TECHNOLOGY IN THE BOARDROOM

Transkript

1 Frankfurt am Main, TECHNOLOGY IN THE BOARDROOM Improving Corporate Governance through the Smart Use of IT Prof. Dr. Joachim Schrey, Rechtsanwalt, Fachanwalt für IT-Recht, Partner

2 Gesetzliche Anforderungen zur sicheren und nachweisbaren Gremienkommunikation Welche Arten von Gremienkommunikation kommen in Frage? Stellt das Gesetz Formerfordernisse auf? Möglichkeiten der Abweichung von gesetzlichen Regelungen Datenschutzrechtliche Regelungen Datenschutzrechtliche Implikationen beim Einsatz von Dienstleistungsunternehmen 2

3 Welche Arten von Gremienkommunikation kommen in Frage? Personengesellschaften (GbR, OHG, KG): Abstimmung unter den und Beschlussfassung durch Geschäftsführer Einberufung von Gesellschafterversammlungen Genossenschaft: Beschlussfassung des Vorstandes Einberufung einer Generalversammlung Einberufung des Aufsichtsrates GmbH, AG, SE: Beschlussfassung von Geschäftsführern/Vorstand Einberufung von Gesellschafter-/Hauptversammlungen Einberufung von Aufsichts- oder Beiräten 3

4 Welche Formerfordernisse bestehen von Gesetzes wegen? Bei Personengesellschaften und der Genossenschaft ist für diese Gremienkommunikation keine Form vom Gesetz vorgesehen. Deshalb gilt: die im Gesellschaftsvertrag / Satzung bestimmte Form, ansonsten weitgehende Formfreiheit Bei der GmbH, der AG und der SE gilt im den meisten Fällen das Gleiche: Ausnahme: Einberufung von Gesellschafter-/ Hauptversammlungen Hier gilt: Mitteilung durch eingeschriebenen Brief bei der GmbH (vgl. 51 Abs. 1 GmbHG). Bekanntmachung in den Gesellschaftsblättern sowie Mitteilung durch eingeschriebenen Brief, wenn die Aktionäre namentlich bekannt sind (vgl. 121 Abs. 4 Satz 2 AktG). Aber: Bei allen Gesellschaftsformen besteht (jedenfalls teilweise) die Möglichkeit zur Bestimmung einer anderen Form durch den Gesellschaftsvertrag bzw. die Satzung. Ferner wird in 125 Abs. 2 Satz2 AktG sogar die elektronische Form genannt, die in der Satzung als einzig mögliche festgelegt werden kann. 4

5 Welche Formerfordernisse bestehen von Gesetzes wegen? Weitere Gremien der AG und der SE Aufsichtsrat: Die Förmlichkeiten der Einberufung sind im Gesetz nicht geregelt. Nähere Regelung durch die Satzung oder die Geschäftsordnung? Schweigen Satzung oder Geschäftsordnung obliegt Festlegung von Förmlichkeiten der Einberufung deshalb dem Aufsichtsratsvorsitzenden. Bei der Einberufung des Aufsichtsrats handelt sich vielmehr um einen innergesellschaftlichen Verfahrensakt, den der Vorsitzende in Ausübung seiner Befugnis zur Sitzungsleitung vornimmt. Empfehlung in der Literatur: Die Einberufung erfolgt zweckmäßigerweise in Text- oder Schriftform, sofern nicht die Satzung oder die Geschäftsordnung ein anderes bestimmt. Vorstand: Förmlichkeiten der Einberufung sind im Gesetz nicht geregelt. 77 Abs. 2 AktG verweist hinsichtlich der inneren Ordnung des Vorstands auf eine Geschäftsordnung, die sich der Vorstand selbst geben kann. Darin kann der Vorstand die Platzierung von sitzungsvorbereitenden Unterlagen auf einer elektronischen Plattform vorsehen. 5

6 Möglichkeit der Herabsetzung des Formerfordernisses GmbH: Der Gesellschaftsvertrag kann die Einberufung der Gesellschafterversammlung mündlich, telefonisch, per Telefax und sogar per vorsehen. Auch über eine elektronische Plattform? Problem: Satzungserleichterung muss Zugang sicherstellen. Lösung: Zugangsfiktion vereinbaren oder zusätzlich der Sicherheit halber per zustellen, um den Zugang nachweisen zu können. Personengesellschaften: Auch hier sollte schon aus Beweisgründen der Nachweis des Zugangs sichergestellt werden. 6

