Die Geschäftsführung, also der Vorstand, der CEO oder wie man die Personen an der Spitze von Unternehmen auch sonst nennen kann, muss dafür sorgen, dass das Unternehmen so aufgestellt ist, dass rechtliche Rahmenbedingungen eingehalten werden können. Gelingt das nicht, besteht die Gefahr einer eigenen persönlichen Haftung.
(Datenschutz-)Compliance ist das Zauberwort
Zu diesen Rahmenbedingungen gehört alles, was man unter den Überbegriff Compliance fassen kann. Ein Unternehmen muss so organisiert sein, dass es in der Lage ist, rechtliche Risiken zu vermeiden und Rechtsverstöße zu minimieren. Soweit Rechtsverstöße vorkommen, muss die Organisation ermöglichen, dass diese – möglichst früh – erkannt und die Wiederholungsgefahr beseitigt wird.
Das tritt nicht zuletzt auch auf Datenschutz-Compliance zu. Ein Unternehmen muss sich an die Datenschutzgesetzte, vornehmlich die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) halten.
Hier kommen wir ins Spiel: Wir unterstützen und beraten die Geschäftsführung, um diese Compliance-Ziele zu erreichen und dauerhaft einzuhalten. Denn anderenfalls droht die Haftung. Unsere Beratung ist also bares Geld wert.
Die Gerichte sind in Haftungsfragen streng
So hat sich erst kürzlich das OLG Nürnberg in einer Entscheidung vom 30.03.2022 (Az. 12 U 1520/19) mit der Haftung eines Geschäftsführers für Compliance-Verstöße auseinandergesetzt und nahm eine persönliche Haftung des Geschäftsführers gegenüber der Gesellschaft an. In dem Fall ging es zwar nicht um ein fehlerhaftes Datenschutzmanagement des Unternehmens, da dieses aber essenzieller Bestandteil jeder Unternehmens-Compliance ist, lässt sich das Urteil ohne Weiteres auf den Datenschutz übertragen.
Das Gericht stellt klar, dass die Geschäftsführerpflichten an der Sorgfaltspflicht eines ordentlichen Geschäftsführers zu messen seien. Dabei sei unter anderem der Gesellschaftszweck möglichst effektiv zu gestalten. Wenn diese Pflicht durch den Geschäftsführer verletzt werde, hafte er gegenüber der Gesellschaft für den entstandenen Schaden (§ 43 Abs. 2 GmbHG).
Spielraum der Geschäftsführung hat Grenzen
Zwar gibt es einen weitreichenden Beurteilungsspielraum des Geschäftsführers für seine unternehmerische Tätigkeit. Wenn der Geschäftsführer bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln, besteht kein Haftungsgrund.
Dieser Handlungsspielraum ist aber immer dann überschritten, wenn aus der Sicht eines ordentlichen und gewissenhaften Geschäftsmannes das hohe Risiko eines Schadens unabweisbar ist und keine vernünftigen geschäftlichen Gründe dafür sprechen, es dennoch einzugehen.
Nach diesem Grundsatz sei eine Pflichtverletzung insbesondere dann gegeben, wenn das Handeln gegen die in der jeweiligen Branche anerkannten Erkenntnisse und Erfahrungen verstößt.
Also: Der Geschäftsführer hat dafür Sorge zu tragen, dass eine interne Organisationsstruktur geschaffen wird, die die Rechtmäßigkeit und Effizienz des unternehmerischen Handelns gewährleistet. Der Geschäftsführer muss also jederzeit einen Überblick über die wirtschaftliche und finanzielle Situation der Gesellschaft haben. Um dem gerecht zu werden, ist in bestimmten Bereichen die Einrichtung eines Überwachungssystems erforderlich.
Funktionierendes Überwachungssystem erforderlich
Der Geschäftsführer ist auch dazu verpflichtet, sofort einzugreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen und er muss aufkommenden Verdachtsmomenten nachgehen. Das kann nur funktionieren, wenn Missstände schnell entdeckt werden können und das Überwachungssystem funktioniert. Das Gericht führt dazu bspw. aus: „Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden.“
Um solche Pflichtverletzungen zu vermeiden, muss der Geschäftsführer demgemäß geeignete organisatorische Maßnahmen treffen.
Wenn der Geschäftsführer seine Überwachungsaufgabe delegiert, liegt eine Situation der „Überwachung der Überwacher“ vor. Dabei reduziert sich die „effektive Überwachungspflicht auf Seiten des Geschäftsführers auf die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten“.
Hohes Risiko bei Datenschutzverstößen
Jedes Unternehmen verarbeitet eine Unmenge personenbezogener Daten. Datenschutzverstöße bergen ein hohes Risiko durch Bußgelder gemäß Art. 83 DSGVO oder Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO in Anspruch genommen zu werden. Das kann zu ganz erheblichen Zahlungspflichten führen, die das Unternehmen auch in seiner weiteren Existenz gefährden können. Und da sich eine fehlende Compliance im Unternehmen auch unmittelbar persönlich auf die Geschäftsführer auswirken kann, sollten diese ein besonderes Interesse an der Einrichtung eines funktionierenden Datenschutz-Compliance-Managements haben.