notwendig, um der allgemeinen Nachweispflicht aus Art. 5 Abs. 2 DSGVO sowie der konkretisierten aus Art. 24 DSGVO nachkommen zu können.⁷ Mit ihnen kann ein Verantwortlicher leichter nachweisen, dass organisatorische Maßnahmen – wie etwa die Verpflichtung zur Verwendung unterschiedlicher Passwörter und eines Passwortmanagers – im Unternehmen i.S.v. Art. 24 Abs. 1 Satz 1 und Art. 32 Abs. 1 DSGVO getroffen wurden. 

Darüber hinaus begründet Art. 32 Abs. 4 DSGVO eine weitere Verpflichtung zur Erstellung von IT-Richtlinien bzw. Betriebsvereinbarungen für Arbeitgeber. Davon ausgehend, dass mit arbeitsteiligen Prozessen und damit mit jedem Beschäftigten, der über Zugriffsberechtigungen verfügt, ein weiteres Missbrauchs- und Fehlerrisiko einhergeht, verpflichtet Art. 32 Abs. 4 DSGVO den Verantwortlichen noch einmal gesondert »Schritte« zu unternehmen, »um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten«8 – ergo organisatorische Maßnahmen zu ergreifen.

II. Rechtsfolgen

Verstößt der Verantwortliche gegen die Verpflichtung aus Art. 24 und 32 DSGVO, organisatorische Maßnahmen zu ergreifen, und/oder kann er die Einhaltung nicht nachweisen, so können nach Art. 83 Abs. 4 Buchst. a) DSGVO Bußgelder in einer Höhe von bis zu 10 Mio. € bzw. bis zu 2 % des weltweiten Jahresumsatzes verhängt werden. 

Ein solcher Verstoß eines verantwortlichen Unternehmens entsteht regelmäßig durch ein Verhalten eines Beschäftigten innerhalb des Unternehmens – und nicht durch einen natürlichen Organvertreter. Dieses Verhalten oder ein sonstiger Umstand bedingen den Datenschutzverstoß sowie den gegebenenfalls daraus entstandenen Schaden materieller oder immaterieller Art. Hat der Verantwortliche keine organisatorischen Maßnahmen wie vorstehend skizziert ergriffen, kann er im Zweifel nicht den Nachweis erbringen, dass er für den Umstand, der den Verstoß und den Schaden verursachte, aufgrund von organisatorischer Maßnahmen nicht verantwortlich ist. Der Verantwortliche kann sich aus einem Organisationsverschulden nicht exkulpieren. Damit kann das verantwortliche Unternehmen sowohl nach Art. 82 DSGVO für etwaige Schäden haften als auch wegen dieser Verstöße mit einem (weiteren) Bußgeld nach Art. 84 Abs. 4 Buchst. a) DSGVO belegt werden.⁹

III. Haftung für Datenschutzverstöße durch das verantwortliche Unternehmen

Auch wenn das Thema »Haftung des verantwortlichen Unternehmens « in diesem Rahmen nicht hinreichend behandelt werden kann, sollen doch die Grundzüge der Problematik kurz beleuchtet werden, um darauf aufbauend die Relevanz von organisatorischen Maßnahmen wie IT-Richtlinien und Betriebsvereinbarungen zur Risikominimierung im Hinblick auf die Haftung für Bußgelder und Schadensersatz zu erörtern.

Die DSGVO trifft keine Regelungen dazu, inwieweit ein Unternehmen als Verantwortlicher im Sinne der DSGVO für Fehlverhalten von natürlichen Personen wie etwa Beschäftigten haftet. Es gelten hier die nationalen Regelungen. Nach § 41 BDSG findet das Ordnungswidrigkeitengesetz (OWiG) Anwendung. Das OWiG kennt wiederum zwei Fälle, in denen ein Unternehmen strafrechtlich sanktioniert werden kann. Nach § 30 OWiG kann (sehr verkürzt dargestellt) eine Geldbuße gegen ein Unternehmen verhängt werden, wenn ein Mitglied des vertretungsberechtigten Organs oder Mitarbeiter in leitender Position eine Straftat oder Ordnungswidrigkeit begangen hat und hierdurch die Pflichten, die das Unternehmen betreffen, verletzt worden sind. Gerade im Bereich des Datenschutzes sind es jedoch wie ausgeführt weniger die Organe oder Mitarbeiter in leitender Funktion, die unmittelbar Straftaten bzw. Ordnungswidrigkeiten i.S.d. § 30 OWiG begehen.

Nahezu klassisch ist das folgende Beispiel: Ein System-Administrator verwendet stets für alle seine Unternehmens-Accounts und -Zugänge das Passwort »Unternehmen2020« und verschickte dieses Passwort einmal in einer unverschlüsselten E-Mail an einen externen Dienstleister. Eines Tages dringen Skript-Kiddies¹⁰ in die Datensysteme ein, löschen einige personenbezogene Daten, transferieren andere und stellen über die Firmenserver Kreditkartendaten von Kunden frei zugänglich ins Netz.

