Compliance-Pflichten der Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit

Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai2018 ist das „neue“ Datenschutzrecht in aller Munde. Vor allem die Androhung von empfindlichen Bußgeldern bei datenschutzrechtlichen Verstößen veranlasst Unternehmen, sich „DSGVO-konform“ zu verhalten. Hierbei steht die Geschäftsleistung in der Pflicht, die Einhaltung der datenschutzrechtlichen Vorgaben sicherzustellen. Gelingt ihr dies nicht, laufen die Geschäftsführer Gefahr, persönlich zu haften.

Jedes Unternehmen verarbeitet personenbezogene Daten

Jedes Unternehmen verarbeitet personenbezogene Daten. Hierunter versteht man jede Angabe, welche einer bestimmten oder jedenfalls bestimmbaren (natürlichen) Person zugeordnet werden kann. Umfasst sind bspw. die persönliche Telefonnummer, die E-Mail-Adresse, aber auch Angaben  zur Kreditwürdigkeit. Hierbei sind nicht nur Kundendaten betroffen, sondern auch die Daten der eigenen Mitarbeiter.

Bußgelder in Höhe von bis zu EUR 20 Millionen oder 4 Prozent des weltweit erzielten Jahresumsatzes

Mit dem Inkrafttreten der DSGVO ist das Thema Datenschutz für Unternehmen zwar nicht neu, hat jedoch erheblich an Brisanz gewonnen. Ausschlaggebend hierfür sind hohe Bußgelder, welche Unternehmen bei Datenschutzverstößen drohen: Die zuständigen Datenschutzbehörden sind berechtigt, bei Verstößen Bußgelder in Höhe von bis zu EUR 20 Millionen oder 4 Prozent des weltweit erzielten Jahresumsatzes zu verhängen.

Einfallstor für die Managerhaftung gem. § 43 GmbH-Gesetz

Die Gewährleistung der „DSGVO-konformen“ Datenverarbeitung ist hierbei nicht lediglich Angelegenheit der IT-Abteilung, sondern vielmehr eine unmittelbare Aufgabe der Geschäftsleitung. Denn diese ist nach dem sog. „Legalitätsprinzip“ verpflichtet, die Geschäfte des Unternehmens gesetzestreu zu führen – einschließlich der Befolgung sämtlicher Vorgaben des Datenschutzrechts. Verstößt die Geschäftsleitung gegen diese Kardinalspflicht, droht den Geschäftsführern die Managerhaftung gem. § 43 GmbH-Gesetz.

Organisations- und Überwachungspflicht der Geschäftsführung

Es stellt sich daher die Frage, welche Maßnahmen Geschäftsführer konkret zu treffen haben, um eine solche persönliche Inanspruchnahme zu vermeiden. Von ihnen wird zwar nicht verlangt, jede einzelne Datenverarbeitung im Unternehmen zu überprüfen, zumal diese in aller Regel automatisiert erfolgt. Sie sind jedoch dazu verpflichtet, das Unternehmen so zu organisieren und zu überwachen, dass keine Datenschutzverstöße erfolgen können. Zudem sind sie verpflichtet, die Sicherheit der Daten durch die Vornahme von  technischen Schutzmaßnahmen zu gewährleisten. Erreicht werden kann dies durch die Einführung von umfangreichen Compliance-Maßnahmen.

Einführung von konkreten Compliance-Maßnahmen durch die Geschäftsleitung

Welche einzelnen Maßnahmen zu ergreifen sind, hängt maßgeblich von der Unternehmensgröße sowie der datenschutzrechtlichen Sensibilität der Geschäftstätigkeit ab. Im Allgemeinen haben die Geschäftsführer dafür Sorge zu tragen, dass datenschutzkonforme Verarbeitungsprozesse eingeführt werden, einschließlich der Überprüfung sämtlicher (Muster-)Verträge. Auch sind die Mitarbeiter für das Thema Datenschutz und Datensicherheit durch (interne) Schulungen zu sensibilisieren. Zudem ist die evtl. veraltete IT-Policy zu überprüfen und technische Schutzmaßnahmen wie bspw. der Einsatz von Firewalls oder Verschlüsselungstechnik zu ergreifen, welche dem aktuellen Stand der Technik entsprechen. Ggf. ist auch personell in die IT-Abteilung zu investieren.