Wer heute an der Spitze eines Unternehmens steht, hat nicht nur die Aufgabe, Geschäftsziele zu verfolgen, sondern ist auch gleichzeitig Datenschützer, Compliance-Officer und Umweltbotschafter. Das führt nicht nur zu einem vollen Terminkalender. Diese Aufgaben sind zudem originär Chefsache.
Lassen Sie uns also einmal darüber reden, warum Sensibilisierungsmaßnahmen in den Bereichen Datenschutz, Compliance und Nachhaltigkeit nicht nur die reguläre Belegschaft betreffen, sondern tatsächlich das Rückgrat unserer modernen Führungsverantwortung bilden. Und vor allem: Was passiert, wenn wir unsere Verantwortung nicht ernst nehmen.
Kontrolle ist besser
Bei Compliance geht es bekanntlich um die Befolgung bestimmter Regeln, aber darüber hinaus auch um die Glaubwürdigkeit – sowohl intern als auch gegenüber Kunden und Partnern. Verstöße schaden den Finanzen des Unternehmens.
Neben den § 43 Abs. 1 GmbHG und § 93 Abs. 1 AktG, welche die Sorgfaltspflichten bei der Führung von GmbHs und Aktiengesellschaften definieren, steht der § 130 OWiG. Dieser besagt, dass Führungskräfte im Allgemeinen sicherstellen müssen, dass im Unternehmen keine Straftaten oder Ordnungswidrigkeiten geschehen. Vernachlässigen diese ihre Aufsichtspflichten, drohen Bußgelder von bis zu 10 Millionen Euro oder im schlimmsten Fall bis zu 10 % des Konzernumsatzes. Und bei Verstößen gegen das Geldwäschegesetz können noch schneller bis zu 5 Millionen Euro fällig werden.
Auch strafrechtliche Konsequenzen sind möglich. Bestechung, Korruption oder Untreue führen neben einem peinlichen PR-Desaster auch in den Gerichtssaal.
Muss das wirklich sein?
Die sehr direkt formulierte Haftung bei der Einhaltung „großer“ Compliance-Themen wie z. B. der Prävention von Geldwäsche dient mehreren Zwecken. An erster Stelle ist ein Abschreckungseffekt zu spüren, der auch beabsichtigt ist. Die persönliche Haftung von Führungskräften soll verhindern, dass wichtige Maßnahmen vernachlässigt oder unzureichend umgesetzt werden. Die Aussicht auf persönliche ggf. strafrechtliche Konsequenzen oder Bußgelder ist dazu geeignet, um Führungskräfte eine aktive Rolle bei der Sicherstellung von Datenschutz-Compliance übernehmen zu lassen.
Die persönliche Verantwortlichkeit der Führungskräfte soll auch ein höheres Maß an Verantwortungsbewusstsein erzeugen. Dies stellt sicher, dass entsprechende Bedürfnisse auf der Führungsebene priorisiert und die richtigen Ressourcen und Maßnahmen zur Einhaltung der Vorschriften bereitgestellt werden.
Es gibt jedoch auch Grenzen, inwieweit Führungskräfte persönlich verantwortlich gemacht werden sollten:
Führungskräfte in großen Unternehmen haben oft zahlreiche Aufgaben und delegieren operative Tätigkeiten wie Datenschutz an spezialisierte Abteilungen oder Datenschutzbeauftragte. Solange sie eine funktionierende Überwachungsstruktur haben und ihre Sorgfaltspflichten erfüllen, kann ihre direkte Verantwortlichkeit begrenzt sein. Hier greift das Prinzip der „angemessenen Delegation“: Führungskräfte dürfen klar definierte Aufgaben an geeignete Empfänger delegieren, müssen jedoch sicherstellen, dass eine effektive Überwachung stattfindet.
Schulungen im Bereich Compliance können daher vielfältig sein. Die wichtigsten Themen sind hier je nach Unternehmen im Allgemeinen im Bereich Risikomanagement und internes Kontrollsystem zu verorten. Auch Inhalte über Unternehmenskultur, Sabotageschutz, Zusammenarbeit mit Behörden usw. können erforderlich werden. Maßstab ist hier das Unternehmen selbst. Sind Sie z. B. im Bereich Marketing tätig, wird bei Ihnen auch Compliance mit Urheberrechten relevanter werden.
