Wissensbereich

Die Geschäftsleitung als Verantwortlicher nach Art. 24 DSGVO: Was bedeutet das konkret?

Datenschutz ist nicht nur ein IT-Thema, sondern vor allem eine Führungsaufgabe. Als Geschäftsleitung trägst Du in Deiner Rolle als „Verantwortlicher“ gemäß Art. 24 DSGVO die oberste Verantwortung für den rechtmäßigen Umgang mit personenbezogenen Daten. Du entscheidest, ob und wie Daten verarbeitet werden – und musst sicherstellen, dass die gesetzlichen Anforderungen eingehalten werden. Doch was bedeutet das konkret im Unternehmensalltag?

Dein Auftrag als „Verantwortlicher“: Kernelemente von Art. 24 DSGVO

Geeignete technische und organisatorische Maßnahmen (TOM)

Unter „geeigneten TOM“ versteht man alle Schutzvorkehrungen, die gewährleisten, dass personenbezogene Daten sicher und rechtskonform verarbeitet werden. Beispiele hierfür sind:

Technische Maßnahmen: Verschlüsselung, Zugriffs- und Berechtigungskonzepte, sichere Netzwerkinfrastruktur, regelmäßige Backups.
Organisatorische Maßnahmen: Geschultes Personal, Leitlinien zu Datenverarbeitung und IT-Sicherheit, klare Verantwortlichkeiten, Notfallpläne.

Du solltest diese Schutzmaßnahmen nicht nur einmalig umsetzen, sondern sie regelmäßig prüfen und an neue Risiken oder gesetzliche Anforderungen anpassen.

Verarbeitungsverzeichnis führen

Gemäß Art. 30 DSGVO hast Du als Verantwortlicher die Pflicht, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Darin werden u. a.

Zweck und Rechtsgrundlage jeder Datenverarbeitung,
Art der verarbeiteten Daten,
Kategorien betroffener Personen (z. B. Kunden, Mitarbeitende),
Empfänger von Daten (externe Dienstleister, öffentliche Stellen), vorgesehene Löschfristen,
technische und organisatorische Schutzmaßnahmen

dokumentiert. Dieses Verzeichnis ist das „Herzstück“ Deines Datenschutzmanagements, denn es zeigt Dir (und im Zweifel auch einer Aufsichtsbehörde) auf einen Blick, wie und wo Daten verarbeitet werden.

Rechenschaftspflicht gegenüber Behörden und Betroffenen

Die Rechenschaftspflicht ist ein wesentlicher Pfeiler der DSGVO. Du musst jederzeit nachweisen können, dass Du die Anforderungen der Verordnung einhältst. Das kann u. a. durch folgende Maßnahmen geschehen:

Aktuelle Dokumentation (z. B. Verarbeitungsverzeichnis, Richtlinien, technische Nachweise),
Nachweisdokumente zu Schulungen und Sensibilisierungen der Mitarbeitenden,
Datenschutz-Folgenabschätzungen (falls notwendig) und deren Ergebnisse,
Verträge mit Dienstleistern (Auftragsverarbeitungsverträge).

Darüber hinaus sollten Deine Prozesse so gestaltet sein, dass Du auf Anfragen von Betroffenen (z. B. Auskunfts- oder Löschanfragen) schnell und vollständig reagieren kannst.

Du trägst die Verantwortung – aber Du musst nicht alles allein machen

Natürlich bedeutet das nicht, dass Du sämtliche Aufgaben rund um den Datenschutz im Alleingang bewältigen musst. Häufig unterstützt Dich ein:e Datenschutzbeauftragte:r dabei (siehe auch Beitrag “Abgrenzung zu den Pflichten des Datenschutzbeauftragten”). Diese Person berät Dich bei der Umsetzung der DSGVO, prüft Prozesse und Maßnahmen und dient als Schnittstelle zu Behörden.

