Datenschutz-Compliance bei ... / 3.2 Die Rechtsgrundlage der unternehmerischen Compliance-Pflichten

Vorstände von Aktiengesellschaften und GmbH-Geschäftsführer haben bei ihrer Geschäftsführung jederzeit die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters (§ 93 Abs. 1 S. 1 AktG) bzw. allgemein eines ordentlichen Kaufmannes anzuwenden (§ 43 Abs. 1 GmbHG). Maßgeblich ist, wie der Leiter eines Unternehmens vergleichbarer Art und Größe handeln würde, der nicht mit eigenen Mitteln wirtschaftet, sondern wie ein treuhänderischer Verwalter fremdem Vermögen verpflichtet ist.

Der ordentliche und gewissenhafte Geschäftsführer muss das Unternehmen unter Berücksichtigung gesicherter betriebswirtschaftlicher Erkenntnisse leiten und sich stets ein genaues Bild von der Lage des Unternehmens verschaffen sowie die grundsätzlichen Entscheidungen bezüglich der Unternehmensplanung treffen.

Dieses präventive Risikomanagement erfordert neben der sorgfältigen Einschätzung schon bestehender oder sich künftig entwickelnder Risiken auch einen pflichtgemäßen Umgang mit bekannt gewordenen Risiken. Diese Risiken können sich auch aus Datenschutzverletzungen ergeben. Die Geschäftsleitung hat eine Pflicht, sich Kenntnis von allen relevanten Umständen zu verschaffen. Die Rechtsprechung legt hier strenge Maßstäbe an.

Bei der Abschätzung der bestehenden Risiken sowie der möglichen schwerwiegenden Interessenbeeinträchtigungen ist die erforderliche Sorgfalt anzuwenden. Unternehmerische Entscheidungen beurteilen sich hier nach dem Maßstab der sog. "Business Judgment Rule".

 

Hinweis

BGH, Urteil vom 21.4.1997, II ZR 175/95, BGHZ 135, 244 – ARAG/Garmenbeck

Der BGH stellte fest, dass dem Vorstand bei der Leitung der Geschäfte des Gesellschaftsunternehmens ein weiter Handlungsspielraum zugebilligt werden muss, ohne den eine unternehmerische Tätigkeit schlechterdings nicht denkbar ist. Dazu gehört neben dem bewussten Eingehen geschäftlicher Risiken grundsätzlich auch die Gefahr von Fehlbeurteilungen und Fehleinschätzungen, der jeder Unternehmensleiter, mag er auch noch so verantwortungsbewusst handeln, ausgesetzt ist.

Schadensersatzpflicht kommt dem BGH zufolge erst in Betracht, wenn die Grenzen, in denen sich ein von Verantwortungsbewusstsein getragenes, ausschließlich am Unternehmenswohl orientiertes, auf sorgfältiger Ermittlung der Entscheidungsgrundlagen beruhendes, unternehmerisches Handeln bewegen muss, deutlich überschritten sind, die Bereitschaft, unternehmerische Risiken einzugehen, in unverantwortlicher Weise überspannt worden ist oder das Verhalten des Vorstands aus anderen Gründen als pflichtwidrig gelten muss.

Kurz gefasst kann man sagen, dass nur grobe Pflichtwidrigkeit Haftung begründet. Die Rechtsprechung räumt der Geschäftsleitung also einen Entscheidungsspielraum ein.

Allerdings spricht einiges dafür, dass dieser Entscheidungsspielraum deutlich eingeschränkt ist, wenn es bei der Beurteilung nicht um Risiken von durch das Unternehmen selbst getätigter Geschäfte geht, sondern um den Betroffenen möglicherweise drohenden Schadensrisiken. Diese darf das Unternehmen nämlich – anders als die Risiken eigener Verluste – nicht in Kauf nehmen.

Folgt man dieser Auffassung, ist die Business Judgment Rule im Bereich möglicher Datenschutzverletzungen nicht anwendbar. Diese Haftungsprivilegierung greift also nur für unternehmerische Ermessensentscheidungen ein, nicht hingegen für rechtswidriges Verhalten, etwa die Verletzung gesetzlicher Informationspflichten.

Der Anwendungsbereich der Compliance-Pflicht geht über das Aktienrecht weit hinaus: Die Compliance-Pflicht (als Teil der Risikovorsorge) gilt ausdrücklich für Vorstände von Aktiengesellschaften (§ 76f AktG), indirekt aber auch für Kommanditgesellschaften auf Aktien (KGaA) und viele GmbHs, jedenfalls, wenn sie aufgrund ihrer Größe eines mit der AG vergleichbaren Überwachungssystem bedürfen, allerdings nicht für die kleine AG.

Corporate Compliance verpflichtet die Geschäftsleitung, nicht nur selbst gesetzliche und sonstige rechtliche Pflichten zu befolgen, sondern auch die Normbefolgung durch die jeweils beteiligten Mitarbeiter sicherzustellen. Für den Bereich der IT-Sicherheit besteht eine umfassende Prüfpflicht im Rahmen von Kontrollsystemen. Diese Compliance-Sicherung ist Teil eines angemessenen Risikomanagements und basiert auf der Bestandssicherungsverantwortung der Geschäftsleitung.

 

Hinweis

ISO-Normen

Für die Datensicherheit sind neben deutschem Datenschutzrecht die internationalen Nomen ISO/IEC 27001 ff. für Information Security Management Systems und ISO/IEC 27002 für Best Practices zu beachten.

Bestandsrisiken müssen frühzeitig genug erkannt werden, um noch Gegenmaßnahmen ergreifen zu können. Erforderlich ist deshalb ein Risikofrüherkennungssystem, das im vorliegenden Zusammenhang jeden Umgang mit personenbezogenen Daten umfasst. Ziel ist jeweils, den Vorstand bzw. die Geschäftsleitung in die Lage zu setzen, jederzeit die tatsächliche Gesamtsituation des Unternehmens zu beurteilen und bestandsgefährdende Entwicklungen von wesentlicher Bedeutung für die Vermögens-, Finanz- oder Ertrags...

Das ist nur ein Ausschnitt aus dem Produkt Finance Office Professional. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Finance Office Professional 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge