Datenschutzrechtlich verantwortlich für die Einhaltung der DSGVO ist diejenige Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet. Dies ist nie der Datenschutzbeauftragte, immer das Unternehmen.
Dem internen oder externen Datenschutzbeauftragten obliegt gem. Art. 39 DSGVO die Aufgabe, das Unternehmen und deren Beschäftigte, über ihre datenschutzrechtlichen Pflichten zu unterrichten und im Datenschutz beratend tätig zu sein. Hier ist der Datenschutzbeauftragte gefordert, nicht lediglich die einschlägigen Vorschriften nach der DSGVO wiederzugeben, sondern das Unternehmen aktiv beim Lösen von konkreten Problemen zu unterstützen, die bei der Umsetzung von Maßnahmen auftauchen können. Der interne oder externe Datenschutzbeauftragte haftet bei vorsätzlicher oder grober Fahrlässigkeit in vollem Umfang. Bei normaler Fahrlässigkeit kommt es zu einer prozentualen Verteilung zwischen Arbeitgeber und Arbeitnehmer. Eine Haftung des internen Datenschutzbeauftragten bei leichter Fahrlässigkeit scheidet regelmäßig aus. Anders stellt sich die Lage beim externen Datenschutzbeauftragten dar. Kommt dieser seinen vertraglichen Beratungspflichten nicht im erforderlichen Umfang nach, etwa aufgrund einer Falschberatung, sind vertragliche Schadensersatzansprüche in vollem Umfang denkbar. Auch aus diesem Grund ist die Bestellung eines externen Datenschutzbeauftragten für Unternehmen vorteilhaft.