Datenschutz – Was genau muss die Geschäftsführung eigentlich machen?
„Compliance“ ist ein Stichwort, das Geschäftsführer mittelständischer Unternehmen mit den Augen rollen lässt. Natürlich muss kein Geschäftsführer sich physisch teilen und den ganzen Tag neben jedem Unternehmensangehörigen herlaufen und überwachen, dass dieser keine Gesetze bricht. Das Unmögliche fordert nicht einmal die Rechtsordnung ein. Aber das Brechen von Gesetzen durch Mitarbeiter kann sehr schnell passieren, beispielsweise im Datenschutzrecht, und Unwissenheit schützt vor Strafe nicht. Hätte das der Geschäftsführer verhindern müssen? Was genau sind die Pflichten eines mittelständischen Geschäftsführers bei der Datenschutz-Compliance?
Top down: Compliance im Allgemeinen
Im Grundsatz muss ein Geschäftsführer „in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anwenden“. Konkreter wird das Gesellschaftsrecht bei diesen Organpflichten leider kaum. Zu dieser Sorgfalt zählt die Rechtsprechung aber in jedem Fall die Pflicht, dafür zu sorgen, dass die Mitarbeiter des Unternehmens keinen Gesetzen zuwiderhandeln (Legalitätspflicht). Da das kein Geschäftsführer persönlich leisten kann, insbesondere, wenn das Unternehmen und die Belegschaft größer werden, darf der Geschäftsführer hierbei delegieren. In der Praxis verlassen sich vor allem Geschäftsführer kleinerer Unternehmen darauf, dass ein Buchhalter schon wissen wird, wie Buchhaltung funktioniert, und ein Entwicklungsingenieur schon wissen wird, welche Vorgaben ein Produkt einhalten muss etc. Die Delegation, die sich begrifflich in Auswahl, Instruktion und Überwachung der Delegationsempfänger aufteilt, beschränkt sich hier im Wesentlichen auf die Auswahl im Einstellungsprozess anhand von formalen Abschlüssen, Berufserfahrungen etc. Alternativ wird Mitarbeitern, die sich in der Praxis „bewiesen“ haben, eine weitergehende Aufgaben oder Verantwortlichkeit zugewiesen.
Je größer das Unternehmen wird, desto stärker wird es in eigenständigen Abteilungen organisiert, die ihrerseits über Hierarchien und Arbeitsteilung verfügen. Im Laufe des Unternehmenswachstums wird die Auswahl der Delegationsempfänger an eine HR-Abteilung delegiert, die Instruktion findet über auf verschieden Ebenen hinweg durch die jeweiligen Vorgesetzten oder – im Sinne einer „schriftlichen Ordnung“ im Unternehmen – durch interne Richtlinien und Schulungen statt und die Kontrolle übernimmt beispielsweise eine interne Revision. Dieser Prozess ist keine Schwarz-Weiß-Frage, sondern eine kontinuierliche Entwicklung und Ausdifferenzierung von Zuständigkeiten und Verantwortlichkeiten.
Die Rechtsprechung geht davon aus, dass wenn ein Unternehmen eine gewisse Größe (d. h. Unübersichtlichkeit aus Sicht der Leitungsebene) erreicht hat und zumindest dann, wenn es Anzeichen dafür gibt, dass bereits Verstöße gegen interne Richtlinien oder gar geltendes Recht begangen wurden, ein förmliches Compliance-Management-System (CMS) eingeführt und unterhalten werden muss. Kurz gesagt ist ein CMS die (stets aktuell gehaltene) Formalisierung interner Vorgaben, Prozesse und Verantwortlichkeiten mit dem Ziel, die Einhaltung von Rechtsvorschriften im Unternehmen sicherzustellen und nachweisen zu können. In Bezug auf Datenschutz ist dies das Datenschutz-Management-System (DMS). Wann genau diese Pflicht zur Einführung eines CMS ausgelöst wird und wie genau ein CMS beschaffen sein muss, ist nicht definiert, schon gar nicht im Gesetz selbst, sodass deshalb in der Praxis durchgängig geraten wird, ein CMS bzw. DMS so früh wie möglich „in weiser Vorausschau“ und haftungsreduzierend für die Geschäftsführung einzuführen. Rechtsprechung, die spezifisch in mittelständischen Unternehmen bestimmte Formen bzw. Ausprägungen von Compliance-Management-Systemen fordert, gibt es bislang nicht.