Wichtig: Die operative Umsetzung kann an Fachabteilungen (z. B. IT, HR) oder an einen externen Dienstleister abgegeben werden. Die Verantwortung jedoch bleibt bei Dir als Geschäftsführung. Das kann auch haftungsrechtliche Konsequenzen haben (dazu mehr im Beitrag “Haftungsfragen: Wer zahlt bei Datenschutzverstößen – das Unternehmen oder das Management?”).

Praxis-Tipps: So setzt Du Art. 24 DSGVO erfolgreich um

1. Führe eine gründliche Bestandsaufnahme durch

Welche Daten verarbeitest Du überhaupt?
Wo liegen diese Daten (Server, Cloud, Papierform)?
Wer hat Zugriff?

2. Diese Analyse ist die Basis für Dein Verarbeitungsverzeichnis.

3. Definiere Rollen und Zuständigkeiten

Wer kümmert sich um die Pflege des Verarbeitungsverzeichnisses?
Wer kontrolliert, ob die technischen und organisatorischen Maßnahmen funktionieren?
Wer reagiert auf Betroffenenanfragen?

4. Eine klare Aufgabenteilung schafft Sicherheit und Transparenz.

Wer setzt den Datenschutz in der Praxis um? In den Systemen? In den Anwendungen? Es geht nicht nur um Dokumentation.

5. Etabliere ein Datenschutzmanagementsystem

Lege Prozesse für Datenschutzvorfälle fest: Was tun bei einer Datenpanne?
Dokumentiere sämtliche Entscheidungen rund um Datenschutz und IT-Sicherheit.
Plane ein jährliches Budget für Schulungen, IT-Sicherheit und externe Beratung (vgl. Beitrag “Budgetierung und Ressourcenplanung für Datenschutzprojekte”).

6. Sensibilisiere und schule Deine Mitarbeitenden

Betone, warum Datenschutz im Unternehmen wichtig ist (siehe Beitrag “Warum Datenschutz ein Chefthema ist: Risiken, Verantwortung, Image”).
Stelle Praxisbeispiele vor, um das Bewusstsein für mögliche Risiken (Phishing, Datenleck) zu erhöhen.
Biete regelmäßige Auffrischungs-Schulungen an.

7. Dokumentiere, dokumentiere, dokumentiere

Alle Maßnahmen und Entscheidungen sollten schriftlich festgehalten werden – so kannst Du bei einer Prüfung jederzeit Deine Sorgfalt belegen.
Update Deine Unterlagen regelmäßig (Technologien und Gesetze entwickeln sich stetig weiter).

Was passiert, wenn Du Deinen Pflichten nicht nachkommst?

Wenn Du die Vorgaben aus Art. 24 DSGVO (und weitere Datenschutzpflichten) nicht erfüllst, drohen:

Hohe Bußgelder (bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro),
Reputationsschäden, wenn Datenpannen öffentlich werden,
Persönliche Haftungsrisiken für die Geschäftsleitung bei grober Fahrlässigkeit oder Vorsatz.

Wie sich das konkret auf Deine Haftung auswirken kann, beleuchtet der Beitrag “Haftungsfragen: Wer zahlt bei Datenschutzverstößen – das Unternehmen oder das Management?”.

Fazit: Art. 24 DSGVO ist mehr als ein Artikel – es ist Dein Führungsauftrag

Art. 24 DSGVO bringt auf den Punkt, worum es im Datenschutz geht: Verantwortung übernehmen. Du als Geschäftsleitung steuerst die Richtung, in die das Unternehmen geht, und entscheidest, wie mit personenbezogenen Daten umgegangen wird. Dabei kannst Du Dich von Experten beraten lassen, aber am Ende bist Du die Person, die Rechenschaft ablegen muss.