Hier ist durch ein Fehlverhalten eines einzelnen Beschäftigten ein massiver Data Breach des Unternehmens entstanden, welcher zu Schadensersatz von Betroffenen nach Art. 82
DSGVO, aber auch zu Bußgeldern nach Art. 84 DSGVO führen kann. Für dieses Fehlverhalten kann das Unternehmen im Rahmen von § 130 OWiG haften. Voraussetzung ist – wieder verkürzt dargestellt –, dass der Inhaber oder ein Organ des Unternehmens vorsätzlich oder fahrlässig eine Aufsichtsmaßnahme unterlassen hat, die erforderlich gewesen wäre, um Zuwiderhandlungen gegen Bußgeldnormen zu verhindern, und wenn hierdurch Pflichten des Unternehmens verletzt worden sind. Im genannten Beispielsfall sind offensichtlich Pflichten aus Art. 32 DSGVO verletzt worden. Die Verwendung eines derart einfachen Passworts in allen Accounts stellt keine geeignete Maßnahme zur Datensicherheit dar. Die Frage ist folglich nur noch, ob eine Aufsichtsmaßnahme
unterlassen wurde, also ob ein Organisationsverschulden vorliegt. Wie dargelegt besteht die Verpflichtung nach Art. 24 und Art. 32 DSGVO, entsprechende geeignete organisatorische Maßnahmen zu ergreifen, und diese auch nachweisen zu können.¹¹ Der Nachweis scheitert jedenfalls, wenn der Verantwortliche schon keinerlei rechtsverbindliche organisatorische Maßnahmen ergriffen hat.¹²

Es ist in diesem Zusammenhang festzuhalten, dass die Wirkung der Nachweispflicht i.S.v. Art. 5 Abs. 2 und Art. 24 DSGVO im Rahmen des Straf- bzw. Ordnungswidrigkeitsverfahren strittig ist. Nach einer Auffassung stellt die Nachweispflicht nur eine materiell-rechtliche Verpflichtung dar, die nicht dazu führen dürfe und könne, dass faktisch die Befugnisse der Behörden nach Art. 58 DSGVO und damit die Position der Behörden in strafrechtlichen Verfahren verbessert würde. Vielmehr diene die Nachweispflicht nur dem Schutz der Betroffenen.¹³ Nach anderer – vorzugswürdiger – Auffassung ist die Nachweispflicht verfahrensrechtlich bedeutsam. Art. 58 DSGVO gewährt den Behörden entsprechende Befugnisse zur Erfüllung ihrer Aufgaben, darunter nach Art. 57 Abs. 1 DSGVO die Überwachung und Durchsetzung der DSGVO. Hierzu gehören auch anlasslose und präventive Untersuchungen von Amts wegen.¹⁴ In diesem Zusammenhang kann die Behörde nach Art. 58 Abs. 1 Buchst. a) DSGVO¹⁵ den Verantwortlichen anweisen, alle Informationen bereitzustellen, die zur Erfüllung der Aufgabe erforderlich sind. Die Anweisung zur Bereitstellung von Informationen beinhaltet auch eine Auskunftsverpflichtung des Verantwortlichen; vgl. auch § 40 Abs. 3 S. 1 BDSG.¹⁶ Die Auskunftspflicht betrifft umfassend »alle Informationen«, was auch die Auskunft über technische Abläufe und organisatorische Zusammenhänge bei der Verarbeitung personenbezogener Daten einschließt.¹⁷ Das heißt, es sind auch Verfahrensdokumentationen einschließlich vorhandener Datenschutz- und Sicherheitskonzepte, die Beschreibung technisch-organisatorischer Maßnahmen sowie interne Handlungsanweisungen und Richtlinien vorzulegen.¹⁸

Es ist nicht ersichtlich, dass und woraus eine grundsätzliche Sperrwirkung hinsichtlich eines Bußgeldverfahrens erwachsen sollte.¹⁹ Allerdings kann sich der Verantwortliche bzw. Auftragsverarbeiter aufgrund der Rechtsstaatlichkeitsklausel in Art. 58 Abs. 4 und insbesondere wegen des Grundsatzes »nemo tenetur se ipsum accusare« auf ein Auskunftsverweigerungsrecht berufen, soweit er sich durch die Bereitstellung der Informationen selbst belasten würde.²⁰ Hierauf ist der Auskunftsverpflichtete auch nach § 40 Abs. 3 BDSG hinzuweisen. 

