Wer heute an der Spitze eines Unternehmens steht, hat nicht nur die Aufgabe, Geschäftsziele zu verfolgen, sondern ist auch gleichzeitig Datenschützer, Compliance-Officer und Umweltbotschafter. Das führt nicht nur zu einem vollen Terminkalender. Diese Aufgaben sind zudem originär Chefsache.

Lassen Sie uns also einmal darüber reden, warum Sensibilisierungsmaßnahmen in den Bereichen Datenschutz, Compliance und Nachhaltigkeit nicht nur die reguläre Belegschaft betreffen, sondern tatsächlich das Rückgrat unserer modernen Führungsverantwortung bilden. Und vor allem: Was passiert, wenn wir unsere Verantwortung nicht ernst nehmen.

Kontrolle ist besser

Bei Compliance geht es bekanntlich um die Befolgung bestimmter Regeln, aber darüber hinaus auch um die Glaubwürdigkeit – sowohl intern als auch gegenüber Kunden und Partnern. Verstöße schaden den Finanzen des Unternehmens.

Neben den § 43 Abs. 1 GmbHG und § 93 Abs. 1 AktG, welche die Sorgfaltspflichten bei der Führung von GmbHs und Aktiengesellschaften definieren, steht der § 130 OWiG. Dieser besagt, dass Führungskräfte im Allgemeinen sicherstellen müssen, dass im Unternehmen keine Straftaten oder Ordnungswidrigkeiten geschehen. Vernachlässigen diese ihre Aufsichtspflichten, drohen Bußgelder von bis zu 10 Millionen Euro oder im schlimmsten Fall bis zu 10 % des Konzernumsatzes. Und bei Verstößen gegen das Geldwäschegesetz können noch schneller bis zu 5 Millionen Euro fällig werden.

Auch strafrechtliche Konsequenzen sind möglich. Bestechung, Korruption oder Untreue führen neben einem peinlichen PR-Desaster auch in den Gerichtssaal.

Muss das wirklich sein?

Die sehr direkt formulierte Haftung bei der Einhaltung „großer“ Compliance-Themen wie z. B. der Prävention von Geldwäsche dient mehreren Zwecken. An erster Stelle ist ein Abschreckungseffekt zu spüren, der auch beabsichtigt ist. Die persönliche Haftung von Führungskräften soll verhindern, dass wichtige Maßnahmen vernachlässigt oder unzureichend umgesetzt werden. Die Aussicht auf persönliche ggf. strafrechtliche Konsequenzen oder Bußgelder ist dazu geeignet, um Führungskräfte eine aktive Rolle bei der Sicherstellung von Datenschutz-Compliance übernehmen zu lassen.

Die persönliche Verantwortlichkeit der Führungskräfte soll auch ein höheres Maß an Verantwortungsbewusstsein erzeugen. Dies stellt sicher, dass entsprechende Bedürfnisse auf der Führungsebene priorisiert und die richtigen Ressourcen und Maßnahmen zur Einhaltung der Vorschriften bereitgestellt werden.

Es gibt jedoch auch Grenzen, inwieweit Führungskräfte persönlich verantwortlich gemacht werden sollten:

Führungskräfte in großen Unternehmen haben oft zahlreiche Aufgaben und delegieren operative Tätigkeiten wie Datenschutz an spezialisierte Abteilungen oder Datenschutzbeauftragte. Solange sie eine funktionierende Überwachungsstruktur haben und ihre Sorgfaltspflichten erfüllen, kann ihre direkte Verantwortlichkeit begrenzt sein. Hier greift das Prinzip der „angemessenen Delegation“: Führungskräfte dürfen klar definierte Aufgaben an geeignete Empfänger delegieren, müssen jedoch sicherstellen, dass eine effektive Überwachung stattfindet.

Schulungen im Bereich Compliance können daher vielfältig sein. Die wichtigsten Themen sind hier je nach Unternehmen im Allgemeinen im Bereich Risikomanagement und internes Kontrollsystem zu verorten. Auch Inhalte über Unternehmenskultur, Sabotageschutz, Zusammenarbeit mit Behörden usw. können erforderlich werden. Maßstab ist hier das Unternehmen selbst. Sind Sie z. B. im Bereich Marketing tätig, wird bei Ihnen auch Compliance mit Urheberrechten relevanter werden.

Verantwortung im Datenschutz

Datenschutz ist nicht nur der Job der IT-Abteilung oder des Datenschutzbeauftragten. Er umfasst die Arbeit im Verarbeitungsverzeichnis oder die Durchführung von Audits. Führungskräfte können sich hier in der ersten Reihe wiederfinden, wenn es um die Suche nach Schuldigen geht.

Laut Artikel 24 DSGVO müssen „Verantwortliche“ sicherstellen, dass die Verarbeitung personenbezogener Daten gesetzeskonform abläuft. Das bedeutet, dass dafür gesorgt werden muss, dass passende Maßnahmen getroffen werden. Es genügt hier nicht, nur eine Policy auf der Webseite unterzubringen.

Bei einem Verstoß sind die Bußgelder üppig: mit 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – was immer höher ist. Auch dies kann natürlich mittelbar die Geschäftsführungsebene treffen.

Persönliche Haftung ist hier auch kein Fremdwort. Wenn Aufsichtspflichten verletzt werden, können Geschäftsführer auch zur Verantwortung gezogen werden. Entsprechende Normen für vorsätzliches Handeln finden sich hier in § 42 BSDG, welcher Strafen von bis zu 3 Jahren vorsieht.