Ergänzend zu diesen aus der Organhaftung der Gesellschaftsorgane hergeleiteten Grundsätzen fordert auch das Ordnungswidrigkeitenrecht, dass vom Geschäftsleiter die erforderlichen Aufsichtsmaßnahmen getroffen werden müssen, „um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist“.
Wichtig ist daher aus der Perspektive des Geschäftsführers: Delegation enthaftet, wenn sie richtig umgesetzt wird. Ein Geschäftsführer muss sich nicht um alles höchstpersönlich kümmern, es genügt, wenn er es an fähige, richtig instruierte Mitarbeiter delegiert und diese überwacht.
Datenschutz-Compliance im Speziellen
Konkret im datenschutzrechtlichen Umfeld ergeben sich die Eckdaten eines DMS aus den datenschutzrechtlichen Vorgaben selbst, sprich aus der DSGVO und ggf. weiteren ausfüllenden gesetzlichen Regelungen. Zwar fordert die DSGVO nicht direkt ein DMS als solches ein, doch findet sich in der DSGVO die sog. Rechenschaftspflicht, dass ein Unternehmen zu jedem Zeitpunkt in der Lage sein muss nachzuweisen, dass und wie es die Vorgaben der DSGVO umsetzt. Hierfür ist „der Verantwortliche“ im datenschutzrechtlichen Sinne verantwortlich, sprich das Unternehmen, welches die personenbezogenen Daten verarbeitet. Die Vorgaben der DSGVO konkretisieren die Compliance-Pflichten aus Organhaftung und Ordnungswidrigkeitenrecht im Bereich des Datenschutzes.
Juristen halten Geschäftsführer zumindest ab einer bestimmten Unternehmensgröße für verpflichtet, im Unternehmen eine angemessene Datenschutzorganisation einzurichten und zu unterhalten. Das beginnt mit der Ausstattung dieser Organisation (Budget) und der Auswahl der qualifizierten Mitarbeiter sowie der Konzeptionierung des Aufbaus und der Abläufe der Datenschutzorganisation selbst. Die Mitarbeiter der Datenschutzorganisation sind in diesem Rahmen zu instruieren, dass sie die notwendigen unternehmensinternen Prozesse aufsetzen, korrigieren und dokumentieren, damit das Unternehmen die datenschutzrechtlichen Vorgaben einhält. Hinzu kommt die Weisung der Geschäftsführung an die gesamte Belegschaft, diese datenschutzspezifischen Prozesse oder Prozessaspekte einzuhalten.
Diese „Datenschutzfunktion“ ist der verlängerte (im Compliance-Sinne: delegierte) Arm der Geschäftsführung im Bereich des Datenschutzes. Sie ist zwar weisungsabhängig (sonst könnte die Geschäftsführung nicht von ihr für notwendig gehaltene Korrekturen durchsetzen), aber in der Regel auch fachkundiger als die Geschäftsführung selbst und setzt als Delegationsempfänger die Datenschutz-Compliance-Pflicht der Geschäftsführung im Unternehmen weitgehend selbstständig um. Wie viele andere Funktionen auch lässt sich die Datenschutzfunktion natürlich auch durch einen fachkundigen und vom Unternehmen beauftragten externen Dritten umsetzen.
Viele Geschäftsführer werden an dieser Stelle denken: Ich habe ja schon einen (internen oder externen) Datenschutzbeauftragten. Das ist in erster Näherung ein Missverständnis. Der Datenschutzbeauftragte im Sinne der DSGVO ist salopp gesagt ein weisungsunabhängiger interner (oder beauftragter) Kontrolleur mit Draht zur Aufsichtsbehörde. Er hat gerade nicht die Aufgabe, dafür zu sorgen, dass die datenschutzrechtlichen Vorgaben eingehalten werden, sondern überwacht dies (nur). Der genannte Gedanke vieler Geschäftsführer ist aber dennoch in der Praxis nicht falsch: Obwohl nach einem ehernen Grundsatz niemand das prüfen kann, was er selbst erstellt hat, verbietet die DSGVO nicht, die Datenschutzfunktion und den Datenschutzbeauftragten in einer Person zu vereinen – dieser Mitarbeiter oder der beauftragte externe Dritte hat dann „zwei Hüte auf“.
Inhaltlich besteht Datenschutz-Compliance, wie jede andere Compliance, darin, die rechtlichen Vorgaben für das Unternehmen zu interpretieren und handhabbar zu machen. Es hilft wenig – auch wenn das in „Rahmenrichtlinien“ in vielen größeren Unternehmen so praktiziert wird –, den Mitarbeitern außerhalb der Datenschutzfunktion einzelne Regelungen aus der DSGVO aufzuschreiben bzw. vorzulesen. Der Kern der Compliance-Arbeit besteht vielmehr darin, zu verstehen, was das Unternehmen in seinen operativen Teilprozessen genau – insbesondere natürlich mit personenbezogenen Daten – macht, diese Aktivitäten an den jeweiligen rechtlichen Vorgaben zu messen und durch (Prozess-) Vorgaben und Kontrollen dafür zu sorgen, dass die Produktivprozesse die jeweiligen rechtlichen Vorgaben einhalten und dies ausreichend dokumentiert wird. Die hochabstrakten datenschutzrechtlichen Vorgaben müssen demnach in einfach verständliche, auf das Unternehmen angepasste und in die Unternehmenspraxis eingewobene, umsetzbare Prozessvorgaben „umgewandelt“ und aktuell gehalten werden. Ergeben sich Probleme oder gar Verstöße, muss deren Ursache erforscht und das System nachjustiert werden („lessons learned“).
Meist steuert die Datenschutzfunktion ihre Aktivitäten – wie auch in anderen CMS-Bereichen – mithilfe einer Art „Risikolandkarte“, mit der die Szenarien oder Teilprozesse im Unternehmen unter Risikogesichtspunkten systematisch identifiziert, bewertet und gesteuert werden. Dazu zählt als Vorfrage auch, erst einmal herauszufinden, über welche personenbezogenen Daten von wem das Unternehmen überhaupt verfügt, wo genau diese gespeichert und verarbeitet werden und welchem Zweck die Verarbeitung dient. Ist das Risiko eines Datenverarbeitungsprozesses hoch, sieht das Datenschutzrecht dafür ein eigenes (Compliance-) Instrument vor, die Datenschutzfolgenabschätzung (DSFA), mit der das Risiko besonders fokussiert dokumentiert, bewertet und mit Risikominimierungsmaßnahmen gesteuert wird, bis das Risiko auf ein „akzeptables“ Niveau abgesenkt wurde. Ist das nicht möglich, muss die Verarbeitung letztlich – ggf. auch unter Einschaltung der Datenschutzbehörde – unterbleiben. Das Problem hierbei ist nur, dass meist unklar ist, was ein „akzeptables“ Risiko(rest)niveau im konkreten Fall bedeutet bzw. wie dieses konkret (und ohne „Pseudopräzision“) gemessen wird.
Für den Geschäftsführer bedeutet das: Hat er durch ausreichende Budgetierung der Datenschutzfunktion sowie durch – ggf. delegierte – sorgfältige Auswahl, Instruktion und Überwachung dieser Funktion für ein dem Risikoprofil des Unternehmens angemessenes DMS gesorgt, haftet er bei Datenschutzverstößen, die dennoch aus dem Unternehmen heraus begangen werden, nicht mehr aus der (gesellschaftsinternen) Organhaftung. Ob er dann dennoch persönlich gegenüber Dritten direkt haften kann, ist eine Frage, auf die später noch eingegangen wird.
Auswahl
Aus der Compliance-Perspektive ist die Auswahl geeigneten Personals in der Regel kein großes Problem, eher die vorherige Budgetierungsentscheidung und damit die Entscheidung, wie viel Personal im Rahmen der Datenschutzfunktion notwendig ist. Eine unzureichend ausgestattete Datenschutzfunktion kann die Delegationsvorgaben nicht erfüllen, sodass eine (Organ-) Haftung des Geschäftsführers wegen einer mangelhaften Umsetzung der Compliance-Vorgaben droht.
