Dr. Sebastian Kraska

80331, München
19.06.2023

Datenschutz: Wie Geschäftsführer ihr Haftungsrisiko minimieren

Als Geschäftsführer müssen Sie neben dem operativen Erfolg stets ein komplexes Pflichtengerüst im Auge behalten. Ein umfassendes Haftungsmanagement sichert den Unternehmenserfolg und minimiert gleichzeitig Ihre persönlichen Haftungsrisiken. Denn diese bestehen nicht nur im Hinblick auf steuer- oder sozialrechtliche Vorgaben, sondern auch im Bereich des Datenschutzes.

Nicht nur bei vorsätzlichen, sondern auch bei fahrlässigen Pflichtverletzungen und rechtswidrigen Handlungen muss am Ende einer den Kopf hinhalten – das ist im Straßenverkehr so, und das ist in der Unternehmensführung nicht anders. Wer sich als Autofahrer an die Verkehrsregeln hält und regelmäßig die Bremsen, Reifen und Beleuchtung überprüft, ist normalerweise auf der sicheren Seite. Im Vergleich gehört die Berücksichtigung der gesetzlichen Vorschriften zu den Pflichtaufgaben des Managements. Viele Unternehmen arbeiten daher nach regelmäßig aktualisierten Compliance-Regeln und nutzen ein internes Überwachungssystem zur Einhaltung aller gesetzlichen Vorschriften. Ein solches Haftungsmanagement ist ein zentraler Bestandteil des Unternehmenserfolgs und reduziert zugleich persönliche Haftungsrisiken der Geschäftsführung.

Auch das gilt beim Datenschutz wie beim Autofahren: Solange nichts passiert, interessieren sich die Behörden so gut wie nie dafür, welche Vorsichtsmaßnahmen Sie treffen. Kommt es aber zu Datendiebstahl oder -missbrauch, dann wollen sie es ganz genau wissen. Wie konnte es zu diesem Data Breach kommen? Hat Ihr Unternehmen wirklich alle erforderlichen technischen und organisatorischen Maßnahmen (kurz TOM genannt) gemäß DSGVO identifiziert und umgesetzt? Und wie sehen diese genau aus? Wer dann nicht die passenden Antworten und Nachweise liefert, riskiert im Fall der Fälle Schadensersatzansprüche gemäß Art. 82 DSGVO sowie Bußgelder gemäß Art. 83 DSGVO. Und: Geschäftsführer haften auch hier für ihr „Tun und Unterlassen“.

Wer für den Datenschutz im Unternehmen verantwortlich ist …

Grundsätzlich haftet für etwaige Rechtsfolgen der Verantwortliche der Datenverarbeitung im Sinne der DSGVO. „Verantwortlicher“ ist die „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Abs. 7 DSGVO). Mit anderen Worten: Verantwortlicher im Sinne der DSGVO ist zunächst einmal das Unternehmen selbst. Wer innerhalb des Unternehmens die Schuld für den Verstoß trägt, ist im Außenverhältnis unerheblich. Als Geschäftsführer müssen Sie bei Datenschutzverstößen aber unter Umständen trotzdem in die eigene Tasche greifen.

Im Straßenverkehr haften bei einem Unfall Halter und Fahrer oft gesamtschuldnerisch. Ähnlich sehen es Juristen inzwischen auch beim Datenschutz. So hat der Europäische Gerichtshof bereits im Jahr 2018 einige grundlegende Kriterien festgelegt, wann auch der Geschäftsführer als Verantwortlicher anzusehen ist (Aktenzeichen C-25/17). Die Voraussetzungen:

  • Er profitiert von der Datenverarbeitung.
  • Er veranlasst oder duldet die Datenverarbeitung.

Dabei ist es völlig unerheblich, ob der Geschäftsführer Zugriff auf die Daten hatte oder sie selbst verarbeitet hat.

Mit einer Entscheidung des Oberlandesgerichts Dresden vom November 2021 hat sich das persönliche Haftungsrisiko für Geschäftsführer weiter erhöht. In einem Schadensersatzprozess (Aktenzeichen 4 U 1158/21) widersprach das Gericht der Auffassung, dass die Datenschutz-Grundverordnung eine persönliche Haftung ausschließe. Demnach sind Geschäftsführer eigene datenschutzrechtlich Verantwortliche im Sinne der DSGVO. Und damit haften sie bei einer rechtswidrigen Datenverarbeitung auch persönlich gegenüber Dritten. Eine solche Haftungserweiterung für Geschäftsführer ist zwar umstritten, aber durchaus konsequent. Schließlich haften Sie bei Pflichtverletzungen auch in anderen Fällen persönlich für etwaige Schäden (§ 43 GmbHG und § 93 Abs. 2 AktG). Warum sollte dies beim Datenschutz anders sein?

