Verantwortung in Unternehmen: Datenschutz und IT-Sicherheit sind Chefsache

11. März 2024

Wer ist in Unternehmen für den Datenschutz verantwortlich? Und für die IT-Sicherheit? In manchen Unternehmen hält sich hartnäckig der Irrglaube, der Abteilungsleiter der IT, der Datenschutzbeauftragter und/oder der IT-Sicherheitsbeauftragter sei für Datenschutz, Datensicherheit & Co. zuständig. Doch das stimmt nicht. Weshalb Vorstände und Geschäftsführer in der Verantwortung stehen und welche Maßnahmen Sie zur Haftungsminderung ergreifen können, steht in diesem Beitrag.

Lesedauer: 5 Minuten (ca. 950 Wörter)

Für viele Unternehmen in Deutschland stellen die Bereiche Datenschutz und IT- bzw. Informationssicherheit eine unbequeme Wahrheit dar. Denn der Datenschutz und – für viele Unternehmen in Deutschland – auch die IT-Sicherheit sind gesetzliche Pflichtaufgaben. Das bedeutet, sie haben keine andere Wahl als ein angemessenes Managementschutzsystem zu betreiben. Zudem sind Datenschutz und Cybersicherheit reine Kostenstellen. Diese Aufgaben bringen also keinen Umsatz. Zu allem Überfluss stellen beide Bereiche wegen der fortschreitenden technischen Entwicklung, deren Möglichkeiten sich auch potenzielle Angreifer bedienen, eine never ending story dar – also ein (Kosten-)Fass ohne Boden.

Es ist also nachvollziehbar, dass Datenschutz und IT-Sicherheit auf der internen Beliebtheitsskala mancher Unternehmen unten angesiedelt sind. In der Folge tendieren Vorstände und Geschäftsführer dazu, die Zuständigkeit und Verantwortlichkeit für beide Aufgaben wegzudelegieren. Hierzu wird beispielsweise ein Mitarbeiter auf einen Crashkurs zur Datenschutz-Grundverordnung (DSGVO) und zum Bundesdatenschutzgesetz geschickt, wo er/sie kurzerhand zum Datenschutzbeauftragten ausgebildet und sich fortan um den Datenschutz kümmern soll. Doch damit ist die Aufgabe nicht abgehakt.

Umsetzung des Datenschutzes obliegt der Geschäftsleitung

Vielmehr verbleibt die Verantwortlichkeit für Datenschutz und Cybersecurity bei der Geschäftsleitung. Konkret resultiert diese Verantwortung aus der allgemeinen Pflicht zur sorgfältigen Unternehmensführung. Juristisch handelt es sich hierbei um eine per Gesetz (u. a. Aktiengesetz und GmbH-Gesetz ) auferlegte Pflicht für Vorstände und Geschäftsführer – sie betrifft nicht die Abteilungsleiter und sonstigen Mitarbeiter im Unternehmen. Die Pflicht zur sorgfältigen Unternehmensführung umfasst neben dem Datenschutz auch die Errichtung eines angemessenen IT-Sicherheits- bzw. Informationsschutzsystems und dessen regelmäßig Überwachung und Verbesserung.

Unternehmensintern bleiben also die Geschäftsführer und die Vorstände verantwortlich. Das ändert sich auch nicht, wenn zum Beispiel ein Datenschutzbeauftragter benannt wurde. Denn die ihm nach der DSGVO und dem Bundesdatenschutzgesetz zugedachten Aufgaben liegen u. a.

  • in der Beratung und Unterrichtung der Geschäftsleitung,
  • in der Überwachung der Einhaltung des Datenschutzes sowie
  • in der Zusammenarbeit mit der Datenschutzbehörde.

Die Umsetzung und Einhaltung des Datenschutzes bleibt jedoch Aufgabe des Verantwortlichen – sprich dem datenverarbeitenden Unternehmen – sprich der Geschäftsleitung.

IT-Sicherheitsbeauftragter keine gesetzliche Pflicht

Dazu passt es, dass der Datenschutzbeauftragte keinen Weisungen der Geschäftsleitung unterliegt, auch wenn das Unternehmen ihn bezahlen und die erforderlichen Ressourcen zur Verfügung stellen muss.

Nach dem Leitbild der DSGVO und des Bundesdatenschutzes steht der Datenschutzbeauftragte als Bindeglied zwischen dem Unternehmen einerseits und der Datenschutzbehörde sowie den betroffenen Personen andererseits eher außerhalb des Unternehmens. Dazu passt es, dass er keinen Weisungen der Geschäftsleitung in seiner Aufgabenerfüllung unterliegt, auch wenn das Unternehmen ihn bezahlen und die erforderlichen Ressourcen (Literatur, Programme, Arbeitszeit etc.) zur Verfügung stellen muss. Es ist ein Irrglaube, dass ein Datenschutzbeauftragter unternehmensintern für die Einhaltung des Datenschutzes verantwortlich gemacht werden könnte. Entsprechende Aufgabenzuweisungen in Arbeitsverträgen sollten daher überprüft und ggf. geändert werden.