Dabei gibt es keine absoluten Vorgaben, wie groß eine Datenschutzfunktion bemessen sein muss und welches Spezialwissen (Datensicherheit etc.) vorzuhalten ist. Letztlich hängt das vom datenschutzrechtlichen Risikoprofil ab, d. h. insbesondere von der Art des Geschäfts, der Menge der verarbeiteten personenbezogenen Daten, der Sensibilität der Daten und der Intensität der Weitergabe bzw. Weiterübermittlung von Daten an Dritte. Bei kleineren Unternehmen mag eine entsprechend qualifiziert Person, ggf. sogar in Teilzeit und neben der Tätigkeit als Datenschutzbeauftragter, ausreichend sein. Und selbst wenn das Unternehmen Teile der Datenschutzfunktion an externe Dritte auslagert, muss es doch im Unternehmen ausreichende interne Stellen geben (zu den Datenschutzkoordinatoren s. auch noch unten), die über entsprechende datenschutzrechtliche „Awareness“ verfügen, wann die externe Datenschutzfunktion überhaupt eingeschaltet werden muss. Diese Awareness wird über entsprechende (vorherige) Auswahl- oder (nachträgliche) Schulungsprozesse hergestellt. Je größer und/oder agiler das Unternehmen ist, desto unerlässlicher wird es, dass sich mehrere Vollzeitkräfte um das Thema Datenschutz kümmern.
Die Auswahl des Personals der Datenschutzfunktion wird, wie oben kurz angerissen, ihrerseits in der Regel an eine HR-Abteilung delegiert, die dann die Suche und Einstellung fähigen Personals durchführt. Je mehr „mission critical“ eine Position ist, insbesondere direkt unter der Geschäftsleitung bzw. an diese berichtend, desto mehr wird man auch verlangen können, dass sich der Geschäftsführer in einem persönlichen Gespräch von der Geeignetheit des Kandidaten überzeugt. Das stellt zugleich auch die (notwendige) Kontrolle der HR-Funktion dar.
Instruktion
Schon etwas schwieriger wird es beim Thema Instruktion. Viele Geschäftsführer denken, dass die neuen Mitarbeiter der Datenschutzfunktion, mit Studiengängen, Zusatzausbildungen und Berufserfahrung geschmückt, schon wissen werden, was sie zu tun haben. Das mag in der Detailarbeit auch stimmen, aber dennoch gibt es auch im Bereich der Datenschutz-Compliance undelegierbare Steuerungsaufgaben, bildlich gesprochen Leitplanken, die von der Geschäftsführung selbst – wenn auch auf Vorbereitung der Delegationsempfänger hin – getroffen werden müssen.
Zu dieser Art „tone from the top” gehört die strategische Grundentscheidung, welches Gewicht dem Datenschutz im Unternehmen eingeräumt wird. Man kann jede Aufgabe „ausreichend“ bis hin zu „first in class“ erledigen. Das hat auch wieder etwas mit dem Risikoprofil des Unternehmens insgesamt zu tun. Weiter stellt sich die grundsätzliche Frage, ob die Datenschutzfunktion nur Hilfe zur Selbsthilfe der einzelnen Abteilungen bereitstellt oder die Produktivprozesse selbst datenschutzrechtlich „durchpflügt“. Wenn sich ihre Aufgabe darauf beschränkt, Rahmenrichtlinien zu erlassen und punktuell als Ansprechpartner und Kontrolleur zur Verfügung zu stehen, kann sie eher schlank aufgestellt werden. Die eigentliche „Übersetzungsarbeit“ im Sinne der Compliance (s. o.) müssen dann „Datenschutzkoordinatoren“ in den jeweiligen Fachabteilungen (wie Buchhaltung, Vertrieb, Marketing etc.) übernehmen. In nicht wenigen Fällen sind diese Personen nicht datenschutzrechtlich vorgebildet, können mit der Rahmenrichtlinie wenig anfangen, müssen die datenschutzrechtliche Kärrnerarbeit zusätzlich zu ihrer normalen Rollenbeschreibung übernehmen und vollziehen Datenschutz dann eher als „checkbox exercise“. Das birgt also eigene Risiken, denen durch entsprechende Maßnahmen (Schulungen, zusätzliches Personal, enges Monitoring etc.) zu begegnen ist.
