Warum Datenschutz auch “Chefsache” ist

Datenschutz

Mit einem Urteil des LG München I (Urteil v. 10.12.2013, Az.: 5 HKO 1387/10) ist ein ehemaliges Vorstandsmitglied der Siemens AG zur Zahlung von 15 Mio. Euro verurteilt worden (das Urteil ist nicht rechtskräftig). Grund für die Verurteilung war, dass das Vorstandsmitglied entgegen seinen gesetzlichen Pflichten zur Einrichtung eines „funktionierenden Compliance-Systems“ nicht nachgekommen sei.

Nach der Gerichtsentscheidung hat ein Vorstandsmitglied dafür Sorge zu tragen, dass das Unternehmen so organisiert ist, dass keine Gesetztesverstöße (wie z.B. Schmiergeldzahlungen) erfolgen. Dazu gehöre eine auf Schadprävention und Risikokontrolle angelegte Compliance-Organisation.

Die Details der Pflichtverletzung sind zwischen den Parteien vor Gericht umstritten. Und hier werden wir sehen müssen, wie die Sache letztlich rechtskräftig entschieden wird.

Warum ich das Urteil auch für den Datenschutz in Unternehmen wichtig finde, ist vielmehr die Begründung des Gerichts. Im Ergebnis lässt sich die Entscheidung dazu anführen, dass eben auch Datenschutz im Unternehmen „Chefsache“ sein muss und nicht nur so nebenbei gemacht oder delegiert werden sollte.

Das Gericht begründet die Pflicht zu einer Schadenersatzzahlung im Wesentlichen auf § 93 Abs. 1 Satz 1 AktG. Dort steht folgende Formulierung:

Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.

Dies beinhaltet, dass das Vorstandsmitglied alle rechtlichen Vorgaben einhalten muss, die das Unternehmen treffen. Nach entsprechender Auslegung dieser Norm gehört dazu jedoch nicht nur, dass selbst keine Rechtsverstöße begangen werden, sondern nach § 91 Abs. 2 AktG auch die Pflicht hat, ein entsprechendes Überwachungssystem einzurichten, das dafür sorgt, dass keine Gesetztesverstöße begangen werden. Dies nennen wir neudeutsch dann auch „Compliance-Organisation“ oder „Compliance-System“.

Bei dem Umfang des jeweiligen „Compliance-Systems“ sind nach Überzeugung des Gerichts dann Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit zu berücksichtigen. Im konkreten Fall war sicher zu berücksichtigen, dass es in der betreffenden Zeit schon etliche Fälle von bekannten Schmiergeldzahlungen gegeben haben soll. Das war natürlich vom Gericht entsprechend zu würdigen.

Warum ist dieses Urteil jetzt für Sie oder Ihre Kunden wichtig?
Viele von Ihnen oder ihrer Kunden sind ja keine Aktiengesellschaft, die dem Aktiengesetz (AktG) unterliegt. Aber Achtung, denn die Norm des § 93 AktG gibt es in sinnentsprechender Form auch im GmbH-Gesetz (GmbHG) und zwar im § 43 Abs. 1 GmbHG. Dort heißt es wörtlich:

Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

Kommt Ihnen bekannt vor, gell? Liest sich sehr ähnlich wie § 93 Abs. 1 Satz 1 AktG und ist auch so gemeint. Zwar gibt es im GmbHG keine konkrete Verpflichtung zur Einführung eines Überwachungssystems wie im § 91 Abs. 2 AktG. ABER: Es gibt eine sog. „Ausstrahlungswirkung“ des AktG (so zu finden ist der entsprechenden Gesetzesbegründung zur damaligen Änderung des AktG), die dazu führt, dass die Pflicht zur Einrichtung eines Überwachungssystems auch für GmbH-Geschäftsführer entsprechend gilt. In dem Zusammenhang wird auch noch § 130 OWiG von Bedeutung, wo es heißt, dass Inhaber eines Betriebes, wenn diese vorsätzlich oder fahrlässig Aufsichtsmaßnahmen unterlassen, die erforderlich sind, um Gesetzesverstöße zu verhindern, sich ordnungswidrig verhalten.

Nun stellen wir uns die Frage: Kann es bei der Verarbeitung von Daten dazu kommen, dass häufiger personenbezogene Daten in unzulässiger Weise verarbeitet werden können? Die Antwort ist eindeutig JA. Kann durch ein Datenschutzmanagementkonzept o.ä. ein Überwachungssystem geschaffen werden, das geeignet ist, entsprechende Gesetzesverstöße im Hinblick auf die Verwendung von personenbezogenen Daten zu verhindern oder zu minimieren? Die Antwort ist hier ebenfalls JA.

Und so können Sie sich jetzt selbst die Antwort darauf geben, warum Datenschutz für GmbH-Geschäftsführer und Vorstände von Aktiengesellschaften nicht nur Beiwerk, sondern Chefsache sind. Die Rechtsprechung spricht hier derzeit eine recht eindeutige Sprache.

Und so ist die Entscheidung des LG München I eine Entscheidung, die zur Freude bei Deutschlands Datenschutzberatern führt bzw. führen wird. Diese können jetzt wieder mit Angstmacherparolen auf Kundenfang gehen und Millionen-Strafen als Drohgebärden an die Wand malen. Aber zum Glück gehören Sie ja nicht zu diesem Personenkreis, sondern werden diese Entscheidung wohlwollend Ihren Kunden bzw. unternehmensintern mitteilen und Handlungsempfehlungen geben.
Dass auch in mittelständischen GmbHs mit vertretbarem Aufwand ein Datenschutzmanagementkonzept, das diesen Namen verdient, eingeführt werden kann, ohne gleich ein Unternehmen komplett umzukrempeln, haben Sie sicher wie ich in der Vergangenheit schon mehrfach erlebt. Die „Crux“ an der Geschichte ist es, ein zur Unternehmenskultur passendes Modell zu finden. Was für den einen passt, musst nicht für den nächsten Kunden passen. Hier ist Feingefühl gefordert. Ich würde gleichwohl allen Geschäftsführern und Vorständen empfehlen, sich zumindest einmal um dieses Thema zu kümmern und mal beim den Datenschutzverantwortlichen im Unternehmen nachzufragen, wie dieses Problem effizient gelöst werden kann.

Update, 30.12.2015: Auf der Internetseite der Zeit findet sich ein sehr einfühlsamer Bericht über den ehemaligen Siemens-Finanzvorstand, in dem die Hintergründe des Urteils und seiner Folgen aus menschlicher Sicht dargestellt werden. Offenbar hatte der ehemalige Siemens CFO Neubürger nach dem Urteil noch einen Vergleich mit der Siemens AG verhandelt, der ihn zur Zahlung von lediglich 2,5 Mio. Euro verpflichtet hätte. Wegen weiterer Umstände hat er sich dann jedoch das Leben genommen. Eine tragische Geschichte, die Sie hier nachlesen können: Tod eines Managers

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie hier kostenlos abonnieren können.
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.