Raue Tage, raue Nächte

Tilman Herbrich Schriftleitung Datenschutz-Berater

Sehr geehrte Leserinnen und Leser,

wie ein Lauffeuer brannte sich die Compliance-Welle in den 2010erJahren durch die Führungsetagen deutscher DAX-Unternehmen. Es war eine kurze Revisionsentscheidung des Bundesgerichtshofs (BGHSt 54, 44) zur strafrechtlichen Verantwortlichkeit (Beihilfe zum Betrug durch Unterlassen) des Leiters Recht und Innenrevision, die zahllose Fachbeiträge, Fortbildungen und Follow-ups zur Etablierung von Compliance-Management-Systemen zur Folge hatte.

Auch dem Datenschutz steht eine Compliance-Welle bevor, denn es gibt gegenüber anderen gesellschaftsrechtlichen Trendthemen wie dem taufrischen „Lieferkettensorgfaltspflichtgesetz“ Nachholbedarf. Der EuGH hat im vergangenen Jahr an zwei entscheidenden Stellen die Zügel für das datenschutzrechtliche Lotterleben bei Privatwirtschaft und öffentlicher Hand straffgezogen. In C-129/21 („Proximus“) Ende Oktober 2022 bestätigte das Gericht, dass Verantwortlichen aus Art. 5 Abs. 2 und 24 Abs. 1 DSGVO erstens eine Pflicht zur Rechenschaft sowie zweitens Pflichten zur Compliance erwachsen, weshalb sie präventiv wirksame Compliance-Management-Systeme etablieren, unterhalten und dokumentieren müssen. Beratergold, diese Worte.

Doch bereits die Rechtssache C-175/20 („Valsts ieņēmumu dienests“) aus dem Frühjahr 2022 barg ein Geschenk an das betriebliche Datenschutzmanagement, denn die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, bislang in Deutschland stiefmütterlich behandelt, wurde vom EuGH als prozessuale Beweislastumkehr zu Lasten des oder der Verantwortlichen eingeordnet und sogleich auf den Konstruktionsprozess unter Einbeziehung von Privacy by Design ausgedehnt. Beide Entscheidungen kombiniert bringen ein straffes Arbeitsprogramm für Verantwortliche und schlaflose Nächte für die große Zunft der Datenschutz-Berater:innen. Die abstrakten rechtlichen Vorgaben zu Compliance (Prävention), Nachweispflichten (Dokumentation) und Beweislastumkehr (Prozessrisiko) haben massive Auswirkungen auf Rückstellungen, Unternehmensbewertungen, Versicherbarkeit, Forschung & Entwicklung sowie die Haftung von Führungskräften.

Beim Thema Bußgelder erhalten Behörden Rückenwind: Es mag wohl sein, dass die Existenz von Compliance-Management-Systemen bußgeldmildern wirken kann, wenn „Compliance-Regelungen optimiert und betriebsinterne Abläufe so gestaltet haben, dass Normverletzungen jedenfalls deutlich erschwert werden“ (BGH, 1 StR 265/16). Doch Fehlen oder Ineffektivität solcher Regelungen und betriebsinterne Abläufe wirken sich in der Regel sanktionsschärfend aus. Auch Geschäftsführer:innen und sonstiges Spitzenpersonal kommen persönlich nicht ungeschoren vom EuGH davon. Organe wie Geschäftsführer:innen und Vorständ:innen haben eine strikte Legalitätspflicht, sie müssen stets rechtmäßig handeln. Die vielzitierte „Business Judgement Rule“ gewährt gerade keinen Entscheidungsspielraum in Rechtsfragen.

Der EuGH sorgt dafür, dass der Datenschutz in den Führungsetagen ankommt. Allerdings weniger über Awareness, als über eine neue, unmittelbar-europäische Compliance-Pflicht aus Art. 5 Abs. 2, 24 Abs. 1 DSGVO, die als deliktisches Schutzgesetz auch unmittelbare Ansprüche gegen die Geschäftsführer:innen begründen kann. Des einen Freud, des anderen Leid: Die Schwerpunkte variieren, doch die Welt des Datenschutz- und Compliance-Expert:innen bleibt auch im Jahr 2023 arbeitsreich und lukrativ für den Nachwuchs.

Im Namen des Redaktionsteams wünschen ich Ihnen einen guten Start in das neue Jahr!

Ihr

Tilman Herbrich