Vorstands- oder Aufsichtsratsmitglieder sowie Geschäftsführer tragen die Verantwortung für ihre Entscheidungen. Im Schadenfall haften sie unbeschränkt mit ihrem Privatvermögen. Zudem steht die persönliche Reputation auf dem Spiel. Die Einführung der DSGVO birgt zahlreiche neue Risiken für Unternehmensentscheider. Die diesjährige Fachveranstaltung der AVW für Geschäftsführer, Vor-stände und juristische Entscheidungsträger der Immobilienwirtschaft stellte diese sowie Möglichkeiten der Absicherung in den Fokus.
Was ist neu durch die DSGVO?
Niels Christopher Litzka ist Senior Manager bei der Wirtschaftsprüfungsgesellschaft KPMG und tätig im Bereich Compliance & Forensic. Er fasste die Anforderungen der DSGVO zusammen und verdeutlichte die damit einhergehenden neuen Risiken für Unternehmensleiter und Verantwortliche. Wichtigster Punkt: Es ist zu einer Beweislastumkehr gekommen. Das heißt, die Datenverarbeiter – also die Unternehmen – müssen durch entsprechende Dokumentation beweisen können, dass sie sämtliche Datenschutzvorgaben rechtmäßig einhalten. Diese Rechenschaftspflicht erfordert umfangreiche Neuerungen und Adjustierungen von Organisation, Prozessen und Maßnahmen. Wer nicht nachweisen kann, dass eine technisch und organisatorisch entsprechend ausgerichtete Datenschutzorganisation im Unternehmen vorhanden ist, setzt sich dem Risiko empfindlicher Bußgelder aus.
Was bedeutet das für meine IT?
Dr. Stefan Steinkühler von FINLEX sprach in seinem Vortrag über die Haftung der Geschäftsleitung für Organisationspflichtverletzungen im Bereich Datenschutz und IT-Sicherheit. Er betonte: Das größte Thema in Verbindung mit der DSGVO ist das Löschen von Daten. Hier stehen viele Unternehmen vor der Herausforderung, ältere Daten auf Papier vorliegen zu haben. Dadurch kann man sie schwerer identifizieren, extrahieren und zur Verfügung stellen. Zudem lässt sich die Vollständigkeit der Daten nicht immer garantieren. Und hier wartet die nächste „Welle" auf die Unternehmen: Personen, die von ihrem Auskunftsrecht Gebrauch machen und ihre Daten erhalten, erheben Einspruch, dass diese nicht vollständig sind. Insofern lautet die Empfehlung: Dokumentieren Sie intern, warum gegebenenfalls manche Daten nicht rausgegeben werden können, zum Beispiel aufgrund von Daten Dritter, die in den Unterlagen enthalten sind. Sollte die Aufsichtsbehörde eines Tages vor der Tür stehen, erleichtert das die Argumentation.
Niels Christopher Litzka empfiehlt den Unternehmen ein Datenschutzmanagement-System einzurichten und dieses regelmäßig zu aktualisieren. Das System sollte Unternehmensprozesse, Reporting und Sensibilisierung der Mitarbeiter beinhalten. Und regelmäßig die Frage aufwerfen: „Wie lange brauche ich die Daten wirklich?"
Was kann bei einem Datenschutzvorfall passieren?
Neben den materiellen Schäden, die durch Datendiebstahl entstehen können, sind die sogenannten immateriellen Schäden ein Risiko. Bislang werden Ansprüche, die sich auf immaterielle Schäden nach Datenschutzvorfällen beziehen, in Deutschland selten geltend gemacht. Doch das kann sich ändern. Wenn die Gerichte entsprechend entscheiden, können sich Unternehmen mit immateriellen Schäden und Schmerzensgeld konfrontiert sehen. Das heißt: Selbst ohne materiellen Schaden nach einem Datenschutzvorfall könnte ein Betroffener auf Schmerzensgeld klagen.
Wer haftet: Unternehmen oder Verantwortlicher?
Dr. Stefan Steinkühler betonte in seinem Vortrag noch einmal: Adressat der Regelungen in der DSGVO ist primär das Unternehmen, aber auch immer häufiger der Verantwortliche selbst. Ein aktueller Fall veranschaulicht die Risiken: Eine leitende Mitarbeiterin aus der Buchhaltung soll laut Auffassung der in erster und zweiter Instanz angerufenenen Gerichte nach einem Fake-President-Fall in ihrem Unternehmen zumindest für einen Teil des entstandenen Schadens in Höhe von 150.000 € in Haftung genommen werden, sodass das bislang angewandte Arbeitnehmerhaftungsprivileg nicht mehr gelten würde. Wie das letztlich zuständige Bundesarbeitsgericht dies beurteilen wird bleibt abzuwarten. Eines steht aber jetzt schon fest: Personen-Policen werden in diesem Zusammenhang immer relevanter. (Lesen Sie hierzu auch das Interview mit Julia Bestmann in diesem Newsletter). Im Hinblick auf die Versicherbarkeit zeigte Dr. Stefan Steinkühler auf, wie die D&O, die Cyber- und die Vertrauensschadenversicherung im Schadenfall zusammenspielen.
Fazit der Veranstaltung
Die DSGVO verursacht mehr Pflichten für Unternehmensleiter und damit auch mehr Risiken. Geschäftsführern und leitenden Angestellten wird empfohlen, sich mit den vorhandenen Versicherungspolicen gut auseinanderzusetzen. Die AVW hilft Ihnen gern dabei. Wenden Sie sich an Ihren Kundenmanager oder die Geschäftsführung der AVW.
Die Unterlagen zur Veranstaltung können Sie über Ihren jeweiligen Kundenmanager abfordern.