Die Datenschutz-Grundverordnung (DS-GVO) und das neue BDSG beschäftigen weiterhin die Unternehmen. Nicht nur die Datenschutzbeauftragten, sondern auch Arbeitsrechtler stehen noch immer vor zahlreichen - höchstrichterlich noch unbeantworteten Fragen. Auch die Arbeitnehmervertreter im Aufsichtsrat werden sich zukünftig intensiver mit dem Thema Datenschutz auseinandersetzen müssen. Zum einen stellt sich die Frage, ob und wieweit der Aufsichtsrat die Einhaltung des Datenschutzes im Unternehmen zu überprüfen hat, zum anderen muss auch im Blick behalten werden, dass auch im Rahmen der Tätigkeit im Aufsichtsrat, das einzelne Aufsichtsmitglied ebenfalls personenbezogene Daten verarbeitet. Heißt das nun, dass das Aufsichtsratsmitglied im Rahmen seiner selbstständigen Tätigkeit verantwortliche Stelle für die Datenverarbeitung ist und folglich vor allem den hohen Geldbußen für Datenschutzverstöße ausgesetzt ist?
Kontrolle des Datenschutz-Managements durch den Aufsichtsrat?
Die neuen Vorgaben der DS-GVO zwingen die Unternehmen dazu, weitergehende Maßnahmen im Hinblick auf die Einhaltung des Datenschutzes zu treffen. Verstöße gegen Datenschutzbestimmungen und insbesondere auch die Datenschutzprinzipien aus Art. 5 DS-GVO, wie Rechtmäßigkeit, Transparenz, Datenminimierung oder die Begrenzung der Speicherung von personenbezogenen Daten sind nach neuem Recht mit deutlichen höheren Bußgeldandrohungen versehen, als dies bisher nach dem alten BDSG der Fall gewesen ist. Der neue Bußgeldrahmen reicht bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes. Natürlich werden die Aufsichtsbehörden diesen Rahmen nicht bei jedem Verstoß ausschöpfen. Es wird aber zukünftig deutlich empfindlichere Bußgelder geben, als dies bisher der Fall gewesen ist. Damit steigen die finanziellen Risiken im Unternehmen bei Datenschutzverstößen immens. Daneben darf auch nicht übersehen werden, dass die Meldepflichten für Datenpannen ebenfalls deutlich ausgeweitet wurden und somit Datenpannen und auch Datenschutzverstöße eine gestiegene öffentliche Aufmerksamkeit erfahren. Imageschäden durch Berichte über Datenpannen im Unternehmen müssen daher tunlichst vermieden werden.
Dies alles legt nahe, dass auch der Aufsichtsrat das Thema Datenschutz nicht mehr ausblenden darf. Zwar obliegt dem Aufsichtsrat nicht die Leitung des Unternehmens. Allerdings soll der Aufsichtsrat die Geschäftsleitung, also je nach Unternehmensform zumeist Vorstand oder Geschäftsführung überwachen (§ 111 Abs. 1 AktG). Daneben hat der Aufsichtsrat in vielen Fällen heute auch eine beratende Stellung inne.
Im Rahmen der Kontrollaufgabe erstreckt sich auf die Verhinderung bzw. Aufdeckung von Fehlern (Lutter/Krieger/Verse, Rechte und Pflichten des Aufsichtsrats, Rn. 63, 6. Auflage, Köln 2014). Die Überwachungsaufgabe bezieht sich dabei auf die Rechtmäßigkeit, Ordnungsmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit des Handelns der Geschäftsleitung.
Compliance-Systeme
Bzgl. des Datenschutzes ist insofern von Bedeutung, dass die Geschäftsleitung verpflichtet ist, für die Einhaltung des geltenden Rechts und damit auch der DS-GVO im Unternehmen zu sorgen. Dies wird heute zumeist mit dem englischen Begriff "compliance" umschrieben. Wie die Gesetzmäßigkeit des unternehmerischen Handelns sichergestellt wird, unterliegt zunächst dem Einschätzungsspielraum der Geschäftsleitung. Aufgabe des Aufsichtsrats ist es in diesem Zusammenhang sich von der Einrichtung eines Überwachungssystems, mit dem die Einhaltung der gesetzlichen Vorgaben sichergestellt werden kann, zu überzeugen und dieses auf Plausibilität zu überprüfen. Außerdem muss er sich in regelmäßigen Abständen über Compliance-Maßnahmen und eine Evaluation des Systems durch die Geschäftsleitung ein Bild machen. Letztlich haftet im Rahmen dieser Aufgabendefinition nicht nur die Geschäftsleitung, sondern auch der Aufsichtsrat für Gesetzesverstöße.
