Unsere Rechtsordnung fußt auf dem Prinzip, dass man durch Gesetze Wohlverhalten ermöglichen und durch Strafdrohungen Fehlverhalten verhindern kann. Gerade im unternehmerischen Umfeld ist dieses Wohlverhalten – die sogenannte Compliance – daher auch eine Frage der Risikoabwägung. Bringt der Rechtsbruch vielleicht mehr, als er potentiell kostet? Übersteigen die Compliance-Kosten die realistisch zu erwartende Strafe? Oft sind es exakt diese Parameter, die über die Ernsthaftigkeit der Compliance-Bemühungen in einem Unternehmen entscheiden. Eigentlich eine einfache Rechnung: Maximaler Strafrahmen minus Strafmilderungsgründe, multipliziert mit der Eintrittswahrscheinlichkeit. Ist dieser Betrag niedriger als der erhoffte Vorteil des Rechtsbruchs oder die Kosten für Compliance, hat der betriebswirtschaftliche Hammer gesprochen.

Derartigen Überlegungen versucht der Gesetzgeber seit jeher dadurch einen Riegel vorzuschieben, dass im allgemeinen Verwaltungsstrafrecht die Entscheidungsträger bestraft werden – diese müssen die Strafe bezahlen, auch wenn formal "nur" die Gesellschaft das Recht gebrochen hat.

Beim Datenschutz haftet nur das Unternehmen(?)

Nach der Datenschutz-Grundverordnung (DSGVO) haftet zwar nur das Unternehmen – dies erfordert jedoch die Zurechnung eines Fehlverhaltens von einem oder mehreren Entscheidungsträgern. Folglich werden von der Datenschutzbehörde in Strafbescheiden die jeweiligen Entscheidungsträger an den Pranger gestellt: Diesen wird das Außerachtlassen der gebotenen Sorgfalt sowie mangelnde Kontrolle und Überwachung vorgeworfen – zwei Kernelemente der geschäftsführenden Tätigkeit, die kein gutes Licht auf die Qualität der handelnden Personen werfen und damit auch deren weitere Karriere nachhaltig gefährden können.

Kurz vor und nach dem Geltungsbeginn der DSGVO im Mai 2018 stand das Thema Datenschutz-Compliance in Unternehmen ganz oben auf der Agenda. Nach ersten Anstrengungen aber folgten die Mühen der Ebene und damit verbunden die Einsicht, dass das Thema nicht durch einmalige Maßnahmen "erledigt" werden kann, sondern in einen laufenden Prozess mündet, der viel mehr Aufmerksamkeit und Ressourcen erfordert, als Außenstehende vermuten.

Mehr Datenschutzstrafen, Strafhöhe steigt

Ungeachtet dessen nehmen die Aktivitäten der Behörden zu und auch die Höhe der verhängten Strafe steigt in lichte Höhen: Während dem Jö-Bonusclub nun von der Datenschutzbehörde ein Strafbescheid über zwei Millionen Euro zugestellt wurde, verhängte die luxemburgische Datenschutzbehörde über die dort ansässige europäische Amazon-Tochtergesellschaft eine Strafe von sogar knapp 750 Millionen Euro. Auch bei den Lieferdiensten geht es in letzter Zeit rund: Deliveroo wurde in Italien mit 2,5 Millionen Euro, der Konkurrent Foodinho einige Wochen zuvor mit 2,6 Millionen Euro bestraft. Die unzulässige Videoüberwachung von Mitarbeitern soll notebookbilliger.de in Deutschland 10,4 Millionen Euro kosten.

Wenngleich der gegen die Österreichische Post erlassene Strafbescheid über 18 Millionen Euro letztlich aufgrund eines Formfehlers eingestellt wurde, zeigt dies doch deutlich, in welchen Dimensionen sich die Strafhöhe auch hierzulande in anderen Verfahren bald bewegen wird. Es liegt auf der Hand, dass in allen diesen Fällen die Investition eines Bruchteils dieser Beträge ausreichend gewesen wäre, um Datenschutz-Compliance herzustellen.

"Genervte" haben Chance auf Schadenersatz

Neben drohenden Strafen der Datenschutzbehörden samt PR-Desaster und frustrierten Kunden dürfen auch Schadenersatzklagen von Privatpersonen nicht außer Acht gelassen werden.

So hat der Oberste Gerichtshof (OGH) erst im Juli in der Sache Schrems/Facebook entschieden, dass 500 Euro Schadenersatz angemessen sind, wenn einem Auskunftsanspruch nicht in der gebotenen Form entsprochen wird und die betroffene Person dadurch Nachteile erlitten hat. Im konkreten Fall reichte dafür letztlich aus, dass Max Schrems aufgrund der intransparenten Datenverarbeitung durch Facebook "massiv genervt" war.

Für Unternehmen mit einem größeren Kundenkreis können sich so auch bei vermeintlich geringen Beträgen rasch existenzbedrohende Summen kumulieren, die die von der Datenschutzbehörde verhängte Strafe noch übersteigen.

Datenschutzfalle für das Management

Die Entscheidungsträger sind in ihrem Wirken dem Wohl der Gesellschaft verpflichtet. Dieses Bild definiert sich zwar selbst oft durch besonders hohe Verkaufszahlen und Rekordumsätze, ist allerdings weit vielschichtiger. So haben Entscheidungsträger auch auf das Image der Gesellschaft zu achten, die langfristige Unternehmensentwicklung im Auge zu halten und ordnungsgemäß zu besorgen.

Neben der Nutzung geschäftlicher Chancen beinhaltet dies freilich auch die funktionierende Datenschutzcompliance sowie die Einschätzung von Risiken und Abwendung drohender Schäden. Dem wird dann nicht entsprochen, wenn von den zuständigen Entscheidungsträgern rechtswidrige Handlungen getätigt, gebilligt oder ignoriert werden und das Unternehmen damit in eine potentiell medienwirksame Datenschutzkatastrophe manövriert wird. Eine Situation, die im Übrigen nicht nur zum Rauswurf, sondern auch zur persönlichen Haftung für Schäden der Gesellschaft führen kann.

Nichtwissen kann zum Verhängnis werden

Ein Haftungsrisiko besteht bereits dann, wenn es ein Entscheidungsträger vernachlässigt, sich die notwendigen Kenntnisse anzueignen: So kann auch das uninformierte Genehmigen von Datenschutzprozessen (wie etwa der Anmeldung zu einem Kundenbindungsprogramm) zum Verhängnis werden. Macht man sich keine Gedanken über die betriebliche Datenschutzpraxis oder unterschätzt man die Risiken und boxt etwa Digitalisierungsprojekte ohne Begleitung kompetenter Datenschutzexperten durch, müssen sich Entscheidungsträger den Vorwurf gefallen lassen, sich nicht ordnungsgemäß mit den geltenden rechtlichen Anforderungen auseinandergesetzt zu haben.

Durch ein solches Verhalten schafft man eine weit sichtbare Flanke, die über kurz oder lang auch von der Datenschutzbehörde erkannt oder von "massiv genervten" Personen ausgenützt werden wird. (Helmut Liebel, Maximilian Kröpfl, 5.8.2021)