Datenschutz und Compliance bei virtuellen Vorstandssitzungen: Darauf müssen Sie achten

Was in Pandemiezeiten als Notlösung startete, ist nun auch offiziell durch die Bundesregierung gebilligt. Die Rede ist von virtuellen Vorstands- und Aufsichtsratssitzungen. Das sind gute Nachrichten, und zwar nicht nur für international agierende Unternehmen: Denn wollen sie wettbewerbsfähig sein, darf die Arbeit des Aufsichtsrats nicht von der Digitalisierung ausgeschlossen sein. Die Verlagerung in den virtuellen Raum bringt jedoch auch einige Hürden mit sich – vor allem in puncto Cybersicherheit und Compliance.

In den vergangenen Jahren hat sich die Cyber-Bedrohungslage rapide weiterentwickelt. Die aktuelle Studie "Cybersecurity 2022" etwa zeigt, dass die Anzahl der Hackerangriffe auf Unternehmen zwischen 2021 und 2022 zum Teil signifikant gestiegen ist – und das, obwohl die Budgets für IT-Sicherheit im gleichen Zeitraum ebenfalls gewachsen sind. Angesichts dieser Tatsachen ist offensichtlich, dass auch virtuelle Aufsichtsrats- und Vorstandssitzungen diesen Risiken ausgesetzt sind. Denn hier geht es mitunter um streng vertrauliche Geschäftsinformationen und strategische Inhalte, was diese Sitzungen zu attraktiven Angriffszielen für Cyberkriminelle macht.

Es ist daher von entscheidender Bedeutung, entsprechende Vorkehrungen zu treffen, um die Vorteile virtueller Aufsichtsrats- und Vorstandssitzungen trotzdem nutzen zu können. Dabei sind im Hinblick auf Datenschutz und Compliance vor allem die folgenden Punkte von großer Bedeutung:

1. Datensicherheit während der virtuellen Aufsichtsratssitzung

„Datensicherheit“ bezeichnet den angemessenen Schutz von Daten aller Art vor Diebstahl, Verlust, Löschung, unberechtigtem Zugriff, Manipulation und ähnlichen Bedrohungen. Während virtueller Vorstands- und Aufsichtsratssitzungen gilt es daher, für die Sicherheit sämtlicher Daten zu sorgen – und zwar nicht nur bei ihrer Übertragung („data in transit“) und Speicherung (“data at rest“), sondern auch während ihrer Verarbeitung („data in use“).

2. Datenschutz während der virtuellen Aufsichtsratssitzung

Der Begriff „Datenschutz“ bezieht sich ausschließlich auf personenbezogene Daten und die rechtlichen Voraussetzungen für deren Erhebung, Speicherung und Verarbeitung. Deswegen spielt schon die Wahl des geeigneten Standorts für das Rechenzentrum, in dem die Daten gespeichert und verarbeitet werden, eine wichtige Rolle. Um DSGVO-konform zu sein, ist es wichtig, darauf zu achten, dass in einem Land mit ausreichendem Datenschutzniveau gehostet wird. Noch besser ist es, wenn die Rechenzentren zudem von unabhängiger Stelle zertifiziert sind. Darüber hinaus gilt es darauf zu achten, dass personenbezogene Daten nur in dem Umfang verarbeitet werden, der für die Durchführung der Sitzungen erforderlich ist.

3. Sensibilisierung der Sitzungsteilnehmer

Alle an der virtuellen Sitzung teilnehmenden Mitglieder sollten über die geltenden Datenschutzrichtlinien informiert sein und diese einhalten. Hierzu ist es sinnvoll, klare Regeln festzulegen, wie personenbezogene Daten während der Sitzungen behandelt werden sollen. Eine entsprechende Zugangskontrolle stellt sicher, dass nur autorisierte Personen Zugriff auf die Sitzungsunterlagen und sensiblen Informationen haben.

4. Compliance während der Vorstandssitzung

Um Compliance bei digitalen Vorstandssitzungen zu gewährleisten, ist es ratsam, sämtliche durchgeführten Aktionen zu dokumentieren (Stichwort „Revisionssicherheit“). So muss beispielsweise nachvollziehbar sein, wer welche Dokumente vor, während oder nach der virtuellen Aufsichtsrats- oder Vorstandssitzung bearbeitet, gelöscht, heruntergeladen, kopiert oder eingesehen hat. Dies wird durch eine entsprechende Journalfunktion geregelt, die zudem eine Filterung nach bestimmten Nutzern, Aktionskategorien sowie Zeiträumen ermöglicht. So entsteht ein lückenloser und durchgängiger Audit Trail.

5. Dokumentations- und Aufbewahrungspflichten

Eine Protokollierung sämtlicher Aktivitäten während virtueller Aufsichtsratssitzungen ist nicht nur aus Compliance-Gründen unabdingbar. Ein solches Protokoll stellt sicher, dass alle Beteiligten auch zu einem späteren Zeitpunkt noch nachvollziehen können, welche Themen besprochen wurden, welche Teilnehmer anwesend waren und welche Beschlüsse gefasst wurden. Um rechtliche Anforderungen und Compliance-Vorgaben zu erfüllen, müssen die Vorstände bei ihren Sitzungen geeignete Maßnahmen für die Archivierung von Sitzungsunterlagen und -protokollen ergreifen. Etwaige elektronische Aufzeichnungen sind ebenfalls korrekt und sicher aufzubewahren.

Für virtuelle Aufsichtsratssitzungen sind bestimmte technische Voraussetzungen erforderlich, die eine reibungslose und sichere Kommunikation gewährleisten. Welche das sind und worauf Sie bei der digitalen Vorstandskommunikation noch achten müssen, erfahren Sie im idgard Blog.

Dies ist ein Gastbeitrag von idgard | unison GmbH, einem Unternehmen der TÜV SÜD Gruppe.

Laden Sie jetzt die kostenlose idgard-Checkliste „Gremienarbeit – 6 Must-haves für Ihr digitales Sitzungsmanagement“ herunter.

Wenn Sie es noch genauer wissen wollen, melden Sie sich einfach zum Gratis-Webinar „Sichere Gremienarbeit in virtuellen Datenräumen“ an.