D: Unternehmensführung übernimmt Verantwortung für Datenschutzverstöße

Nach dem Vorstandsvorsitzenden der Deutschen Bahn AG hat zum zweiten Mal in dieser Woche ein Geschäftsführer, diesmal der Geschäftsführer von Lidl Deutschland, Verantwortung für Datenschutzverstöße in seinen Unternehmen übernommen.

In den Konzernen ist es zu erneuten Datenschutzverstößen gekommen und in beiden Fällen wurde der Geschäftsführung neben dem Verstoß selbst der defensive Umgang mit Informationen zur Schwere des Vorfalls negativ angelastet.

In der Frage der Informationspflicht bei Datenschutzverstößen ist zurzeit die gesetzliche Lage noch nicht hinreichend klar. So fordert der nicht rechtsverbindliche Artikel 4 Abs. 2 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und en Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) dass bei Bestehen eines besonderen Risikos der Verletzung der Netzsicherheit die Nutzer über dieses Risiko und über mögliche Abhilfemaßnahmen und deren voraussichtlichen Kosten zu unterrichten sind.

Nationale Gesetze mit ähnlich deutlichen Regelungen sind zurzeit lediglich in Planung. So sieht der Entwurf des Bundesministeriums des Inneren für eine Reform des BDSG in § 42a eine solche Informationspflicht vor.

Letztendlich bestätigen die aktuellen Vorgänge dass auch in Datenschutzverstößen die Geschäftsführung die volle Verantwortung für alle Handlungen des Unternehmens trägt.

Auch wenn die rechtliche Sanktionierung in beiden Fällen noch aussteht, ist der öffentliche Druck für die Geschäftsführer so groß geworden, dass beide aus freien Stücken die Unternehmensleitung verlassen haben.

Im Ergebnis ist auch mit Datenschutzverstößen offensiv umzugehen. Die abschließende Aufklärung des Sachverhalts, mit dem ernsthaften Willen das Problem zu lösen, ist auch im Datenschutz der einzige Weg aus einer Krise.