Umstritten ist vor dem EuGH auch die Frage, ob Behörden Verstöße gegen die DSGVO nicht in dem Detaillierungsgrad nachweisen müssen, den das deutsche Prozessrecht an sich verlangt (oder ob konkrete Pflichtverletzungen der Unternehmensleitung oder der Mitarbeiter nachgewiesen werden müssen). Ist das ein verzichtbarer juristischer Nebenaspekt oder ein Ideenstrang, der zur Information Ihrer Zielgruppe (Geschäftsführer) zwingend erforderlich ist? Im Zweifelsfall würde ich diesen Absatz wieder streichen …

Warum regelmäßige Datenschutz-Audits unverzichtbar sind …

Die Datenschutz-Grundverordnung und die Neufassung des deutschen Bundesdatenschutzgesetzes (BDSG) sind noch relativ jung. Beide Gesetze konkretisiert die Rechtsprechung nun nach und nach. Wer sich vor unangenehmen Nachfragen, Sanktionen oder persönlichen Haftungsrisiken schützen will, muss im Grunde nur seine Pflichten gewissenhaft erfüllen. Doch das ist meist schwieriger, als man denkt:

  • Wie verschaffen Sie sich als Geschäftsführer überhaupt einen Überblick über den aktuellen Datenschutz-Status Ihres Unternehmens?
  • Wie stellen Sie angesichts dessen, dass sich der Stand der Technik fortlaufend ändert, sicher, dass Ihre Maßnahmen hinreichend sind?
  • Und schließlich: Welche Investitionen in die IT-Technik oder Anpassungen von Software verbessern den vorhandenen Datenschutz-Status des Unternehmens wirklich?

Wünschenswert wäre sicher – ähnlich wie beim Auto – eine regelmäßige Hauptuntersuchung mit anschließender TÜV-Plakette. Die DSGVO sieht jedoch keine Verpflichtung zu regelmäßigen risikoorientierten Audits mit einer systematischen Bewertung des Datenschutzniveaus vor. Allerdings besteht gemäß Art. 24 Abs. 1 Satz 1 DSGVO und konkreter Art. 24 Abs. 1 Satz 2 die Pflicht zur regelmäßigen Kontrolle und Aktualisierung der technischen und organisatorischen Maßnahmen (TOM).

Sie brauchen also keinen TÜV, müssen aber in Sachen Datenschutz stets sicher unterwegs sein. Kommt es dann doch einmal zu einer „Verkehrskontrolle“, besteht für die Verantwortlichen im Sinne der DSGVO nach Art. 5 Abs. 2 zudem eine Nachweis- und Rechenschaftspflicht („Accountability“). Bleibt auf die „freundliche Anfrage“ der Aufsichtsbehörde eine angemessene und valide Stellungnahme aus, drohen zeit- und personalaufwendige Untersuchungen vor Ort. Und diese fördern im schlimmsten Fall weitere Datenschutzverstöße zutage.

Die Devise lautet folglich: Vorsorgen und gewappnet sein für den Fall der Fälle. Auch wenn Datenschutz-Audits gesetzlich nicht verankert sind, ist eine regelmäßige, systematische Prüfung und Bewertung aller Verarbeitungsprozesse und Schutzmaßnahmen allein zur Erfüllung der umfangreichen DSGVO-Pflichten nötig. Neben technischem und organisatorischem Sachverstand sind dafür auch beste Kenntnisse der rechtlichen Anforderungen erforderlich. Während große Konzerne über eigene Audit-Teams verfügen, sind IT-Verantwortliche in kleinen und mittleren Unternehmen damit aber meist hoffnungslos überfordert und Datenschutz-Audits durch Experten vor Ort oft unbezahlbar.

Wie eine Prüfung des Datenschutz-Status ohne Vor-Ort-Audit funktioniert …

Letztlich geht es darum, Datenschutz durch ein aktives Haftungsmanagement messbar und nachweisbar zu machen. Mit privASSIST stellt die IITR Cert GmbH hierfür ein webbasiertes Fernanalyse-Tool zur Verfügung, das ohne aufwendige Vor-Ort-Audits auskommt und Unternehmen eine belastbare Analyse der Ist-Situation ermöglicht. Gleichzeitig erfüllt das Datenschutz-Audit-Werkzeug die gesetzlich geforderten Nachweispflichten und sorgt durch die Dokumentation aller datenschutzrechtlich erforderlichen Maßnahmen für eine Entlastung der Geschäftsführung.