Von all dem abgesehen, stellt sich in der unternehmerischen Praxis die Frage, warum sich ein Verantwortlicher überhaupt diesen dogmatischen Fragestellungen mit für ihn ungewissem prozessualen Ausgang stellen sollte, anstatt unmittelbar – nicht nur aus datenschutz- und haftungsrechtlicher Sicht, sondern auch aus Gründen der IT-Sicherheit und des reibungslosen Betriebsablaufes – organisatorische Maßnahmen i.S.d. Art. 32 DSGVO in Form von Richtlinien bzw. Betriebsvereinbarungen zu schaffen.

IV. Implementierung von organisatorischen Maßnahmen 

Organisatorische Maßnahmen können in vielfältiger Weise ergriffen werden. Es kann sich um Schulungen, leicht verständliche und gut aufbereitete Hinweise im Intranet, Dienstanweisungen oder verbindliche Richtlinien bzw. Betriebsvereinbarungen handeln. So wichtig Schulungen und leicht verständliche Hinweise zur praktischen Umsetzung im unternehmerischen Alltag sind, so problematisch sind diese in Bezug auf Nachweispflichten, die Durchsetzbarkeit im Innenverhältnis sowie im Hinblick auf etwaige Regressmöglichkeiten gegenüber Mitarbeitern im Rahmen der Grundsätze zur Arbeitnehmerhaftung bzw. des innerbetrieblichen Schadensausgleichs.²¹ Deswegen sollte die arbeitsrechtliche Dimension bei der Gestaltung von organisatorischen Maßnahmen so gleich mitgedacht und auch eine rechtsverbindliche Implementierung im Rahmen von IT-Richtlinien bzw. Betriebsvereinbarungen erfolgen, die eine Durchsetzung der Weisungen auch durch die arbeitsrechtlichen zulässigen Sanktionsmittel ermöglichen.²² In der unternehmerischen Praxis sollte es sich bei den organisatorischen Maßnahmen stets um ein sich jeweils ergänzendes Maßnahmenbündel aus leicht verständlichen Hinweisen, Schulungen sowie rechtsverbindlichen Dokumenten handeln.

V. Beispielhafte Inhalte einer IT-Richtlinie oder IT-Betriebsvereinbarung

IT-Richtlinien verpflichten die Beschäftigen eines Verantwortlichen verbindlich, bestimmte IT-Sicherheits-Standards und technische wie organisatorische Prozesse einzuhalten. Sie stellen eine geeignete organisatorische Maßnahme i.S.d. Art. 24 und 32 DSGVO dar. Eine derartige Richtlinie enthält unter anderem Regelungen:

• zu Konfigurationsrechten an Hard- und Software
• zu IT- und Datensicherheit am Arbeitsplatz wie
• Passwortmanagement, Sperren des Arbeitsplatzes, Verschlüsselung von Daten
• Datensicherungen, Down- und Upload von Dateien
• Arbeiten im öffentlichen Raum, Arbeiten im Home Office (mobiles Arbeiten)
• zur Klassifikation zur Vertraulichkeit von Daten und zum Umgang mit den Daten der  jeweiligen Vertraulichkeitsklassen
• zur dienstlichen und privaten Nutzung der IT-Infrastruktur23
• zur Analyse von personenbezogenen Daten im Fall des Missbrauchsverdachts
• zu Meldepflichten i.S.d. Art. 33 DSGVO24
• zu Sanktionen

Auch wenn die Grundstruktur von IT-Richtlinien bzw. Betriebsvereinbarungen²⁵ stets gleich ist, so sind die konkreten Regelungen im Detail so individuell wie jedes Unternehmen, seine eingesetzten Systeme sowie die Unternehmenskultur. 

VI. Fazit – Wirkung von organisatorischen Maßnahmen

IT-Richtlinien bzw. IT-Betriebsvereinbarungen enthalten essentielle Regelungen, die – bei guter Um- und Durchsetzung im Unternehmen – zum einen das Risiko für den Eintritt eines Datenschutzvorfalls erheblich minimieren und zum anderen aus den oben aufgezeigten Gründen das Haftungsrisiko für den Verantwortlichen im Falle eines bereits verwirklichten Risikos, d.h. eines Datenschutzvorfalls, beträchtlich senken.

Mit IT-Richtlinien bzw. IT-Betriebsvereinbarungen werden organisatorische Maßnahmen i.S.d. Art. 24 und 32 DSGVO zur Gewährleistung der Datensicherheit und des Datenschutzes ergriffen. Zugleich können Nachweispflichten nach Art. 5 Abs. 2 sowie Art. 24 DSGVO erfüllt werden. Das bedeutet auch, dass dem Vorwurf eines Organisationsverschuldens unmittelbar entgegengetreten und das Haftungsrisiko für Datenschutzverletzung erheblich minimiert werden kann. Organisatorische Maßnahmen in Form von IT-Richtlinien bzw. IT-Betriebsvereinbarungen sind insoweit ein »Must-Have« eines jeden verantwortlichen Unternehmens.