Informationspflicht
Auf den Datenschutz und die DS-GVO übertragen bedeutet dies, dass der Aufsichtsrat verpflichtet ist, sich über die Maßnahmen, die die Geschäftsführung im Bereich des Datenschutzes getroffen hat, zu informieren und diese Maßnahmen im Rahmen einer Plausibilitätskontrolle insbesondere auf ihre Funktionsfähigkeit hin zu kontrollieren. Der Aufsichtsrats sollte also zum Beispiel gezielt Berichte zum Stand des Datenschutz-Managements im Unternehmen anfordern. Es bietet sich zudem an, sich aktuelle Audit-Berichte des Datenschutzbeauftragten vorlegen zu lassen und nach Datenpanne im Berichtszeitraum zu fragen. Sollten Datenpannen vorgekommen sein, so muss sich zwingend die Frage nach den getroffenen Gegenmaßnahmen anschließen.
Kontrolltiefe
Natürlich kann der Aufsichtsrat auch beim Thema Datenschutz nicht jegliche Maßnahmen der Geschäftsleitung bis ins Detail überprüfen. Auch insofern gilt folgender Maßstab: Die Aufsichtsratsmitglieder sind verpflichtet, sich über den Umgang mit den Vorgaben der DS-GVO im Unternehmen, ggf. anhand von Unterlagen oder Berichten des Datenschutzbeauftragten, zu informieren und diese auf Geeignetheit und Plausibilität zu überprüfen. Danach ist regelmäßig zu kontrollieren, ob die Geschäftsführung die Funktionsfähigkeit des Datenschutz-Managements evaluiert. Also die implementierten Prozesse auf ihre Umsetzung und Geeignetheit überprüft. Natürlich sollte der Aufsichtsrat sich auch über Beschwerden bei den Aufsichtsbehörden über das Unternehmen oder Datenschutzverstöße bzw. Datenpannen informieren lassen und die Gegenmaßnahmen überprüfen.
Achtung Haftung: Dies bedeutet, dass für die Arbeitnehmervertreter im Aufsichtsrat Kenntnisse über die Grundstruktur eines Datenschutz-Managements unerlässlich sind! Erkennen sie hier Schwachstellen im Unternehmen nicht oder reagieren sie nicht auf Datenschutzverstöße, indem sie die Gegenmaßnahmen des Unternehmens überwachen, können auch sie für verhängte Bußgelder unter Umständen haften.
Die eigene Tätigkeit als Aufsichtsratsmitglieder unter der DS-GVO
Die Arbeitnehmervertreter im Aufsichtsrat üben ihr Amt - jedenfalls steuerrechtlich - im Rahmen einer selbstständigen Tätigkeit aus. Das Aufsichtsratsmandat selbst wird mehrheitlich als korporationsrechtliches Rechtsverhältnis angesehen (Habersack/Henssler, Mitbestimmungsrecht, 4. Auflage, München 2018, § 25 Rn. 82 m.w.N.). Aufsichtsratsmandat und Arbeitsverhältnis sind strikt voneinander zu trennen. Anders als beim Betriebsrat, handelt es sich bei der Aufsichtsratstätigkeit nicht kraft Gesetzes um ein Ehrenamt. In den allermeisten Fällen erhalten die Arbeitnehmervertreter im Aufsichtsrat auch eine - wenn auch überschaubare Vergütung - für ihre Arbeit als Aufsichtsratsmitglied. Zumindest wird ein Aufwendungsersatz in Form eines Sitzungsgeldes bezahlt.
Damit lässt sich zunächst festhalten, dass die Tätigkeit im Aufsichtsrat nicht Inhalt des zumeist mit dem Unternehmen bestehenden Arbeitsverhältnisses ist, sondern ein davon zu trennendes gesellschaftsrechtliches Rechtsverhältnis.
