Compliance und Datenschutz

08 May 2015

Für Unternehmen stellt sich häufig die Frage, welche Stellung Compliance- und Datenschutzbeauftrage einnehmen und wie diese voneinander abzugrenzen sind. Es kann daher sinnvoll sein, Gemeinsamkeiten und Unterschiede der unterschiedlichen Bereiche herauszufinden und verschiedene Modelle für eine Zusammenarbeit zu vergleichen.

Die Aufgabe eines Compliance-Beauftragten ist es, Programme zu erstellen, in denen die Einhaltung von Rechtsvorschriften durch das Unternehmen sichergestellt wird. Dabei sollen sowohl unternehmensinterne Richtlinien, als auch öffentlich-rechtliche Vorschriften überwacht werden. Der Compliance-Beauftragte kann das Unternehmen dahingehend beraten und informieren. So sollen durch Compliance-Programme Risiken sowohl im Hinblick auf die Einhaltung der verschiedenen Vorschriften als auch auf die Reputation eines Unternehmens analysiert und minimiert werden. Pflichtverstöße gegen die Einhaltung sämtlicher Vorschriften sollten durch den Compliance-Beauftragten angezeigt werden. So soll der Beauftragte jedoch nicht nur im Kontakt mit der Geschäftsleitung stehen und Verstöße gegen Richtlinien anzeigen, sondern auch als Ansprechpartner für alle Mitarbeiter des Unternehmens zur Verfügung stehen, falls es Probleme im Bereich Compliance geben sollte. Das Compliance-Programm muss weiterhin aufgrund von Auswertungen der Risikoanalyse, neuer Vorkommnisse im Unternehmen oder Änderungen von Richtlinien fortlaufend weiterentwickelt werden.

Doch vor allem muss dieses Compliance-Programm auch selbst den gesetzlichen Anforderungen genügen. So findet das Programm seine Grenzen oft im Datenschutzrecht. Denn durch das Compliance-Programm werden umfassende Analysen erstellt und Mitarbeiter überwacht. Diese Überwachung darf gegen das Datenschutzrecht nicht verstoßen. Aus diesem Grund ist es nach § 4f des Bundesdatenschutzgesetzes (BDSG) die Pflicht aller größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Aufgabe des Datenschutzbeauftragten (DSB) ist es, sicherzustellen, dass Verstöße gegen das BDSG unterbleiben. Dieser Aufgabe kann der DSB nachkommen, indem er den Stand des Datenschutzniveaus in Unternehmen analysiert, überwacht und Vorschläge zur Optimierung des Datenschutzes unterbreitet.

Für die Aufgaben des DSB findet auch der Entwurf der Datenschutzgrundverordnung (DS-GVO) künftig Anwendung. Die DS-GVO stellt unter anderem einen risikobasierten Ansatz dar, nach dem der DSB zunächst wie auch der Compliance-Beauftragte eine Risikobewertung durchführen sollte. Auf Basis dieser Bewertung können dann Maßnahmen zum notwendigen Schutz der Daten getroffen und das Risiko minimiert werden.

Aufgrund solcher gemeinsamen Schnittstellen von Compliance und Datenschutz wurden mehrere Modelle für eine effektive Zusammenarbeit mit möglichst wenigen Interessenkonflikten entwickelt. Es ist zum einen möglich, den Datenschutz als eine Fachabteilung des Compliance-Bereiches anzusehen. Jedoch kann so der Datenschutz den Compliance-Aufgaben schnell untergeordnet werden und es besteht die Gefahr, dass keine unabhängige datenschutzrechtliche Prüfung des DSB mit Berichterstattung an die Geschäftsleitung erfolgt. Anders wäre dies, wenn der DSB und der Compliance-Beauftragte nicht miteinander verbunden agieren würden. Allerdings entstehen so leichter Interessenkonflikte zwischen Datenschutz und Compliance. Wenn der DSB und der Compliance-Beauftragte sich auf einer Stufe gegenüber stehen und eigene Verantwortungsbereiche übernehmen, kann eine Verbesserung der Betriebsabläufe durch ein Zusammenwirken zudem nur schwer stattfinden.

Damit das Unternehmen sich ein einheitliches Bild über bestehende Risikolagen verschaffen kann, erscheint eine einheitliche Compliance-Berichterstattung zweckmäßig. Dabei sollten sich der Compliance-Beauftragte und der DSB gegenseitig unterstützen und ergänzen.
Quelle: „Compliance und Datenschutz“ von Hartmut T. Renz und Melanie Frankenberger in Zeitung für Datenschutz 2015, S. 158-161

Das könnte Sie auch interessieren

10 June 2020

Jetzt ist wieder Cookie-Zeit

Ab und zu im Leben eines Verantwortlichen sollte / muss man sich mit dem Thema Internetrecht und im speziellen…

Mehr Erfahren
04 June 2020

Besucherlisten nach der…

Das ist wieder so eine Sache. Wir alle wissen im Grunde, dass etwas getan werden muss, fragen uns aber,…

Mehr Erfahren
04 December 2019

Änderung der Personen-Bestellgrenze…

Die Grenze, ab wieviel Personen ein DSB zu benennen ist, wurde von 10 auch 20 angehoben. Mit dem zweiten…

Mehr Erfahren
11 November 2019

Bußgeld in Höhe von 14,5…

Da die Deutsche Wohnen SE in einem Archivsystem Daten jahrelang nach Beendigung von Mietverhältnissen,…

Mehr Erfahren
01 October 2019

Neues EuGH Urteil zu…

Werden Cookies verwendet, sind jetzt auch die Vorgaben des EuGH (Urt. v. 01.10.2019, Az. C-673/17, „Planet49“)…

Mehr Erfahren
17 September 2019

BVerwG Urteil zu Facebook…

Urlaubsbedingt etwas verspätet möchte ich an dieser Stelle auf die Entscheidung des BVerwG Urteil vom…

Mehr Erfahren