Die Alternative dazu ist eine Datenschutzfunktion, die selbst Mitarbeiter zu den Fachabteilungen entsendet, sodass in einem interdisziplinären Dialog eine Aufnahme, datenschutzrechtliche Analyse, Korrektur und Dokumentation des jeweiligen Produktivprozesses stattfindet. Das ist so aufwendig, wie es sich anhört. Oft wissen die Fachabteilungen gar nicht, welche personenbezogenen Daten sie überhaupt verarbeiten, und es gibt keine oder veraltete schriftliche Prozessbeschreibungen („das haben wir schon immer so gemacht“). Daraus ergibt sich, dass die Mitarbeiter der Datenschutzfunktion insbesondere den „Prozess der Prozessanalyse und des Prozessdesigns“ beherrschen müssen.
Die Geschäftsführung sollte sich bewusst sein, dass der Aufwand, den eine effektive Datenschutzorganisation verursacht, durchaus erheblich ist. Denn eigentlich ist deren Aufgabe, sämtliche Aktivitäten des Unternehmens aus datenschutzspezifischer Perspektive zu verstehen sowie datenschutzrechtlich zu analysieren und datenschutzkonform zu gestalten. Im Sinne einer „make or buy“-Entscheidung wird, um den „inhouse“-Aufwand möglichst klein zu halten, in der Praxis zu externen Datenschutzbeauftragten gegriffen, die das Unternehmen tendenziell wenig (tiefgehend) verstehen, auf Pauschalbasis günstig bezahlt werden und mit Standard-Checklisten arbeiten. Das ist bei wenig datenintensiven Prozessen und dem Ziel „ausreichend“ durchaus verständlich. Oftmals passiert dann auch nichts und die kostengünstige Strategie zahlt sich in der Rückschau aus. Sobald aber eine gewisse Unternehmensgröße überschritten wird, die Verarbeitung personenbezogener Daten einen wesentlichen Teil der Geschäftstätigkeit ausmacht oder ein Datenschutzaudit (bzw. Zertifizierung) gut bestanden werden soll, wird das nicht mehr ausreichen. Die Datenschutzfunktion muss dann viel tiefer in die Interna „eintauchen“, was Zeit und Geld kostet und in der Praxis auch oft zu Ressourcendiskussionen mit den Fachabteilungen führt.
Der Geschäftsführung sollte auch bewusst sein, dass Datenschutz-Compliance kein „one time shot“ ist. Man kann ein Unternehmen nicht einmalig „auf Datenschutzniveau heben“ und es dabei belassen. Unternehmensprozesse, (rechtliche) Vorgaben und (datenschutzrelevante) Schnittstellen zu anderen Unternehmen ändern sich ständig, sodass sowohl die Datenschutzorganisation als auch die Transformation der datenschutzrechtlichen Vorgaben in die unternehmensinternen Prozesse stetig zu hinterfragen und zu korrigieren sind. Meist verlieren aber Geschäftsführer schon während der arbeitsintensiven Phase, in der diese Themen erstmals umgesetzt werden sollen, die Geduld, weil die Kosten explodieren, die Mitarbeiter kolportieren, dass jetzt nur noch Datenschutz gemacht wird (und kein Umsatz mehr), und wegen immer komplexerer Sachverhalte und Rechtsfragen kein Licht am Ende des Tunnels sichtbar wird. Gerade dann wird der Geschäftsführer am meisten gebraucht, um sein volles „Gewicht“ einzusetzen, wenn die Datenschutzfunktion Mühe hat, die benötigten Informationen zu erhalten oder angestrebte Prozessveränderungen im Unternehmen auch umzusetzen.
Kontrolle
Der schwierigste Teil der Delegation durch den Geschäftsführer ist die Kontrolle. Häufig gehen Geschäftsführer davon aus, mit Auswahl und Instruktion bereits das Ihre getan zu haben. Das greift aber zu kurz: Der Geschäftsführer muss gegensteuern, wenn nicht gut gearbeitet wird. Es gibt dabei den Grundsatz, dass der Geschäftsführer umso mehr kontrollieren muss, je mehr Anzeichen es gibt, dass die Organisation nicht richtig läuft. Bis dahin reicht eine stichpunktartige Kontrolle, etwa anhand einer Plausibilitätskontrolle von Berichten. Ein Anzeichen, das zur Erhöhung der Kontrolldichte führen kann, wäre etwa der interne oder externe Vorwurf von Datenschutzverstößen, behördliche oder gerichtliche Verfahren über die datenschutzrechtliche Zulässigkeit des Handelns des Unternehmens oder sich anderweitig aufdrängende „Störgefühle“ des Geschäftsführers.
