Wer nichts tut, setzt sich Haftungsrisiken aus. Wer will das schon? Im Falle einer Missachtung der EU Datenschutz-Grundverordnung setzen sich Mitglieder der Geschäftsleitung dem Risiko der Organhaftung, aber auch einer möglichen zivilrechtlichen und strafrechtlichen Haftung aus.
Das Ignorieren der Datenschutz-Grundverordnung kann auch die eigene persönliche und unternehmerische Reputation nachhaltig beschädigen. Haftungsrisiken können sich beispielsweise aus Mandats- oder Arbeitsverträgen ergeben. Der Verwaltungsrat trägt die Verantwortung für die Oberleitung der Gesellschaft und für die Einhaltung der Gesetze. Der Verwaltungsrat ist auch für die operative Tätigkeit des Unternehmens, für das operative Risk-Management, sowie das interne Kontroll-System verantwortlich. Wer delegiert, sollte das auch beim Thema DSGVO auf Basis eines sauberen Organisationsreglements tun. In jedem Fall braucht man ein umfassendes Datenschutz-Konzept. Das Überantworten des Themas an den Datenschutzverantwortlichen reicht nicht aus.
Der gute Rat von MME: Der Verwaltungsrat eines Unternehmens sollte nach dem Prinzip «Setting the tone at the top» verfahren. Das bedeutet: Der Verwaltungsrat setzt das Datenschutz-Niveau fest und hält dies in einem VR-Protokoll fest. Die Geschäftsleitung sollte eine Risiko-Analyse durchführen und entsprechende Massnahmen ergreifen.
Das Neue an der Datenschutz-Grundverordnung ist die Accountability. Der Verantwortliche muss die Einhaltung der DSGVO nachweisen können. Das beinhaltet die Rechenschaftspflicht und die Beweislastumkehr. Zusätzlich müssen die Compliance-Massnahmen dokumentiert werden inklusive Datenschutzerklärung, Datenschutzkonzept, Datenschutzrichtlinie, Website, VR/GL-Beschluss, Auftragsverarbeitungsverträge mit Providern, TOM und eventuell auch einem Datenbearbeitungsverzeichnis.
Sehen Sie sich hierzu das Video an.