7 Möglichkeit der Herabsetzung des Formerfordernisses (2) AG, SE: Inhaberaktien: Die Bekanntmachung der Einberufung muss wegen der Satzungsstrenge ( 23 Abs. 5 AktG) zwingend in den Gesellschaftsblättern geschehen. Namensaktien: Erfordernis des Einschreibebriefes kann durch die Satzung geändert werden. Teilweise wird vertreten, dass hier kein Mindesterfordernis besteht, allerdings sollte man auch hier mindestens die Standards der GmbH anwenden. Beachte: Bei börsennotierten Gesellschaften muss ein Hauptversammlungsbeschluss und die Einwilligung des Aktionärs vorliegen, um per zu benachrichtigen zu dürfen. 7

8 Anforderungen an Satzungsänderungen Personengesellschaften: Einstimmigkeit, aber auch schon durch schlüssiges Verhalten oder Duldung längerer Verhaltenspraxis. GmbH: ¾ Mehrheit und notarielle Beurkundung Eintragung in das Handelsregister erforderlich AG, SE: ¾ Mehrheit und notarielle Beurkundung ebenfalls Eintragung in das Handelsregister 8

9 Zusammenfassung Die Kommunikation über eine elektronische Plattform ist bis auf die Einberufung von Gesellschafter-/Hauptversammlungen unproblematisch. Bei Gesellschafterversammlungen einer GmbH oderpersonengesellschaften kann unter Berücksichtigung eines Zugangsnachweises von einer elektronischen Einberufungsform Gebrauch gemacht werden, wenn der Gesellschaftsvertrag Entsprechendes vorsieht. Bei der AG und SE muss eine Möglichkeit einer elektronischen Einberufung der Hauptversammlung im Einzelfall geprüft werden. Aufgrund der Relevanz einer ordnungsgemäßen Einberufung für die Wirksamkeit der Beschlüsse ist hier allerdings Vorsicht geboten. Bei der Einberufung von Aufsichtsrats- oder Vorstandssitzungen gelten in erster Linie die Bestimmungen der Satzung oder einer Geschäftsordnung. 9

10 Datenschutzrechtliche Implikationen 10

11 Was ist Datenschutz? Nicht Schutz der Daten! Nicht Eigentum der Betroffenen an ihren Daten! Sondern: Schutz der betreffenden natürlichen Person (= Menschen) und ihrer Persönlichkeit. Vgl. 1 Abs. 1 BDSG: Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Datenschutz = Persönlichkeitsschutz! 11

12 Gegenstand des Datenschutzes Geregelt sind die Erhebung = das Beschaffen von Daten über den Betroffenen. Verarbeitung Nutzung Übermittlung Nutzen = Speichern, Verändern, Übermitteln, Sperren und Löschen. = jede Verwendung der Daten, die keine Verarbeitung ist. = Bekanntgeben personenbezogener Daten durch Weitergabe an oder Abruf durch Dritte. = jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. 12

13 Bundesdatenschutzgesetz (BDSG) Grundsatz: 4 Abs. 1 BDSG Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechts-vorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Folge: Alles ist verboten, es sei denn, es ist irgendwo erlaubt worden. 13

14 Bundesdatenschutzgesetz (BDSG) Die Einwilligung (1) 4a BDSG: eingewilligt hat vorherige Einverständniserklärung Einwilligung grundsätzlich in Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (Beispiel: elektronisch erklärte Einwilligung 13 Abs. 2 TMG). Auf jeden Fall aber muss die Einwilligung ausdrücklich erfolgen. Eine stillschweigende/mutmaßliche Einwilligung genügt nicht! 14

15 Bundesdatenschutzgesetz (BDSG) Die Einwilligung (2) Die Einwilligung ist eine Ausübung des Selbstbestimmungsrechts! Deswegen muss sie auf freier Entscheidung des Betroffenen beruhen, muss der Betroffene auf Zweck der Datenerhebung, -verarbeitung bzw. -nutzung hingewiesen werden, muss der Betroffene auf Folgen der Verweigerung der Einwilligung hingewiesen werden, muss die Einwilligung besonders hervorgehoben werden, wenn sie mit anderen Erklärungen zusammen erfolgen soll (z.b. in Verbindung mit AGB, Formulargestaltung). 15

16 Gesetzliche Erlaubnistatbestände des BDSG Erfüllung eigener Geschäftszwecke (1) ( 28 Abs. 1 Satz 1 Nr. 1 BDSG): Das Erheben, Speichern, Verändern, Übermitteln, oder Nutzen personenbezogener Daten ist für die Erfüllung eigener Geschäftszwecke zulässig, wenn es für diebegründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Bsp.: Abwicklung von Verträgen, Anbahnung von Verträgen (Vertragsverhandlungen, Vorbereitungen). Nicht nur Bausparverträge oder Darlehensverträge, sondern auch z.b. Verträge über Teilnahme an Gewinnspielen oder Preisausschreiben, Beratungsverträge, Arbeitsverträge. 16