Die Sensibilisierung der Führungsebene ist im Übrigen auch Aufgabe des Datenschutzbeauftragten. Nach Artt. 37-39 DSGVO erhält der Datenschutzbeauftragte einen engen Kontakt zur Geschäftsführung des Verantwortlichen und damit auch die Aufgabe sämtliche Beschäftigte zu sensibilisieren. Viele Unternehmen sind demgemäß verpflichtet, einen Datenschutzbeauftragten zu benennen, der die Einhaltung der DSGVO sicherstellen soll. Die Existenz eines Datenschutzbeauftragten entbindet jedoch die Geschäftsführung und andere Führungskräfte nicht von ihrer Verantwortung. Vielmehr soll der Datenschutzbeauftragte beratend tätig sein, während die Führungsebene dafür sorgt, dass die notwendigen Ressourcen bereitgestellt und die Datenschutzmaßnahmen im gesamten Unternehmen umgesetzt werden.

Mittelbare und Unmittelbare Rechenschaft durch Nachhaltigkeit

Nachhaltigkeit hat mittlerweile viel an Bedeutung gewonnen, zuletzt durch die neue Corporate Sustainability Reporting Directive (CSRD). Wer als Unternehmen nicht nachhaltig agiert, handelt vermehrt nicht nur wirtschaftlich unvorteilhaft, sondern riskiert auch handfeste rechtliche Probleme. Nachhaltigkeit bedeutet heute auch, dass wir entlang der gesamten Lieferkette Verantwortung übernehmen, wobei der Begriff der Lieferung relativ weit gefasst ist.

So verpflichtet auch das Lieferkettensorgfaltspflichtengesetz (LkSG) Unternehmen, Sorgfaltspflichten entlang ihrer Lieferketten zu erfüllen. Falls nicht, werden Bußgelder von bis zu 2 % des Umsatzes fällig.

Strafrechtliche Risiken gibt es auch hier. Wenn z. B. wissentlich Menschenrechtsverletzungen in der Lieferkette geduldet, können Führungskräfte auch hier durch Anwendung des § 130 OWiG zur Rechenschaft gezogen werden.

Schulungen zu den ESG-Kriterien (Environmental, Social, Governance) können große Vorteile bringen. Nachhaltig aufgestellte Ziele, vor allem wenn diese aufgrund eines gut ausgearbeiteten Kriterien-Katalogs verfolgt werden, bringen neben der schlichten Einhaltung von Gesetzesvorgaben auch wirtschaftliche Vorteile. Auch kleine und mittlere Unternehmen werden zunehmend aufgrund von Mitnahme-Effekten größerer Konzerne dazu verpflichtet Nachhaltigkeitskriterien zu erfüllen, etwa wenn als Zulieferer nach dem LkSG agiert wird.

Führungskräfte in der Schusslinie

Die meisten Führungskräften sind sich dessen bewusst, dass das Unternehmen, die „juristische Person“, nicht für alles geradesteht, wenn Mängel im Unternehmen offenbar werden. Natürlich wird das Unternehmen in erster Linie Adressat eines Bußgelds. Aber auch die Führungskräfte können schnell persönlich haftbar gemacht werden, wenn diese ihre Aufsichtspflichten vernachlässigen. Ganz nach dem Motto: „Du warst doch der Chef, warum hast du nichts gemacht?“

Der § 130 OWiG besagt, dass die Führungsebene die Verantwortung trägt, das Team so zu überwachen, dass Verstöße gar nicht erst passieren. Es braucht gute Systeme, klare Prozesse und Sensibilisierungsmaßnahmen sowie Incentivierung, um sicherzustellen, dass niemand aus Versehen oder absichtlich den Datenschutz mit Füßen tritt oder gegen Umweltstandards verstößt. Auch wenn einige dieser Aufgaben delegiert werden, wird die ordnungsgemäße Delegation zur Verantwortung. Delegation ist trotzdem von Vorteil, aber nur, wenn sie regelmäßig von Supervision und stichprobenartigen Kontrollen begleitet wird. Hier besteht die größte Herausforderung darin, am Arbeitsplatz eine gute Vertrauenskultur aufrecht zu erhalten.

Fazit

Führungskräfte sind nicht unantastbar. Soweit es einmal Zeiten gegeben haben sollte, in denen nur delegiert wurde und sich um den Rest wenig gekümmert wurde, sind diese passé. Datenschutz, Compliance und Nachhaltigkeit sind und bleiben aktuelle Themen. Sie gehören auf die Agenda jedes Meetings. Denn das Risiko, es nicht ernst zu nehmen, ist groß – finanziell, strafrechtlich und für die Reputation des Unternehmens.

Mit den richtigen Schulungen, Systemen und einem klaren Verständnis der gesetzlichen Anforderungen können wir nicht nur diese Herausforderungen meistern, sondern uns auch als verantwortungsbewusste und zukunftsorientierte Führungskräfte positionieren, während wir gleichzeitig die persönliche Haftung reduzieren.

Während das Unternehmen als juristische Person in erster Linie für Verstöße haftet, müssen Führungskräfte durch ihre Führungs- und Aufsichtspflichten dafür sorgen, dass Datenschutzrichtlinien und -prozesse wirksam umgesetzt werden.