Verantwortlichkeit für die Einhaltung der Bestimmungen der Datenschutz-Grundverordnung („DSGVO“)
Werden personenbezogene Daten im Unternehmen verarbeitet (was praktisch immer der Fall ist) so sind die Regelungen der DSGVO zu beachten.
Rechtlich ist auf den ersten Blick bei mittelständischen Unternehmen immer die juristische Person (z.B. die Gesellschaft mit beschränkter Haftung oder die Aktiengesellschaft) für die rechtmäßige Verarbeitung personenbezogener Daten gegenüber Dritten verantwortlich.
Allerdings sind Gesellschaften als solche nicht handlungsfähig. Vielmehr wird diese „juristische Hülle“ erst durch ihre Mitarbeiter mit Leben erfüllt. Dabei werden im Unternehmenskontext zwangsläufig auch personenbezogene Daten (z.B. von Kunden, Mitarbeitern etc.) verarbeitet.
Unmittelbar vertreten wird die GmbH dabei (in der Regel) durch ihre vertretungsberechtigten Organe wie den oder die Geschäftsführer und den Vorstand bei der Aktiengesellschaft.
Der Geschäftsführer bzw. der Vorstand hat dabei gegenüber der Gesellschaft die Pflicht zur ordnungsgemäßen Geschäftsführung. Dazu gehört auch die Pflicht, dass der Geschäftsführer bzw. der Vorstand im Rahmen der Gesetze handelt („Legalitätspflicht“).
Diese Pflicht gilt selbstverständlich auch für den Datenschutz. Doch was droht, wenn beim Datenschutz etwas schief läuft?
Wie funktioniert die Geschäftsführerhaftung für Datenschutzverstöße?
Verstößt das Unternehmen gegen die Anforderungen der DSGVO, kann dem Unternehmen ein finanzieller Schaden entstehen.
Dieser Vermögensschaden entsteht in der Praxis z.B. durch Schadensersatzforderungen oder behördliche Bußgelder.
Die Gesellschaft kann die Geschäftsführung bzw. den Vorstand in Regress nehmen, wenn schuldhaft gegen die Legalitätspflicht verstoßen wurde, weil die Anforderungen der DSGVO nicht oder nicht ausreichend umgesetzt wurden.
Problematisch ist dies vor allem deshalb, weil dieses Risiko nicht über D&O-Versicherungen versicherbar ist (so jedenfalls die wohl herrschende Meinung).
Die Bestellung eines Datenschutzbeauftragten allein reicht nicht aus, um der Haftung zu entgehen. Dieser wird zwar in der Regel dazu beitragen können, dass die gesetzlichen Pflichten eingehalten werden. Eine Haftungsbefreiung allein durch die Bestellung eines Datenschutzbeauftragten wird der Geschäftsleitung im Streitfall aber nicht gelingen.
Eigeninteresse der Geschäftsleitung an der Umsetzung des Datenschutzes
Aus diesen Überlegungen ergibt sich, dass die Geschäftsführung bzw. der Vorstand ein eigenes Interesse an der Umsetzung des Datenschutzes haben sollten.
Der erste Schritt ist, sich darüber zu informieren, welche Anforderungen die DSGVO an Unternehmen stellt und wie diese umgesetzt werden.
Für die Geschäftsführung ist es wichtig, Datenschutzstrukturen im Unternehmen zu installieren. Dazu gehört neben der Datenschutzrichtlinie vor allem die Implementierung von Datenschutzprozessen. Diese müssen natürlich geschult und in der Praxis gelebt werden.
Seminar: Geschäftsführerhaftung & Datenschutz-Compliance
Interessierten Geschäftsführern und Vorständen bieten wir ein individuelles Einführungsseminar zum Thema Geschäftsführerhaftung und Datenschutz-Compliance an. Bei Interesse nehmen Sie bitte Kontakt mit uns auf.