Mit ausreichendem Datenschutz lebt es sich als Geschäftsführer in jeder Hinsicht ruhiger. Ein verlässliches Datenschutzkonzept bringt Dir nicht nur rechtliche Sicherheit, sondern auch wertvolle Vorteile fürs Unternehmensimage und die Vertrauensbildung bei Kunden, Geschäftspartnern und Mitarbeitenden. Wenn Du frühzeitig und aktiv die Weichen stellst, sparst Du Dir Ärger und Geldstrafen und gewinnst obendrein an Professionalität.

Solltest Du Fragen zum konkreten Vorgehen haben oder Unterstützung beim Aufbau eines Datenschutz-Managementsystems benötigen, zögere nicht, Dir professionellen Rat zu holen. So meisterst Du Deine Rolle als „Verantwortlicher“ nach Art. 24 DSGVO souverän – und profitierst langfristig von einem sicheren und vertrauenswürdigen Datenumgang in Deinem Unternehmen.

Bleibe auf dem Laufenden

Melde Dich für unseren Datenschutz-Newsletter an und erhalte regelmäßig aktuelle Informationen und Best Practices zur datenschutzkonformen Unternehmensführung.

Datenschutz-Newsletter

Bleib informiert!

Weiterführende Beiträge:

Warum Datenschutz ein Chefthema ist: Risiken, Verantwortung, Image
Die Geschäftsleitung als Verantwortlicher nach Art. 24 DSGVO: Was bedeutet das konkret?
Abgrenzung zu den Pflichten des Datenschutzbeauftragten
Haftungsfragen: Wer zahlt bei Datenschutzverstößen – das Unternehmen oder das Management?
Datenschutz als Teil der Corporate Governance und des Risikomanagements
Strategische Bedeutung des Datenschutzes: Wettbewerbsvorteil vs. lästige Pflicht?
Vorbildfunktion der Geschäftsleitung: gelebter Datenschutz und Compliance-Kultur
Vermeidung von Reputationsschäden: Beispiele berühmter Datenschutzskandale
Grundsätze einer datenschutzorientierten Unternehmenskultur: Offenheit, Bewusstsein, Vorbeugung
Organigramm und Zuständigkeiten: Wer berichtet an wen in Sachen Datenschutz?
Kollaboration mit Aufsichtsbehörden: Wann nimmt die Geschäftsleitung Kontakt auf?
Budgetierung und Ressourcenplanung für Datenschutzprojekte
Key Performance Indicators (KPI) im Datenschutz: Messbarkeit und Steuerung
Was gehört in einen Geschäftsführungsbericht zum Thema Datenschutz?
Wechsel in der Geschäftsführung: Übergabe relevanter Informationsbestände
Verantwortung bei internationalen Tochtergesellschaften: Konzernweite Richtlinien umsetzen
Informationspflichten an Gesellschafter, Aktionäre, Aufsichtsrat bei Datenschutzthemen
Compliance-Kommittee oder Datenschutz-Gremium? Wann lohnt sich ein eigener Ausschuss?
Entscheidungen zu Big Data und KI: Management-Abwägung zwischen Chancen und Datenschutzrisiken
Outsourcing wichtiger Funktionen (IT, Lohnbuchhaltung): Rolle der Geschäftsleitung
Datenschutz im Krisenfall (z. B. Datenleck, Hackerangriff): Wie reagiert die Firmenleitung?
Schulungen für Top-Management: Welche Inhalte sind wirklich wichtig?
„DSGVO-Check“ vor strategischen Weichenstellungen (neue Märkte, neue Produkte)
Exkurs: Rolle des CFO bei Investitionsentscheidungen in Datenschutz-Lösungen
Zukunft: CEOs als Data Guardians – wird der Schutz von Daten zum zentralen Führungsauftrag?

Dein Datenschutzpartner

Angebote

Kontakt

DeinDatenschutzpartner.de

ist ein Projekt der Lucky Rebels Projekt GmbH Gustav-Adolf-Straße 41, 04105 Leipzig

Web: https://www.deindatenschutzpartner.de

Mail: kontakt@deindatenschutzpartner.de

Telefon: +49 341 12 59 61 64