In wenigen Tagen tritt die DSGVO in Kraft, aber nur rund die Hälfte der deutschen Unternehmen ist laut einer Umfrage darauf vorbereitet. Versicherungsrechtler erwarten unterdessen eine Zunahme an Managerhaftpflichtfällen.
Am 25. Mai tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft und man fühlt sich unweigerlich an die Vorweihnachtszeit erinnert: Weihnachten kommt bekanntlich immer ganz überraschend und in letzter Minute werden noch eilig Geschenke besorgt. Ähnlich ist die Lage bei der Umsetzung der Vorgaben aus der DSGVO: Gerade einmal rund die Hälfte der deutschen Unternehmen hat entsprechende Vorbereitungen getroffen, ergab eine Studie der Kanzlei KPMG Law und des Branchenverlags Legal 500.
Zwischen November 2017 und Februar 2018 wurden rund 450 Unternehmensjuristen weltweit befragt und nur 46 Prozent der Leiter Recht gaben dabei an, dass ihr Unternehmen bereits genug getan habe, um mit der DSGVO konform zu gehen. Ein wenig besser ist die Lage bei Unternehmen, die in Deutschland ansässig sind. Hier berichten immerhin 49 Prozent, dass sie angemessen auf die DSGVO vorbereitet seien. Damit liegt Deutschland im EU-Vergleich vor dem Vereinigten Königreich (44%) und Irland (30%), aber hinter Spanien (53%) und Italien (64%).
Als dringendste Herausforderung der Rechtsabteilungen nennen die Befragten das Einrichten oder Anpassen von Prozessen, um Compliance sicherzustellen. Rund ein Fünftel glaubt, dass die Umsetzung der Richtlinien über alle Unternehmens- oder Geschäftsbereiche hinweg die schwierigste Aufgabe sein wird.
Drastische Strafen, Haftpflichtrisiko für Manager
Die Strafen bei einem Verstoß gegen die DSGVO sind empfindlich: Die Behörden können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes als Geldbußen verhängen. Doch noch ist ungewiss, wie streng die neuen Vorschriften durchgesetzt werden. Dr. Konstantin von Busekist von KPMG Law meint, dass der Regulierungsbehörde bei der Beurteilung und Verhängung von Sanktionen für Verstöße nur sehr wenig Raum bleibt: "Die Frage, ob ein Regelverstoß verfolgt wird oder nicht, liegt nicht im Ermessen der Behörden. Sobald sie in Kenntnis einer Datenschutzverletzung sind, müssen sie ein Ordnungsmittelverfahren einleiten."
Einer der befragten General Counsel äußerte der Studie zufolge die Ansicht, dass die Aufsichtsbehörden in den ersten Monaten nach Umsetzung der DSGVO bestrebt sein werden, große Unternehmen zu bestrafen, die sich nicht an die Vorgaben halten. Ansonsten bestehe die Gefahr, dass die Firmen das Thema nicht ernst nehmen.
Versicherungsrechtler glauben zudem, dass die DSGVO auch zu einer steigenden Zahl an Managerhaftplichtfällen führen wird. "Dank der Beweislastumkehr, die der Gesetzgeber eingebaut hat, müssen erstmals nicht die Geschädigten beweisen, dass das Unternehmen Fehler gemacht hat, sondern umgekehrt: Das Unternehmen muss darlegen, dass alles korrekt vorbereitet war", sagt Rechtsanwalt Michael Hendricks, der Unternehmen und Manager bei Haftungsfällen berät.
Letztlich sei die Chefetage dafür verantwortlich, dass im Unternehmen technisch wie organisatorisch ein System entsteht, das fristgerecht den rechtskonformen Datenumgang sicherstellt. "Kommt es zu Vermögensschäden im Unternehmen – etwa, weil es nach einem Verstoß Bußgelder hagelt oder ein Imageverlust auf die Verkaufszahlen drückt - werden die Aufsichtsräte und Anteilseigner nicht lange zögern und versuchen, das Geld von den Verantwortlichen zurückzuholen", meint Hendricks. Er glaubt, dass künftig auch in Datenschutzfragen genauso heftig gestritten wird, ob ein Manager genug für ein funktionierendes Compliance-System getan hat, wie beim Thema Korruption.
ah/LTO-Redaktion
Datenschutz: . In: Legal Tribune Online, 11.05.2018 , https://www.lto.de/persistent/a_id/28567 (abgerufen am: 15.11.2024 )
Infos zum Zitiervorschlag