Dieser Bereich ist deshalb rechtlich schwierig zu greifen, weil es bislang überhaupt keine Maßstäbe dafür gibt, was eine angemessene Kontrolle konkret bedeutet. Das beginnt bereits damit, dass der Geschäftsführer naturgemäß kein Datenschutzexperte ist. Wie soll er, abgesehen von Extremfällen, beurteilen können, ob ein Bericht der Datenschutzfunktion oder des Datenschutzbeauftragten Hinweise auf Missstände enthält? Wie soll er ein „Störgefühl“ entwickeln, wenn er die maßgeblichen (hochabstrakten) Vorgaben nicht im Einzelnen kennt bzw. subsumieren kann, was auch nicht seine Aufgabe ist? Letztlich entscheidet – nachher ist man immer schlauer – irgendwann einmal ein Richter von der hohen Kanzel, was sich einem Geschäftsführer „aufdrängen musste“.
Diese Unsicherheit führt in der Praxis bisweilen zu Zweitbewertungen durch Fachleute, die sich der Geschäftsführer selbst einholt, um „kontrollfähig“ zu werden. Die Compliance-Rechtsprechung kennt die Thematik allerdings nur im Zusammenhang mit rechtlichen Einzelfragen, die der Geschäftsführung zur Entscheidung vorgelegt werden und bezüglich derer sie dann sämtliche Erkenntnismöglichkeiten – sprich: einschließlich (rechtlicher) Experten – auszuschöpfen hat, um zu erforschen, ob das Unternehmen einen bestimmten Weg einschlagen muss. Gibt es zu einer rechtlichen Zweifelsfrage keine Rechtsprechung und keine einhellige Literaturmeinung, darf sich der Geschäftsführer auf die für das Unternehmen günstigere Rechtsmeinung stützen. Selbst wenn sich diese später bei einer gerichtlichen Überprüfung als falsch herausstellt, führt dies im Innenverhältnis nicht zur Organhaftung. Es war lange unklar, ob eine solche Expertenmeinung nur extern sein darf oder (trotz eines gewissen „Interessenskonfliktes“) auch von der eigenen Rechtsabteilung eingeholt werden kann – der Bundesgerichtshof hält auch letzteres prinzipiell für möglich.
Unklar bleibt aber unter dem Strich in der Praxis dennoch, was ein Geschäftsführer genau zu tun hat, um sich – abseits von Einzelfragen – allgemein davon zu überzeugen, dass eine Compliance-Funktion „richtig arbeitet“, solange dem Unternehmen nicht konkretes Fehlverhalten vorgeworfen wird, dem der Geschäftsführer dann nachgehen muss. Man kann derzeit nur resümieren: Berichte anfordern, kritisch lesen und bei nicht nachvollziehbaren oder „Störgefühle“ auslösenden Ausführungen nachhaken. Ist die Erläuterung bzw. Präzisierung der Datenschutzfunktion in solchen Fällen nicht nachvollziehbar, muss der Geschäftsführer eine weitere, interne oder externe (Kontroll-)Funktion hinzuziehen, um Widersprüchen und Unzulänglichkeiten nachzugehen. Das kann auch ein von der Geschäftsführung angeordneter (Teil-) Audit nach allgemeinen Vorgaben (z. B. IDW PH 9.860.1) sein. Je größer und risikoträchtiger das Unternehmen ist, desto eher werden regelmäßige Audits zu einem Standard-Kontrollelement, ob die Datenschutzfunktion effektiv arbeitet; auch Geschäftspartner (Kunden) können solche Audits verlangen.
Gibt es Anzeichen für Compliance-Verstöße, muss der Geschäftsführer ohnehin aktiv nachsteuern, d. h. den Analyse- und „Selbstreinigungs“-Prozess der Datenschutzfunktion genauer monitoren und am Ende bewerten, ob durch die getroffenen Maßnahmen die Unzulänglichkeit des Systems beseitigt wurde. Meist kommt es dann ohnehin zur Hinzuziehung externer anwaltlicher Berater, auf die der Geschäftsführer dann vertrauen darf, wenn er sie richtig ausgewählt, instruiert und kontrolliert hat. So hat die Rechtsprechung beispielsweise entschieden, dass es eine persönliche Pflichtverletzung des Geschäftsführers darstellt, einem eingeschalteten Rechtsanwalt den erheblichen Sachverhalt fahrlässig nicht vollständig geschildert zu haben (welcher Geschäftsführer weiß genau, worauf es rechtlich ankommt?) oder die eingeholte Rechtsauskunft keiner Plausibilitätskontrolle, „wie sie auch einem juristischen Laien möglich ist“, unterzogen zu haben. Was das im Datenschutzrecht genau bedeuten würde, ist bislang unklar.