Etwas anderes gilt auch nicht für den IT-Sicherheitsbeauftragten bzw. Informationssicherheitsbeauftragten. Das ergibt sich bereits daraus, dass gegenwärtig keine gesetzliche Pflicht besteht, einen IT-Sicherheitsbeauftragten oder Informationssicherheitsbeauftragten zu ernennen, wenn bestimmte Voraussetzungen erfüllt sind (auch wenn sich das mit der Umsetzung der NIS-2-Richtlinie der EU noch ändern könnte). Zwar sieht der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik die Schaffung eines Informationssicherheitsbeauftragten vor. Allerdings bliebe die Verantwortung – wie beim Datenschutzbeauftragten – auch hier bei der Geschäftsleitung.

Haftungsminderung bei Verstößen gegen Datenschutz und IT-Sicherheit

Auch wenn die Verantwortung für Datensicherheit und Schutz der personenbezogenen Daten bei den Geschäftsführern und Vorständen verbleibt, bedeutet das bei einem erfolgreichen Cyberangriff nicht zwangsläufig, dass sie auch haften müssen. Die Pflicht zum Datenschutz und zur IT-Sicherheit, die die Geschäftsleitung dem Unternehmen im Innenverhältnis gegenüber schuldet, ist nämlich erfüllt, wenn ein Schutzsystem nach dem Stand der Technik aufgebaut wurde und regelmäßig auf ihre Wirksamkeit hin überwacht wird. Die Pflicht ist nicht schon dann verletzt, wenn es Hackern gelungen sein sollte, in das IT-System eines Unternehmens einzudringen!

Nichtsdestotrotz stellt die Minderung der Haftung von Geschäftsführern und Vorständen im Innenverhältnis die gelebte Praxis dar. Verbreitet sind u. a. die folgenden Maßnahmen:

  • Dokumentation der IT-Schutzmaßnahmen
  • vertragliche Haftungsminderung
  • Ressortzuweisung

Zunächst sollte eine sorgfältige Dokumentation erstellt werden, welche konkreten Maßnahmen zum Schutz der IT-Sicherheit und des Datenschutzes ergriffen bzw. veranlasst worden ist. Hierdurch können sich Geschäftsführer und Vorstände gegenüber dem Unternehmen von einer persönlichen Haftung freizeichnen. Darüber hinaus sind vertragliche Haftungsminderungen zulässig. So könnte eine Summenbegrenzung oder Abmilderung des Verschuldensmaßstabes im Anstellungsvertrag vereinbart werden. Allerdings greift diese Möglichkeit nur für Geschäftsführer einer GmbH. Bei Vorständen einer AG ist eine vertragliche Haftungsbeschränkung unzulässig.

Ressortzuweisung von Datenschutz und IT-Sicherheit

Um diesen Nachteil aufzuwiegen, empfiehlt sich bei Vorständen einer Aktiengesellschaft der Abschluss einer D&O-Versicherung (auch für GmbH-Fremdgeschäftsführer), der Verzicht auf die Geltendmachung von Ersatzansprüchen durch die Hauptverhandlung sowie eine klare Ressortzuweisung. Bei der Ressortzuweisung können die Bereiche Datenschutz und IT-Sicherheit – genauso wie Personal, Finanzen etc. – einem Geschäftsführer oder einem Vorstand zugewiesen werden. Streng genommen bleibt auch bei einer Ressortzuweisung die Verantwortlichkeit bei der Gesamtheit der Geschäftsleitung. Doch die Pflicht der einzelnen Mitglieder, aktiv zu handeln, wandelt sich um in eine Pflicht, den zuständigen Kollegen zu überwachen. Und der Nachweis darüber, seine Überwachungspflicht erfüllt zu haben, ist einfacher als der Nachweis, seine Handlungspflicht erfüllt zu haben.

Fazit

In Unternehmen sind die Geschäftsführer und Vorstände für die Bereiche Datenschutz, IT- bzw. Informationssicherheit verantwortlich. Daran ändert sich auch nichts, wenn ein Datenschutzbeauftragter benannt oder der Posten des IT-Sicherheitsbeauftragten oder Informationssicherheitsbeauftragten geschaffen wurde. Konkret bedeutet das, dass Systeme zum Schutz der personenbezogenen Daten und der Informationssicherheit (ISMS) geschaffen und deren Effektivität aufrechterhalten werden muss. Die gegebenen Möglichkeiten, die persönliche Haftung zu mindern, sind begrenzt. Gleichwohl tun Geschäftsführer und Vorstände gut daran, diese Möglichkeiten zu nutzen.

Sie kommen aus Kiel oder Schleswig-Holstein und haben Fragen zur Verantwortung oder Haftungsminderung von Geschäftsführern oder Vorständen im Datenschutz oder der IT-Sicherheit? Oder Sie kommen aus dem übrigen Bundesgebiet? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.

Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)

Auch interessant: Rechtliche Folgen eines Cyberangriffs

Share on email
Share on whatsapp
Share on twitter
Share on xing

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Scroll to Top