17 Privileg: Auftragsdatenverarbeitung ( 11 BDSG) Auftragsdatenverarbeitung ist keine Übermittlung an Dritte, daher ohne Abwägung zulässig, wenn die Nutzung auch intern erlaubt ist Voraussetzungen von 11 BDSG: Datenverarbeitung und nutzung nur weisungsgebunden Schriftliche Auftragserteilung Sorgfältige Beschreibung der Leistungen und technischen Schutzmaßnahmen Anforderungen an den Inhalt des Vertrages gemäß 11 Abs. 2 Satz 2 BDSG erfüllt. 17

18 Anforderungen an Auftragsdatenverarbeitungsvereinbarung 11 Abs. 2 BDSG: Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 18

19 Anforderungen an Auftragsdatenverarbeitungsvereinbarung (2) 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. 19

20 Auftragsdatenverarbeitung Nachteil: Eingeschränkter Anwendungsbereich Auftragsdatenverarbeitung ist nur innerhalb der EU sowie der Staaten des EWR möglich Auch bei weisungsgebundener Tätigkeit ist die Übermittlung an Offshoringpartner in Indien, China, Weißrussland, Ukraine etc. also keine Auftragsdatenverarbeitung Bei Offshoring ganzer Geschäftsbereiche muss sichergestellt sein, dass der Offshoringpartner nur weisungsgebunden Daten verarbeitet Bei freier Entscheidung über die Gestaltung der Verarbeitung scheidet Auftragsdatenverarbeitung aus 20

21 Übermittlung an Datenempfänger im Ausland Bei Übermittlung an Dritte: Grundsätzlich: Behandlung wie im Inland Daher: Keine Übermittlung, wenn schutzwürdiges Interesse des Betroffenen entgegensteht, 28 Abs. 1 Nr. 2 BDSG Entgegenstehen wird vermutet, wenn beim Empfänger kein angemessenes Datenschutzniveau gewährleistet ist, daher Übermittlung in ein Land ohne angemessenes Datenschutzniveau regelmäßig unzulässig! 21

22 Angemessenes Datenschutzniveau Beurteilung durch EU-Kommission nach Vergleichbarkeit mit der EU- Datenschutzrichtlinie 95/46 Danach besteht ein mit der EU vergleichbares und daher angemessenes Datenschutzniveau zur Zeit im Wesentlichen nur in der Schweiz, den Kanalinseln, Argentinien und Kanada. Übermittlung auch ohne angemessenes Datenschutzniveau zulässig, wenn... Einwilligung Übermittlung erforderlich zur Vertragserfüllung Übermittlung zur Geltendmachung von Rechtsansprüchen vor Gericht etc. 22

23 Übermittlung an Offshoringpartner im EU/EWR Inland Konstruktion des Vertrages als Auftragsdatenverarbeitung empfehlenswert. Auch typische Nearshore-Länder wie Ungarn, Polen, Slowakei, Tschechien, Rumänien oder Bulgarien sind seit Mai 2004 Mitglied der EU, daher Auftragsdatenverarbeitung möglich, zumal in diesen Ländern inzwischen der EU Datenschutzstandard sichergestellt ist. Gegebenenfalls ist noch Verpflichtung des Offshoring-Partners auf berufliche Verschwiegenheitspflichten (z.b. Bankgeheimnis) erforderlich. 23

24 Übermittlung an Offshoringpartner im Nicht-EU/EWR Ausland Vermutung des angemessenen Datenschutzniveaus besteht nicht, Übermittlung daher erschwert. Vertraglich kann angemessenes Datenschutzniveau weltweit durch Verwendung von Vertragsklauseln der EU-Kommission hergestellt werden, dann zulässig wie innerhalb der EU. Individuelle (also von den EU-Standardklauseln abweichende) Lösungen müssen von der zuständigen Datenschutzaufsichtsbehörde in Deutschland vorab genehmigt werden. Innerhalb eines Konzerns: Binding Corporate Rules. Eine entsprechende Betriebsvereinbarung ist nach herrschender Meinung hierfür wohl nicht ausreichend. Übermittlung in USA möglich, wenn sich der Datenempfänger in USA den Safe Harbour-Prinzipien angeschlossen hat. 24