Im Rahmen dieser rechtlichen Beziehung erhält das einzelne Aufsichtsratsmitglied auch Zugang zu personenbezogenen Daten, die es für die Amtsausübung benötigt. Praktisch jedes Aufsichtsratsprotokoll enthält allein eine Vielzahl von personenbezogenen Daten und seien es auch nur die Äußerungen einzelner Mitglieder im Rahmen der Aufsichtsratssitzung.
Das Aufsichtsratsmitglied als Verantwortlicher im Sinne von Art. 4 Nr.7 DS-GVO?
Die Aufsichtsratsmitglieder müssen sich also zwangsläufig auch die Frage stellen, wie sie mit diesen Daten umzugehen haben. Vor allem geht es um die Frage, ob die selbstständige Tätigkeit dazu führt, dass ein Aufsichtsratsmitglied selbst Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO für die Datenverarbeitung wird - mit der Konsequenz, dass jedes einzelne Aufsichtsratsmitglied für die Einhaltung der DS-GVO im Rahmen seiner Verarbeitung von personenbezogenen Daten als Aufsichtsrat verpflichtet wäre und bei Verstößen persönlich den entsprechenden Haftungs- und Bußgeldrisiken ausgesetzt wäre.
Verantwortlich im Sinne der DS-GVO ist jede natürlich oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Damit knüpft auch die DS-GVO an die Entscheidungshoheit über die Zweckdefinition und die Mittel der Verarbeitung an. Grundsätzlich ist der Begriff des Verantwortlichen nach Auffassung des EuGH weit zu verstehen (EuGH, Urt. v. 10.07.2018 - C-25/17). Ziel der Bestimmung sei es, einen umfassenden und wirksamen Schutz der betroffenen Person sicherzustellen. Der EuGH geht davon aus, dass es bereits für Verantwortlichkeit ausreichen kann, wenn eine natürliche Person aus Eigeninteresse auf Zweck und Mittel der Datenverarbeitung Einfluss nimmt.
Ein Eigeninteresse der Aufsichtsratsmitglieder liegt zumindest bei einer Speicherung von Protokollen der Aufsichtsratssitzungen, etwa auf dem eigenen Laptop oder PC vor. Schließlich benötigt es die Protokolle ggf. um sich gegen Schadensersatzforderungen des Unternehmens zur Wehr setzen zu können. Nutzt das Aufsichtsratsmitglied auch eigene Mittel für die Datenverarbeitung, entscheidet es also selbst über die Anschaffung z.B. von Laptop oder Festplatten für Sicherungskopien, spricht viel für eine Verantwortlichkeit des Aufsichtsratsmitgliedes.
Werden dem Aufsichtsratsmitglied die Mittel für die Datenverarbeitung vom Unternehmen zur Verfügung gestellt, etwa ein Dienstlaptop oder auch ein sog. Board Room, d.h. ein Art Cloudsystem für Aufsichtsratsdokumente, entscheidet das Aufsichtsratsmitglied dagegen nicht über die Mittel der Datenverarbeitung. Allerdings besteht auch in diesen Fällen trotzdem ein Eigeninteresse des Aufsichtsratsmitgliedes an der Verarbeitung, was wie dargestellt nach der Auffassung des EuGH bereits ausreichen kann, selbst wenn die Person gar nicht selbst die Datenverarbeitung vornimmt. Zudem ist das Aufsichtsratsmitglied dem Unternehmen gegenüber dem Unternehmen bei der Wahrnehmung seines Mandates nicht weisungsgebunden.
Aus letzterem Gesichtspunkt heraus scheidet meines Erachtens auch die Annahme der Konstellation der Auftragsverarbeitung zwischen Aufsichtsratsmitglied und Unternehmen aus.
