Compliance und Datenschutz

08.05.2015. 20:35

Für Unternehmen stellt sich häufig die Frage, welche Stellung Compliance- und Datenschutzbeauftrage einnehmen und wie diese voneinander abzugrenzen sind. Es kann daher sinnvoll sein, Gemeinsamkeiten und Unterschiede der unterschiedlichen Bereiche herauszufinden und verschiedene Modelle für eine Zusammenarbeit zu vergleichen.

Die Aufgabe eines Compliance-Beauftragten ist es, Programme zu erstellen, in denen die Einhaltung von Rechtsvorschriften durch das Unternehmen sichergestellt wird. Dabei sollen sowohl unternehmensinterne Richtlinien, als auch öffentlich-rechtliche Vorschriften überwacht werden. Der Compliance-Beauftragte kann das Unternehmen dahingehend beraten und informieren. So sollen durch Compliance-Programme Risiken sowohl im Hinblick auf die Einhaltung der verschiedenen Vorschriften als auch auf die Reputation eines Unternehmens analysiert und minimiert werden. Pflichtverstöße gegen die Einhaltung sämtlicher Vorschriften sollten durch den Compliance-Beauftragten angezeigt werden. So soll der Beauftragte jedoch nicht nur im Kontakt mit der Geschäftsleitung stehen und Verstöße gegen Richtlinien anzeigen, sondern auch als Ansprechpartner für alle Mitarbeiter des Unternehmens zur Verfügung stehen, falls es Probleme im Bereich Compliance geben sollte. Das Compliance-Programm muss weiterhin aufgrund von Auswertungen der Risikoanalyse, neuer Vorkommnisse im Unternehmen oder Änderungen von Richtlinien fortlaufend weiterentwickelt werden.

Doch vor allem muss dieses Compliance-Programm auch selbst den gesetzlichen Anforderungen genügen. So findet das Programm seine Grenzen oft im Datenschutzrecht. Denn durch das Compliance-Programm werden umfassende Analysen erstellt und Mitarbeiter überwacht. Diese Überwachung darf gegen das Datenschutzrecht nicht verstoßen. Aus diesem Grund ist es nach § 4f des Bundesdatenschutzgesetzes (BDSG) die Pflicht aller größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Aufgabe des Datenschutzbeauftragten (DSB) ist es, sicherzustellen, dass Verstöße gegen das BDSG unterbleiben. Dieser Aufgabe kann der DSB nachkommen, indem er den Stand des Datenschutzniveaus in Unternehmen analysiert, überwacht und Vorschläge zur Optimierung des Datenschutzes unterbreitet.

Für die Aufgaben des DSB findet auch der Entwurf der Datenschutzgrundverordnung (DS-GVO) künftig Anwendung. Die DS-GVO stellt unter anderem einen risikobasierten Ansatz dar, nach dem der DSB zunächst wie auch der Compliance-Beauftragte eine Risikobewertung durchführen sollte. Auf Basis dieser Bewertung können dann Maßnahmen zum notwendigen Schutz der Daten getroffen und das Risiko minimiert werden.

Aufgrund solcher gemeinsamen Schnittstellen von Compliance und Datenschutz wurden mehrere Modelle für eine effektive Zusammenarbeit mit möglichst wenigen Interessenkonflikten entwickelt. Es ist zum einen möglich, den Datenschutz als eine Fachabteilung des Compliance-Bereiches anzusehen. Jedoch kann so der Datenschutz den Compliance-Aufgaben schnell untergeordnet werden und es besteht die Gefahr, dass keine unabhängige datenschutzrechtliche Prüfung des DSB mit Berichterstattung an die Geschäftsleitung erfolgt. Anders wäre dies, wenn der DSB und der Compliance-Beauftragte nicht miteinander verbunden agieren würden. Allerdings entstehen so leichter Interessenkonflikte zwischen Datenschutz und Compliance. Wenn der DSB und der Compliance-Beauftragte sich auf einer Stufe gegenüber stehen und eigene Verantwortungsbereiche übernehmen, kann eine Verbesserung der Betriebsabläufe durch ein Zusammenwirken zudem nur schwer stattfinden.

Damit das Unternehmen sich ein einheitliches Bild über bestehende Risikolagen verschaffen kann, erscheint eine einheitliche Compliance-Berichterstattung zweckmäßig. Dabei sollten sich der Compliance-Beauftragte und der DSB gegenseitig unterstützen und ergänzen.
Quelle: „Compliance und Datenschutz“ von Hartmut T. Renz und Melanie Frankenberger in Zeitung für Datenschutz 2015, S. 158-161

Das könnte Sie auch interessieren

21 Januar 2014

LG Potsdam: Haftung des…

Das LG Potsdam hat in seinem Urteil vom 31.07.2013 zum Aktenzeichen 2 O 4/13 eine Störerhaftung des administrativen…

Mehr Erfahren
12 Januar 2014

VG Hannover: Einscannen…

Das VG Hannover hat in seinem Urteil vom 27.11.2013 zum Aktenzeichen 10 A 5342/11 entschieden, dass …

Mehr Erfahren
06 Januar 2014

OLG Saarbrücken: E-Mails…

Das OLG Saarbrücken entschied in seinem Urteil vom 13.06.2012 zum Aktenzeichen 5 U 5/12, dass die Verwendung…

Mehr Erfahren
05 Dezember 2013

EU: Abstimmung über die…

Nachdem Jan Philipp Albrecht im Juli 2013 noch die Verschiebung der Abstimmung über die Datenschutz-Grundverordnung…

Mehr Erfahren
02 Dezember 2013

OLG Köln: Keinen Anspruch…

Das OLG Köln hat in seiner Entscheidung vom 16.07.2013 zum Aktenzeichen 19 U 50/13 entschieden, dass…

Mehr Erfahren
18 November 2013

Zweifel am ausreichenden…

Auf der Herbstkonferenz der Datenschutzbeautragten des Bundes und der Länder, welche Anfang Oktober 2013…

Mehr Erfahren