Die modular aufgebaute Online-Plattform führt den Nutzer durch einen einfach zu bedienenden Fragenkatalog und ermöglicht eine punktuelle Überprüfung für mehr als 17 Datenschutzbereiche. So können Unternehmen das Tool auch in Teilbereichen einsetzen und anhand von Konformitätsbewertungen und der CPS-Prüfstandards (Certified Privacy Standard) beispielsweise gezielt das Datenschutzniveau ihrer Online-Auftritte analysieren (CPS 031), die DSGVO-konforme Verarbeitung von Beschäftigtendaten überprüfen (CPS 021) oder den Status aller datenschutzrechtlich erforderlichen Maßnahmen für Telearbeit und mobile Arbeitsplätze ermitteln (CPS 071).

Schummeln wie vielleicht bei der theoretischen Führerscheinprüfung ist hier wenig sinnvoll, aber auch kaum möglich. Das System verhindert das nachträgliche Korrigieren oder Sichten bereits bearbeiteter Fragen, erkennt Unstimmigkeiten bei der Beantwortung durch eine automatisierte Plausibilitätsprüfung und zieht gegebenenfalls Vergleiche mit früheren Erhebungen. Zudem prüft privASSIST die Vollständigkeit aller Angaben und fordert gegebenenfalls notwendige Nachweise an. Und im Gegensatz zur Führerscheinprüfung können Sie die Bearbeitung natürlich jederzeit unterbrechen und zu einem späteren Zeitpunkt fortsetzen.

Nachdem Sie alle Fragen beantwortet und die Richtigkeit Ihrer Antworten bestätigt haben, erfolgt eine Prüfung aller Angaben und Nachweise durch die IITR Cert GmbH. Anschließend erhalten Sie zunächst einen Berichtsentwurf und nach einer Korrekturschleife, in der sich letzte Unstimmigkeiten oder Missverständnisse klären lassen, den endgültigen Audit-Bericht mit belastbaren Aussagen zur datenschutzrechtlichen Situation Ihres Unternehmens. Dieser Bericht enthält

  • eine revisionssichere Dokumentation aller Antworten und Nachweise des untersuchten Bereiches,
  • Grafiken zur vergleichenden Einordnung des aktuellen Datenschutz-Status und als Grundlage für ein späteres Benchmarking sowie
  • eine schriftliche Zusammenfassung mit Erläuterungen und Empfehlungen.

Der abschließende Audit-Bericht kann auch als Vorbereitung für einen Konformitätsnachweis nach Art. 42 DSGVO dienen oder für eine strukturierte Informationsbeschaffung in Anlehnung an den Prüfungsstandard IDW PH 9.860.1 im Rahmen einer Wirtschaftsprüfung genutzt werden.

Fazit

Neben einer Vielzahl von Pflichten für Unternehmen ergeben sich aus der Datenschutz-Grundverordnung und der Neufassung des Bundesdatenschutzgesetzes auch neue persönliche Haftungsrisiken für Geschäftsführer. Gleichzeitig steigen durch Ransomware, Malware und Phishing sowie den Trend zu Remote Work („Fernarbeit“) die Gefahren von Datenpannen mit unangenehmen Nachfragen der Aufsichtsbehörden. Auch wenn der Gesetzgeber regelmäßige Datenschutzaudits nicht vorschreibt, sind diese grundsätzlich notwendig, um die technischen und organisatorischen Maßnahmen gemäß DSGVO regelmäßig zu überprüfen und zu aktualisieren sowie der Nachweis- und Rechenschaftspflicht nachzukommen. Kurzum: Datenschutz muss messbar und jederzeit nachweisbar sein.

Zum aktiven Haftungsmanagement eines Unternehmens gehört daher auch die freiwillige und regelmäßige Überprüfung der Datenschutzkonformität. Ein solches Datenschutz-Audit minimiert Unternehmensrisiken und entlastet die Geschäftsführung. Mit privASSIST bietet die IITR Cert GmbH kleinen und mittleren Unternehmen, die sich keine eigenen Audit-Teams oder teure Vor-Ort-Audits durch externe Experten leisten können, ein ausgereiftes Audit-Tool für eine belastbare Ist-Analyse. Zu Preisen zwischen 225 und 1800 Euro pro Auditbereich erfüllt privASSIST die gesetzlich geforderten Nachweispflichten und sorgt gleichzeitig für mehr Transparenz, sodass Sie bestehende Betriebsabläufe durch eine langfristige Datenschutzstrategie umgestalten und optimieren können.

Der Beitrag Datenschutz: Wie Geschäftsführer ihr Haftungsrisiko minimieren erschien zuerst auf Das Datenschutz-Blog.