Geschäftsverteilung und Zuständigkeiten
Auch Geschäftsführer, die nach dem Geschäftsverteilungsplan nicht für das Thema Compliance bzw. Datenschutz zuständig sind, können sich nicht einfach zurücklehnen. Sie müssen sich zwar um diese Themen nicht aktiv kümmern, wohl aber die zuständigen Geschäftsführer überwachen. Was das wiederum konkret heißt, ist ebenso offen. Zu empfehlen ist, dass hin und wieder die Berichte, welche der zuständige Geschäftsführer erhält, kursorisch durchgesehen und dazu auch mal kritische Nachfragen gestellt werden. Letztlich geht es darum, sich zu vergewissern, dass der zuständige Geschäftsführer seinen Aufgaben nachkommt und diese nicht vernachlässigt. Geht im Bereich Datenschutz etwas schief, was auf mangelnde Prozesse im Unternehmen zurückzuführen ist, und war das Fehlen ausreichender Prozesse bzw. eine generell nachlässige Vorgehensweise im Datenschutz für die übrigen Geschäftsführer – insbesondere aus entsprechender Berichterstattung der Datenschutzfunktion oder des Datenschutzbeauftragten – ersichtlich, können diese schnell unter Rechtfertigungsdruck geraten. In derartigen Situationen kann man als weiterer Geschäftsführer nur darauf hoffen, dass die Gesellschafter die Verantwortlichkeit deshalb nicht weiter hinterfragen, weil sie die übrigen Geschäftsführer noch dringend benötigen.
Haftung gegenüber Dritten
Oben wurde bereits darauf hingewiesen, dass unzulängliche Aufsicht seitens der Geschäftsleitung, die zu Rechtsverstößen aus dem Unternehmen heraus führt, eine Ordnungswidrigkeit darstellen kann. Aufgrund einer solchen Ordnungswidrigkeit können Geldbußen sowohl gegen den Geschäftsführer als auch gegen das Unternehmen resultieren. In bestimmten Konstellationen können Datenschutzverstöße auch eine strafbare Handlung darstellen, sodass der Geschäftsführer zumindest bei eigener aktiver Beteiligung (Täterschaft, Anstiftung, Beihilfe) ins Visier der Staatsanwaltschaft geraten kann. Geht man davon aus, dass der Geschäftsführer auch eine strafrechtliche Garantenpflicht zur Verhinderung von betriebsbezogenen Straftaten nachgeordneter Mitarbeiter hat, kann das in Fällen der unzulänglichen Aufsicht über eine Ordnungswidrigkeit hinaus auch zur Strafbarkeit des Geschäftsführers bei entsprechenden Datenschutz-Straftaten aus der Belegschaft heraus führen. Dies stellt einen ersten Fall der direkten „Außenhaftung“ des Geschäftsführers dar.
Inwieweit ein Geschäftsführer persönlich gegenüber dem Geschädigten auf Schadensersatz haftet, ist nicht endgültig geklärt. Im Grundsatz ist davon auszugehen, dass der Geschädigte einen selbstständigen Anspruch gegen den Geschäftsführer hat, wenn er persönlich in Datenschutzverstöße in Bezug auf die Daten des Geschädigten involviert ist, also diese selbst begangen, angeordnet oder trotz Kenntnis ihres Bevorstehens nicht verhindert hat. Es gibt aber ein Urteil des OLG Celle, das den Kreis noch weiter zieht und den Geschäftsführer persönlich (und nicht nur die Gesellschaft) in der Rolle des datenschutzrechtlich „Verantwortlichen“ sieht. Das ist sicherlich nachvollziehbar, wenn der Geschäftsführer die Daten für eigene (persönliche) Zwecke verarbeitet, also letztlich der Sphäre der Gesellschaft „entwendet“. Ob man darüber hinaus aber argumentieren kann, dass ein Geschäftsführer (persönlich) immer „alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet“, was ihn datenschutzrechtlich zu einem (weiteren) Verantwortlichen macht, ist offen. Letztlich wird damit unterschlagen, dass das Handeln eines Geschäftsführers der Gesellschaft zugerechnet wird, solange der Geschäftsführer in seinem Pflichtenkreis für die Gesellschaft tätig wird.
