Die Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat bundesweit fürUnsicherheit gesorgt. Sicher ist: Mit ihrem Inkrafttreten sind neue Pflichten für Manager entstanden– und neue Risiken. Das Zusammenspiel verschiedener Versicherungen hilft, die Risiken abzufangen.Auf der diesjährigen AVW-Fachveranstaltung veranschaulichten Experten, wie dies bestmöglichumsetzbar ist.
Vorstands- oder Aufsichtsratsmitglieder sowie Geschäftsführer tragen die Verantwortung für ihre Entscheidungen.Im Schadenfall haften sie unbeschränkt mit ihrem Privatvermögen. Zudem steht die persönlicheReputation auf dem Spiel. Die Einführung der DSGVO birgt zahlreiche neue Risiken für Unternehmensentscheider.Die diesjährige Fachveranstaltung der AVW für Geschäftsführer, Vorstände und juristischeEntscheidungsträger der Immobilienwirtschaft stellte diese sowie Möglichkeiten der Absicherung in denFokus.
Was ist neu durch die DSGVO?
Niels Christopher Litzka ist Senior Manager bei der Wirtschaftsprüfungsgesellschaft KPMG und tätig imBereich Compliance & Forensic. Er fasste die Anforderungen der DSGVO zusammen und verdeutlichtedie damit einhergehenden neuen Risiken für Unternehmensleiter und Verantwortliche. Wichtigster Punkt:Es ist zu einer Beweislastumkehr gekommen. Das heißt, die Datenverarbeiter – also die Unternehmen –müssen durch entsprechende Dokumentation beweisen können, dass sie sämtliche Datenschutzvorgabenrechtmäßig einhalten. Diese Rechenschaftspflicht erfordert umfangreiche Neuerungen und Adjustierungenvon Organisation, Prozessen und Maßnahmen. Wer nicht nachweisen kann, dass eine technisch und organisatorischentsprechend ausgerichtete Datenschutzorganisation im Unternehmen vorhanden ist, setzt sichdem Risiko empfindlicher Bußgelder aus.
Was bedeutet das für meine IT?
Dr. Stefan Steinkühler von FINLEX sprach in seinem Vortrag über die Haftung der Geschäftsleitung fürOrganisationspflichtverletzungen im Bereich Datenschutz und IT-Sicherheit. Er betonte: Das größte Themain Verbindung mit der DSGVO ist das Löschen von Daten. Hier stehen viele Unternehmen vor der Herausforderung,ältere Daten auf Papier vorliegen zu haben. Dadurch kann man sie schwerer identifizieren,extrahieren und zur Verfügung stellen. Zudem lässt sich die Vollständigkeit der Daten nicht immer garantieren.Und hier wartet die nächste „Welle“ auf die Unternehmen: Personen, die von ihrem AuskunftsrechtGebrauch machen und ihre Daten erhalten, erheben Einspruch, dass diese nicht vollständig sind. Insofernlautet die Empfehlung: Dokumentieren Sie intern, warum gegebenenfalls manche Daten nicht rausgegebenwerden können, zum Beispiel aufgrund von Daten Dritter, die in den Unterlagen enthalten sind. Sollte dieAufsichtsbehörde eines Tages vor der Tür stehen, erleichtert das die Argumentation.
Niels Christopher Litzka empfiehlt den Unternehmen ein Datenschutzmanagement-System einzurichtenund dieses regelmäßig zu aktualisieren. Das System sollte Unternehmensprozesse, Reporting und Sensibilisierungder Mitarbeiter beinhalten. Und regelmäßig die Frage aufwerfen: „Wie lange brauche ich die Datenwirklich?“
Was kann bei einem Datenschutzvorfall passieren?
Neben den materiellen Schäden, die durch Datendiebstahl entstehen können, sind die sogenannten immateriellenSchäden ein Risiko. Bislang werden Ansprüche, die sich auf immaterielle Schäden nach Datenschutzvorfällenbeziehen, in Deutschland selten geltend gemacht. Doch das kann sich ändern. Wenn die Gerichteentsprechend entscheiden, können sich Unternehmen mit immateriellen Schäden und Schmerzensgeldkonfrontiert sehen. Das heißt: Selbst ohne materiellen Schaden nach einem Datenschutzvorfall könnte einBetroffener auf Schmerzensgeld klagen.
Wer haftet: Unternehmen oder Verantwortlicher?
Dr. Stefan Steinkühler betonte in seinem Vortrag noch einmal: Adressat der Regelungen in der DSGVO istprimär das Unternehmen, aber auch immer häufiger der Verantwortliche selbst. Ein aktueller Fall veranschaulichtdie Risiken: Eine leitende Mitarbeiterin aus der Buchhaltung soll laut Auffassung der in ersterund zweiter Instanz angerufenenen Gerichte nach einem Fake-President-Fall in ihrem Unternehmen zumindestfür einen Teil des entstandenen Schadens in Höhe von 150.000 € in Haftung genommen werden,sodass das bislang angewandte Arbeitnehmerhaftungsprivileg nicht mehr gelten würde. Wie das letztlichzuständige Bundesarbeitsgericht dies beurteilen wird bleibt abzuwarten. Eines steht aber jetzt schon fest:Personen-Policen werden in diesem Zusammenhang immer relevanter. (Lesen Sie hierzu auch das Interviewmit Julia Bestmann in diesem Newsletter). Im Hinblick auf die Versicherbarkeit zeigte Dr. Stefan Steinkühlerauf, wie die D&O, die Cyber- und die Vertrauensschadenversicherung im Schadenfall zusammenspielen…