Verantwortung im Datenschutz
Datenschutz ist nicht nur der Job der IT-Abteilung oder des Datenschutzbeauftragten. Er umfasst die Arbeit im Verarbeitungsverzeichnis oder die Durchführung von Audits. Führungskräfte können sich hier in der ersten Reihe wiederfinden, wenn es um die Suche nach Schuldigen geht.
Laut Artikel 24 DSGVO müssen „Verantwortliche“ sicherstellen, dass die Verarbeitung personenbezogener Daten gesetzeskonform abläuft. Das bedeutet, dass dafür gesorgt werden muss, dass passende Maßnahmen getroffen werden. Es genügt hier nicht, nur eine Policy auf der Webseite unterzubringen.
Bei einem Verstoß sind die Bußgelder üppig: mit 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – was immer höher ist. Auch dies kann natürlich mittelbar die Geschäftsführungsebene treffen.
Persönliche Haftung ist hier auch kein Fremdwort. Wenn Aufsichtspflichten verletzt werden, können Geschäftsführer auch zur Verantwortung gezogen werden. Entsprechende Normen für vorsätzliches Handeln finden sich hier in § 42 BSDG, welcher Strafen von bis zu 3 Jahren vorsieht.
Die Sensibilisierung der Führungsebene ist im Übrigen auch Aufgabe des Datenschutzbeauftragten. Nach Artt. 37-39 DSGVO erhält der Datenschutzbeauftragte einen engen Kontakt zur Geschäftsführung des Verantwortlichen und damit auch die Aufgabe sämtliche Beschäftigte zu sensibilisieren. Viele Unternehmen sind demgemäß verpflichtet, einen Datenschutzbeauftragten zu benennen, der die Einhaltung der DSGVO sicherstellen soll. Die Existenz eines Datenschutzbeauftragten entbindet jedoch die Geschäftsführung und andere Führungskräfte nicht von ihrer Verantwortung. Vielmehr soll der Datenschutzbeauftragte beratend tätig sein, während die Führungsebene dafür sorgt, dass die notwendigen Ressourcen bereitgestellt und die Datenschutzmaßnahmen im gesamten Unternehmen umgesetzt werden.
Mittelbare und Unmittelbare Rechenschaft durch Nachhaltigkeit
Nachhaltigkeit hat mittlerweile viel an Bedeutung gewonnen, zuletzt durch die neue Corporate Sustainability Reporting Directive (CSRD). Wer als Unternehmen nicht nachhaltig agiert, handelt vermehrt nicht nur wirtschaftlich unvorteilhaft, sondern riskiert auch handfeste rechtliche Probleme. Nachhaltigkeit bedeutet heute auch, dass wir entlang der gesamten Lieferkette Verantwortung übernehmen, wobei der Begriff der Lieferung relativ weit gefasst ist.
So verpflichtet auch das Lieferkettensorgfaltspflichtengesetz (LkSG) Unternehmen, Sorgfaltspflichten entlang ihrer Lieferketten zu erfüllen. Falls nicht, werden Bußgelder von bis zu 2 % des Umsatzes fällig.
Strafrechtliche Risiken gibt es auch hier. Wenn z. B. wissentlich Menschenrechtsverletzungen in der Lieferkette geduldet, können Führungskräfte auch hier durch Anwendung des § 130 OWiG zur Rechenschaft gezogen werden.
Schulungen zu den ESG-Kriterien (Environmental, Social, Governance) können große Vorteile bringen. Nachhaltig aufgestellte Ziele, vor allem wenn diese aufgrund eines gut ausgearbeiteten Kriterien-Katalogs verfolgt werden, bringen neben der schlichten Einhaltung von Gesetzesvorgaben auch wirtschaftliche Vorteile. Auch kleine und mittlere Unternehmen werden zunehmend aufgrund von Mitnahme-Effekten größerer Konzerne dazu verpflichtet Nachhaltigkeitskriterien zu erfüllen, etwa wenn als Zulieferer nach dem LkSG agiert wird.