Auf der anderen Seite darf nicht verkannt werden, dass die Tätigkeit im Aufsichtsrat natürlich auch und primär im Interesse des Unternehmens erfolgt. Der Zweck der Datenverarbeitung ist durch die Ausrichtung auf das sog. Unternehmensinteresse vorbestimmt. Das Unternehmensinteresse ist aber gerade nicht gleichzusetzen mit dem Interesse der Gesellschafter, sondern es definiert sich nach mittlerweile überwiegender Auffassung gerade dadurch, dass auch Interessen z.B. der Arbeitnehmer, der Öffentlichkeit und das Interesse an der Rentabilität und am Fortbestand des Unternehmens berücksichtigt werden können - und müssen. Auch hier steht am Ende eine weisungsfreie Entscheidung des einzelnen Aufsichtsratsmitgliedes
Vorgegeben ist natürlich, dass die Datenverarbeitung nur im Rahmen des Aufsichtsratsmandats erfolgen darf. Nur hierfür übermittelt das Unternehmen die Daten an das einzelne Aufsichtsratsmitglied. Dies ändert aber wohl nichts daran, dass das Aufsichtsratsmitglied innerhalb des gesetzlichen Rahmens (Aufsichtsratstätigkeit) den Zweck der Datenverarbeitung selbst bestimmen kann. Insbesondere ist es auf Grund der weitgefassten Regelung des § 90 Abs. 3 AktG jedem Aufsichtsratsmitglied möglich, Berichte an den Aufsichtsrat zu verlangen, die in vielen Fällen auch personenbezogene Daten beinhalten dürften. Durch diesen Hebel nimmt das Aufsichtsratsmitglied durchaus Einfluss auf die Datenverarbeitung, also z.B. welche Inhalte der Bericht durch die Geschäftsleitung aufweisen soll.
Eine entsprechende Einordnung - zumindest des Gremiums - nimmt der Landesdatenschutzbeauftragte Baden-Württemberg für den Betriebsrat vor (siehe Tätigkeitsbericht 2018, S. 38).
Um eine Verantwortlichkeit des Aufsichtsratsmitgliedes zu verneinen bliebe letztlich noch die Argumentation, die letztlich von der herrschenden Meinung für den Betriebsrat herangezogen wird, nämlich, dass es sich bei den Aufsichtsratsmitgliedern um einen unselbstständigen Teil der verantwortlichen Stelle Unternehmen handelt. Dagegen spricht jedoch, dass die Aufsichtsratsmitglieder dem Unternehmen gegenüber weder weisungsgebunden sind, noch keinerlei eigene Interesse bei der Datenverarbeitung verfolgt.
Mag man bei der Frage, ob der Betriebsrat eigenverantwortliche Stelle im Sinne der DS-GVO ist noch auf die Vermögenslosigkeit des Betriebsrats, den Ehrenamtscharakter und die Unbekanntheit des Gremiums Betriebsrat in den anderen Mitgliedsstaaten der EU verweisen, ist die Stellung des Aufsichtsratsmitgliedes doch eine andere. Jedes Aufsichtsratsmitglied ist gehalten im Gremium verpflichtet, bei der Entscheidungsfindung sämtliche vorliegende Daten selbstständig und eigenverantwortlich zu prüfen und eine selbstbestimmte Entscheidung zu treffen. Dies bezieht sich auch auf die Frage, welche Daten ggf. noch erhoben werden müssen.
Gemeinsame Verantwortlichkeit - zusammen mit dem Unternehmen?
Somit spricht im Ergebnis viel dafür, dass es sich auch bei der Zusammenarbeit von Aufsichtsratsmitglied und Unternehmen im Rahmen der Aufsichtsratstätigkeit um eine gemeinsame Verantwortlichkeit handelt, da beide gemeinsam die Zecke und Mittel der Verarbeitung festlegen. Eine Regelung zur gemeinsamen Verantwortlichkeit enthält Art. 26 DS-GVO. Für die Praxis würde dies vor allem bedeuten, dass eine Vereinbarung über die Ausgestaltung der Datenverarbeitung geschlossen werden müsste, in der unter anderem festgelegt ist, wer für die Einhaltung der Vorgaben der DS-GVO, z.B. der Betroffenenrechte verantwortlich ist.
Konsequenzen für die Praxis
Damit muss sich jedes Aufsichtsratsmitglied ebenfalls Gedanken machen, wie es die Vorgaben des Datenschutzrechtes einhält. Es muss u.a. die Datenschutzgrundsätze nach Art. 5 DS-GVO einhalten, ein Verarbeitungsverzeichnis führen, ggf. eine Datenschutz-Folgeabschätzung durchführen.
Wer sich als Arbeitnehmervertreter näher über das Thema informieren möchte, dem sei die Fachtagung für Arbeitnehmervertreter im Aufsichtsrats des IFB vom 20. bis 22.05.2019 empfohlen. Dort werde ich mich in einem Workshop intensiv mit dem Datenschutz im Aufsichtsrat beschäftigen.