Wer wird gehängt, wenn es schief geht?

- Dezember 14, 2010

Den nachfolgenden Artikel schrieb ich im letzten Sommer für einen Bekannten, der ihn in einer Zeitschrift veröffentlichen wollte. Daraus wurde dann nichts, und so kann ich ihn hier einer Zweitverwertung zuführen. Ich bitte zu beachten, dass dieser Artikel nur einen Überblick darstellt und keinesfalls eine qualifizierte Beratung im Einzelfall ersetzt!

Rechtliche Verantwortlichkeit für Datenschutz und Datensicherheit im Unternehmen

Auch für kleine und mittlere Unternehmen werden die Anforderungen rund um den Themenkomplex Datenschutz und Datensicherheit immer umfangreicher. Die sich rasant entwickelnde Technik und die in den letzten Jahren verschärften Gesetze sorgen dafür, dass kein Unternehmen es sich mehr leisten kann, diese Fragen zu vernachlässigen. Zu groß ist die Gefahr des Eintritts von Schäden, die die wirtschaftliche Situation eines Unternehmens beeinträchtigen oder gar gefährden. Diese Erkenntnis steht in scharfem Kontrast zu der Tatsache, dass im Tagesgeschäft die Beschäftigung mit Datenschutz und Datensicherheit in zahlreichen Unternehmen immer noch „unter ferner liefen“ behandelt wird.

Welche Gesetze müssen beachtet werden?

Wer wissen will, wie solche für das Unternehmen nachteiligen Folgen zu vermeiden sind, muss zunächst die gesetzlichen Anforderungen kennen, aus denen sich die Pflicht zur Einhaltung bestimmter Standards hinsichtlich Datenschutz und Datensicherheit ergibt.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) trat bereits am 01.05.1998 in Kraft. Ziel war es, die verantwortungsvolle Unternehmensführung in deutschen Unternehmen zu verbessern. Das KonTraG beinhaltete eine Änderung und auch Verschärfung zahlreicher Vorschriften aus dem Handelsgesetzbuch (HGB), dem Aktiengesetz (AktG) und auch aus dem GmbH-Gesetz (GmbHG). Kern des Gesetzes ist es, die Unternehmensführung zu zwingen, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und gewissenhaft zu betreiben sowie Aussagen zu Risiken und zur Risikostruktur im Lagebericht des Jahresabschlusses des jeweiligen Unternehmens zu veröffentlichen. Dies wird in der Formulierung des § 91 Abs. 2 AktG deutlich, wo es heißt:

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.

Eine entsprechende Verpflichtung trifft auch die Geschäftsführung einer GmbH, § 43 GmbHG:

„Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden“

Diese erst mal allgemein und eher harmlos klingende Formulierung bedeutet konkret u.a., dass für den Bereich der Datensicherheit in einem ersten Schritt eine umfassende Risikoanalyse erfolgen muss, um alle Risiken im Zusammenhang mit dem Einsatz von unternehmenseigenen IT-Systemen zu ermitteln. In einem zweiten Schritt gilt es ein Sicherheitskonzept zu erstellen, um durch den Einsatz geeigneter Mittel die Risiken soweit wie möglich zu reduzieren. Schließlich ist in einem dritten Schritt für die entsprechende Umsetzung und Einhaltung des Sicherheitskonzepts zu sorgen.

Darüber hinaus ergeben sich aus dem Bundesdatenschutzgesetz (BDSG) weitere Pflichten für den Umgang mit personenbezogenen Daten, aus zivilrechtlichen Vorschriften und Verträgen, oder auch aus dem Strafrecht (§ 203 StGB, Verletzung von Berufsgeheimnissen).

Die Verletzung dieser Vorschriften zieht unterschiedliche Folgen nach sich – Schadensersatzforderungen von Kunden oder Dienstleistern, Bußgelder, Geldstrafen und evtl. auch Freiheitsstrafen. Nach Bundesdatenschutzgesetz ist auch die Untersagung eines Verfahrens durch die Aufsichtsbehörde eine mögliche Folge.

Gut und schön, aber was genau muss ein Unternehmen tun?

Leider geben die Gesetze keinen Aufschluss darüber, welche Maßnahmen genau zu ergreifen sind, um die Einhaltung der Vorschriften zu gewährleisten. Müssen die Unternehmensdaten jeden Tag gesichert werden, einmal die Woche oder nur einmal im Monat – um nur ein Beispiel zu nennen? Darüber schweigen sich die Gesetze aus. Im Bundesdatenschutzgesetz heißt es dazu lediglich:

„Ein Unternehmen hat durch geeignete Maßnahmen zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)“.

Die Beantwortung der Frage, welche Maßnahmen für ein Unternehmen ergriffen werden müssen, ist einerseits abhängig von der Art der Daten, die ein Unternehmen verarbeitet, und vom Ergebnis der individuellen Risikoanalyse. Ein kleines Reisebüro muss weniger aufwändige Maßnahmen ergreifen als ein Krankenhaus. Zum anderen beantwortet sich die Frage aus den allgemeinen technischen Regelwerken, wie beispielsweise den BSI Grundschutzhandbüchern, den „Common Criteria“ Normen oder auch den verschiedenen Grundlagen für ISO Zertifizierungen. Dort werden die einzuhaltenden Anforderungen im Einzelnen beschrieben.

Wer haftet für die mangelhafte oder gar fehlende Einhaltung der Vorschriften?

Grundsätzlich trägt die Unternehmensführung die volle Verantwortung und somit das gesamte Haftungsrisiko für eine mangelhafte Sorgfalt im Umgang mit Datenschutz und Datensicherheit. Für grob fahrlässiges Verhalten haftet die Unternehmensführung persönlich, auch wenn die Rechtsform des Unternehmens eine haftungsbegrenzende ist. Die Unternehmensführung ist somit verantwortlich für das „große Ganze“. Daneben besteht jedoch für den jeweiligen IT-Leiter, den Sicherheitsbeauftragten und den Datenschutzbeauftragten die Pflicht, in dem ihm jeweils übertragenen Bereich auf die Einhaltung der entsprechenden Vorschriften zu achten. Im Idealfall sorgt ein Zusammenspiel zwischen IT-Leiter, Datenschutzbeauftragten und Geschäftsführung für die reibungslose Umsetzung der Vorschriften, indem die Erstgenannten aufgrund ihrer Fachkunde Vorgaben und Vorschläge zur Einhaltung der gesetzlichen Anforderungen machen und die Geschäftsführung diese mitträgt. Geschieht dies nicht, ist zu fragen, wer seine Pflichten vernachlässigt hat: Die Geschäftsführung, weil sie die vorgeschlagenen notwendigen Maßnahmen nicht umsetzen wollte („20.000 EUR für eine Software zur Datensicherung ist zu teuer!“)? Oder der IT-Leiter, weil er die nötigen Maßnahmen nicht einforderte oder sie unzureichend realisierte? Je nachdem wie es sich im Einzelfall verhält, kann das Unternehmen ggfls. bei Eintritt eines Schadens auch den IT-Leiter oder den Datenschutzbeauftragten im Innenverhältnis in die Haftung nehmen. Hinzu kommt die Möglichkeit einer Abmahnung und im Wiederholungsfall einer Kündigung des Beschäftigungsverhältnisses.
Read More

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.