In den oben geschilderten Fällen würde die Datenerhebung nicht aus kommerziellen Zwecken, sondern aus rein gesetzlichen Pflichten erfolgen. Wären bei einem minimalen Verstoß oder einem Agieren in der Grauzone denn überhaupt mit Sanktionen zu rechnen?
Hamann: Wenn der „Verstoß“ allein darin besteht, dass Sie ordentlich zur HV einladen, aber den Link zu Ihren ebenfalls ordentlichen Datenschutzhinweisen auf der Website vergessen, dann bezweifele ich, dass hier tatsächlich Bußgelder drohen. Und falls doch, dann wird die Strafzahlung relativ gering sein. Falls allerdings die Daten Ihrer Aktionäre über Wochen hinweg im Internet frei zugänglich sind, weil Sie die Datensicherheit vernachlässigt haben, sieht das Ganze schon anders aus. Hier könnte es zuweilen richtig „wehtun“.
Schmitz: Der BGH hat erst letztes Jahr beschlossen, dass ein funktionierendes Compliance-Managementsystem sich bußgeldmindernd auswirken kann. Dies würde ich auch auf die DSGVO adaptieren. Wenn ich als Unternehmen eine funktionierende Dokumentation und Transparenzpflicht nachweisen kann, werden die Aufsichtsbehörden sicherlich Milde walten lassen. Das wird sich dann in diese Richtung einpendeln, wie wir es bereits vom Kartellrecht kennen.
Kurz und knapp zusammengefasst: Was bedeutet die DSVGO wirklich für einen Mehraufwand aus Sicht der Emittenten? Und wird die Diskussion in ein paar Jahren überhaupt noch Relevanz haben?
Hamann: Interessant finde ich, dass die DSGVO ursprünglich mit dem Versprechen einer Entbürokratisierung angepriesen wurde. Eingetreten ist das komplette Gegenteil: Der bürokratische Aufwand ist deutlich erhöht. Allerdings wird der Aufwand in dem Bereich, über den wir gesprochen haben – Informationen der Aktiengesellschaften an die Aktionäre im Bereich Namens- und Inhaberaktien – sicherlich überschaubar bleiben. Man muss nicht anfangen, jeden einzelnen Namensaktionär per Post über jede Verarbeitung seiner Daten zu informieren.
Schmitz: Das sehe ich ähnlich. Der entscheidende Punkt wird sein, dass man das Thema Datenschutz in die DNA des Unternehmens einfügt. Man sollte nicht anfangen, den Datenschutz neu zu erfinden, sondern diesen vielmehr im Unternehmen fest verankern – insofern sollte das eigentlich nichts Neues sein für die einzelnen Gesellschaften.
Zacherl: Ich bemerke eine gewisse Unruhe, weil es in vielen Detailfragen noch Unklarheiten gibt. Ich denke, dass das Ganze sich sicherlich in den nächsten Jahren einspielen und zum Alltag werden wird.
Das Gespräch führten Christoph Schwab (Computershare) und Svenja Liebig (GoingPublic Magazin)
Zu den Roundtable-Teilnehmern
Christian Hamann ist Rechtsanwalt bei Gleiss Lutz in Berlin. Er berät nationale und internationale Mandanten zu allen Fragen des Umgangs mit personenbezogenen Informationen.
Barbara Schmitz leitet den Konzerndatenschutz bei OSRAM in München und ist seit Langem als Unternehmensjuristin im betrieblichen Datenschutz tätig. Sie ist zudem Autorin zahlreicher Buch- und Zeitschriftenbeiträge zum Datenschutz und regelmäßig Referentin von Seminaren und Fachtagungen.
Nikola Zacherl, Syndikusrechtsanwältin, ist seit 2006 Leiterin Recht in München bei der MTU Aero Engines, Deutschland.
Autor/Autorin
Die GoingPublic Redaktion informiert über alle Börsengänge, Being Public, Investor Relations, Tax & Legal, Themen und Trends rund um die Hauptversammlung sowie Technologie – Finanzierung – Investment in den Lebenswissenschaften.