Führungskräfte in der Schusslinie
Die meisten Führungskräften sind sich dessen bewusst, dass das Unternehmen, die „juristische Person“, nicht für alles geradesteht, wenn Mängel im Unternehmen offenbar werden. Natürlich wird das Unternehmen in erster Linie Adressat eines Bußgelds. Aber auch die Führungskräfte können schnell persönlich haftbar gemacht werden, wenn diese ihre Aufsichtspflichten vernachlässigen. Ganz nach dem Motto: „Du warst doch der Chef, warum hast du nichts gemacht?“
Der § 130 OWiG besagt, dass die Führungsebene die Verantwortung trägt, das Team so zu überwachen, dass Verstöße gar nicht erst passieren. Es braucht gute Systeme, klare Prozesse und Sensibilisierungsmaßnahmen sowie Incentivierung, um sicherzustellen, dass niemand aus Versehen oder absichtlich den Datenschutz mit Füßen tritt oder gegen Umweltstandards verstößt. Auch wenn einige dieser Aufgaben delegiert werden, wird die ordnungsgemäße Delegation zur Verantwortung. Delegation ist trotzdem von Vorteil, aber nur, wenn sie regelmäßig von Supervision und stichprobenartigen Kontrollen begleitet wird. Hier besteht die größte Herausforderung darin, am Arbeitsplatz eine gute Vertrauenskultur aufrecht zu erhalten.
Fazit
Führungskräfte sind nicht unantastbar. Soweit es einmal Zeiten gegeben haben sollte, in denen nur delegiert wurde und sich um den Rest wenig gekümmert wurde, sind diese passé. Datenschutz, Compliance und Nachhaltigkeit sind und bleiben aktuelle Themen. Sie gehören auf die Agenda jedes Meetings. Denn das Risiko, es nicht ernst zu nehmen, ist groß – finanziell, strafrechtlich und für die Reputation des Unternehmens.
Mit den richtigen Schulungen, Systemen und einem klaren Verständnis der gesetzlichen Anforderungen können wir nicht nur diese Herausforderungen meistern, sondern uns auch als verantwortungsbewusste und zukunftsorientierte Führungskräfte positionieren, während wir gleichzeitig die persönliche Haftung reduzieren.
Während das Unternehmen als juristische Person in erster Linie für Verstöße haftet, müssen Führungskräfte durch ihre Führungs- und Aufsichtspflichten dafür sorgen, dass Datenschutzrichtlinien und -prozesse wirksam umgesetzt werden.
Max Power
28. November 2024 @ 13:07
Die o..s Aussage, dass der/die Datenschutzbeauftragte die Aufgabe hat alle Beschäftigten zu sensibilisieren ist nicht korrekt. Richtigerweise handelt es sich hierbei um eine Überwachungsaufgabe (Überwachung der Sensibilisierungsmaßnahmen).
Siehe auch: https://www.dr-datenschutz.de/aufgaben-eines-datenschutzbeauftragten-nach-dsgvo/
Falko Klages
29. November 2024 @ 10:36
Hallo Herr Power,
haben Sie besten Dank für den Hinweis. Sie haben Recht, die Formulierung ist hier etwas vereinfachend und dadurch unscharf. Der Datenschutzbeauftragte ist in seiner beratenden Rolle nicht operativ verantwortlich für die Umsetzung der Sensibilisierungsmaßnahmen – diese Aufgabe verbleibt bei der Unternehmensleitung.
K. Peters
23. November 2024 @ 5:19
Das OLG Dresden hatte in einer Entscheidung ja schon mal die gemeinsame datenschutzrechtliche Verantwortlichkeit eines Geschäftsführers bestätigt (vgl. Urt. v. 30.11.2021 – 4 U 1158/21).
Dazu gibt es auch Konstellationen, in denen weisungsberechtigte Organe bewusst datenschutzrechtliche Pflichten ignorieren (z.B. keine Datensvhutzfolgeabschätzung aus Kostengründen) oder Datenschutzverletzungen dulden bzw. trotz positiver Kenntnis nicht abstellen.
Zu dieser Problematik kann man bislang aber nur wenig finden. Vielleicht könnten Sie das mal in einem weiteren Beitrag aufgreifen?
Anonym
10. Dezember 2024 @ 9:14
Sehr interessantes und praktisch relevantes Thema, wäre auch dafür! Scheinen ja Fälle zu sein, in denen Sorgfaltspflichten/Legalitätspflichten bewusst verletzt werden oder Rechtsbrüche zumindest in Kauf genommen werden.