Tipps wie sie im Datenschutz „angemessen“, „hinreichend“ und „zweckmässig“ dokumentieren und Business Judgment ihr Prozessrisko verringert!
Schutz vor Risiken in der Umsetzung des Datenschutzgesetzes (Alexander Stonjeck, unsplash.com, lighthouse surrounded with trees)
Sie als Geschäftsleitende und Mitarbeitende kennen ihr Unternehmen und wenden bei der Umsetzung des Datenschutzgesetzes Business Judgment an. Sie kennen Strukturen, Regelungen und Prozesse und wissen damit am besten, was „angemessen“, „hinreichend“ und „zweckmässig“ für ihr Unternehmen ist. Beachten sie einige Punkte bei der Dokumentation. Sie können ihr Prozessrisiko verringern:
- Versetzen sie sich bei der Beschreibung immer in die Position einer fachkundigen externen Person.
- Beschreiben sie klar, vollständig, korrekt und angemessen.
- Stellen sie sicher, dass Änderungen im Gesetz, der Praxis oder intern nachdokumentiert werden.
Was ist das Grundprinzip?
„Angemessen“, „hinreichend“, „zweckmässig“ werden im Datenschutzgesetz (DSG) der Schweiz und der EU Datenschutzverordnung (DSGVO) häufig benutzt. Die Begriffe sind in der Praxis nicht immer definiert. Zudem führt der Wandel in der Technologie zu einem veränderten Verständnis der Umsetzung.
Worauf achtet eine Drittperson, wie ein Revisor?
Wichtig ist das Umfeld des Unternehmens und die Grundlagen im Unternehmen, wie:
- Branche, Ländergesellschaften, Regulierungen;
- Governance, Systeme, Prozesse, Weisungen und bestehende Dokumentation.
Bringen sie ihr Fach-, Organisations- und Prozesswissen und ihr Business Judgement bei einer externen Prüfung ein. Sie wecken damit Vertrauen.
Worauf sollten sie bei der Beschreibung achten?
Stellen sie sich vor, was eine fachkundige Drittperson benötigt, um dieselben Schlüsse zu ziehen wie sie. Mit den Kriterien klar, korrekt, vollständig und angemessen orientiere ich mich gedanklich gerne an den Prinzipien der ordnungsmässigen Buchführung und Rechnungslegung (Art. 957 a Obligationenrecht (OR) und Art 958 c OR).
Wie prüft ein Gericht?
Wenn ein Gericht die Business Judgement Rule prüft, steht die Entscheidfindung und nicht der Entscheid im Zentrum. So wird derRückschaufehler (Hindsight Bias) [1] vermieden. Dieser sagt, dass nach dem Ereignis die Bedeutung der Hinweise auf das Ereignis überschätzt werden.
In der Schweiz liegt der Business Judgement Rule (BJR) die Verantwortlichkeit von Verwaltungsräten (Art. 754 Abs. 1 OR) und die anzuwendende Sorgfaltspflicht in guten Treuen (Art.717 Abs. 1 OR). Darin wird erwähnt, dass die anzuwendende Sorgfalt auch für mit der Geschäftsleitung betraute Personen gilt.
Der Entscheidungsprozess beinhaltet 1) die Informationsbeschaffung, 2) Aufbereitung der Entscheidungsgrundlage bis 3) zum Entscheid (BGE 145 III 351; Kommentar: Prof. Hans Caspar von der Crone). Stellen sie sicher, dass der Ursprung der Information und deren Bedeutung für die Entscheidung klar dokumentiert sind.
Die Oberaufsicht verbleibt beim Verwaltungsrat auch wenn alle Mitarbeitenden betroffen sind!
Mitarbeitende haben Kompetenzen und Verantwortung. Diese wird vom Verwaltungsrat der Geschäftsführung übertragen und in einem Organisationsreglement festgehalten (Art. 716b Abs. 1 OR). Die Geschäftsführung kann diese weiterdelegieren. Die Einhaltung können sie mit einem Risikomanagement und Internen Kontrollsystem überwachen. Der Verwaltungsrat hat ein Interesse an angemessener Dokumentation, da die Oberaufsicht immer bei ihm verbleibt.
[1] Hindsight Bias: Baruch Fischhoff: Hindsight ≠ foresight: the effect of outcome knowledge on judgment under uncertainty. In: Journal of Experimental Psychology: Human Perception and Performance. Band 1, Nr. 3, 1975, S. 288–299.