D&O und Risiko der Inanspruchnahme
D&O-Versicherungen decken meist Organhaftungsansprüche ab und damit auch solche, die sich aus einer dem Geschäftsführer vorwerfbar mangelnden Implementierung eines DMS ergeben. Gerichtsentscheidungen, in denen Organhaftungsansprüche gegen Geschäftsführer wegen mangelnder Implementierung von Compliance-Management-Systemen Gegenstand gewesen wären, gibt es aber bislang praktisch nicht. Das liegt daran, dass in der Praxis der oder die Gesellschafter entweder den Geschäftsführer nicht aus einem solchen Grund „entfernen“ wollen oder zeitaufwendige Auseinandersetzungen mit einem geschassten Geschäftsführer scheuen. Meist wird ein Aufhebungsvertrag abgeschlossen und, selbst wenn eine Organpflichtverletzung als Basis für eine Abberufung bzw. eine Kündigung des Anstellungsvertrages diente, eine Auseinandersetzung über die Folgen von Pflichtverletzungen vermieden. Das entlastet in der Praxis letztlich auch die D&O-Versicherungen, zumal Gesellschafter nach einem Geschäftsführerwechsel nicht noch jahrelang mit einer Versicherung streiten, sondern vielmehr die Vergangenheit hinter sich lassen wollen.
Ob von einer D&O-Versicherung auch Ansprüche Dritter wegen Datenschutzverletzungen gegen einen Geschäftsführer abgedeckt sind, ist, wie auch die Details der Deckung im Übrigen, von der individuellen Police abhängig. Es gibt keine „Standard-D&O“, die für alle D&O-Versicherten identisch wäre. Als Geschäftsführer und versicherte Person gilt es, die Reichweite des Versicherungsschutzes – insbesondere Deckungsausschlüsse – kritisch zu hinterfragen. Auch solche Ansprüche werden bislang von Dritten weniger gegen Geschäftsführer persönlich als gegenüber dem (zahlungskräftigeren und um seinen Ruf als guter Verantwortlicher im datenschutzrechtlichen Sinne bemühten) Unternehmen selbst geltend gemacht. Allerdings werden datenschutzrechtliche Schadensersatzansprüche aufgrund der geringen Hürden beim Nachweis des entstandenen Schadens zunehmend „aggressiver“ eingesetzt. Es besteht also das Risiko, dass die Außenhaftung des Geschäftsführers in Zukunft häufiger von Geschädigten und/oder Datenschutzaktivisten „getestet“ wird. Dass mit den dann geführten Verfahren auch für mehr Rechtssicherheit gesorgt wird, dürfte für die betroffenen Geschäftsführer nur ein schwacher Trost sein.
Fazit
Auch wenn es bislang – mit Ausnahme der Entscheidung des OLG Celle – keine „spektakulären“ Fälle persönlicher Haftung eines Geschäftsführers im Zusammenhang mit dem Datenschutz gibt, ist der Umfang der rechtlichen Pflichten in diesem Bereich doch enorm. Es wäre angesichts dessen nicht ratsam, auf die Formel „Wo kein Kläger, da kein Richter“ zu setzen. Compliance im Allgemeinen und Datenschutz im Speziellen gehören zwingend zum Pflichtenkreis eines Geschäftsführers, was sich auch in einem weiter steigenden Außenhaftungsrisiko bei Compliance- bzw. Datenschutzverletzungen niederschlagen wird. Insoweit ist weitreichende Delegation bei gebotener Plausibilitätskontrolle der von der Datenschutzfunktion erzielten Ergebnisse ein guter Weg, um die eigene Haftung zu minimieren, wenn auch mit internen Opportunitätskosten verbunden, die im operativen Geschäft wieder hereingewirtschaftet werden müssen – übrigens ein Aufwand, den der europäische Gesetzgeber im Rahmen des Erlasses der DSGVO dramatisch unterschätzt hat.