Datenschutz und Compliance: Wie diese miteinander zusammenhängen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Datenschutz und Compliance: Wie diese miteinander zusammenhängen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Compliance-Manager kümmern sich um Gefahren wie Korruption, Kartellrecht oder Geldwäsche. Dabei kann das Thema Datenschutz und Compliance auf der Prioritätenliste schon mal nach unten rutschen. Entscheidend dabei ist, dass der Datenschutz eine Sonderrolle in der Compliance einnimmt.
Datenschutz und Compliance Deutschland

Quelle: Rawpixel.com/Shutterstock

Der Datenschutz zieht sich wie ein roter Faden durch viele Themen, ganz besonders wichtig wird er beim Hinweisgebersystem (Whistleblowing). Zur Abgrenzung von Datenschutz und Compliance ist Folgendes zu wissen: Compliance beschreibt die Einhaltung jeglicher Richtlinien und Gesetze in einem Unternehmen. Das bedeutet, dass Compliance-Manager sich um regelkonformes Verhalten in allen Geschäftsbereichen kümmern müssen – von den Einstellungsprozessen der Personalabteilung über Spesenabrechnungen im Vertrieb bis hin zur Einhaltung der Datenschutzgrundverordnung (DSGVO) in allen Abteilungen.

Management-System gewährleistet Datenschutz und Compliance

Neben der Einhaltung von Recht und Gesetz sorgt ein strukturiertes Compliance-Management auch für Wettbewerbsvorteile. Oftmals werden größere Aufträge öffentlicher Kunden nur dann vergeben, wenn ein entsprechendes Management-System existiert. Datenschutz bezieht sich immer auf den Schutz personenbezogener Daten. Seit Mai 2018 bildet die DSGVO neben dem Bundesdatenschutzgesetz (BDSG) die rechtliche Grundlage für den Datenschutz in Europa. Der Datenschutz betrifft also die Compliance. Der Datenschutz fällt komplett in den Bereich der Compliance, aber auch mit den anderen Compliance-Themen gibt es Überlappungen. Folgende zwei Beispiele verdeutlichen den Unterschied von Datenschutz und Compliance

Technische und organisatorische Maßnahmen (TOM)

Die Einführung von TOM wird an verschiedenen Stellen im Unternehmen gefordert – auch im Risikogebiet Informationssicherheit. Das Ziel der Informationssicherheit besteht darin, Unternehmenswerte (Assets) zu schützen. Im Gegensatz zum Datenschutz steht dabei nicht der Schutz der Menschen hinter den Daten im Vordergrund, sondern der Schutz des Unternehmens selbst.

Zwar existiert kein festgelegter rechtlicher Rahmen zur Umsetzung der Informationssicherheit, allerdings gibt es internationale Normen und Richtlinien wie die ISO 27001, die gewisse Anforderungen definieren. Zu diesen Kriterien zählt die Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz von Informationen. 

In der DSGVO steht eine ähnliche Forderung (Art. 32 der DSGVO). Demnach müssen TOM mit einem geeigneten Schutzniveau implementiert und dokumentiert werden, um personenbezogene Daten zu schützen. Wenn ein Unternehmen sich also schon einmal um TOM zum Schutz personenbezogener Daten gekümmert hat, können diese Methoden in der Informationssicherheit „wiederverwertet“ werden. Das gelingt dann am besten, wenn Compliance-Manager und Datenschutzbeauftragter gut zusammenarbeiten und sich austauschen (mehr dazu später).

Datenschutz und Compliance: Einführung eines Whistleblowing-Systems

Die EU-Whistleblowing-Richtlinie verpflichtet Firmen in Europa dazu, bis Ende 2021 Hinweisgebersysteme zu implementieren. Doch auch schon vor dem Inkrafttreten dieser Richtlinie bilden Hinweisgebersysteme eine wichtige Komponente in den Säulen der Compliance. Sie sollen dafür sorgen, dass Compliance-Risiken und -Verstöße durch anonyme Hinweise von sogenannten Whistleblowern frühzeitig erkannt werden. 

Doch das klappt nur, wenn die Identität der Whistleblower geheim bleiben kann. An dieser Stelle kommt der Datenschutz ins Spiel: Egal, wie ein Unternehmen sein Hinweisgebersystem umsetzt, die personenbezogenen Daten über den Hinweisgeber sind besonders sensibel und müssen dementsprechend besonders gut geschützt werden. Der Compliance-Officer sollte sich also mit dem Datenschutzbeauftragten zusammensetzen und gemeinsam ein sinnvolles Konzept ausarbeiten.

Verantwortlichkeiten für die Einhaltung von Compliance und Datenschutz

Die Compliance fällt typischerweise in den Aufgabenbereich eines Compliance-Teams, an dessen Spitze ein Compliance-Officer steht. Er kümmert sich um die Einhaltung aller relevanten Gesetze, Richtlinien, Verordnungen und Selbstverpflichtungen. In der Regel verantwortet er zudem die Einführung eines Compliance-Management-Systems und geeignete mögliche Software-Tools wie digitale Hinweisgebersysteme. Gesetzliche Anforderungen für die Ausbildung eines Compliance-Officers gibt es nicht, bei den meisten handelt es sich jedoch um Juristen oder Menschen mit einem wirtschaftswissenschaftlichen Hintergrund. Im Organigramm findet man den Compliance-Officer üblicherweise der Geschäftsführung unterstellt. 

Im Gegensatz dazu nimmt der Datenschutzbeauftragte (DSB) eher die Rolle eines Beraters ein. Er analysiert den aktuellen Stand der Datensicherheit im Unternehmen und stellt entsprechende Handlungsempfehlungen aus. Der DSB konzentriert sich auf die Umsetzung von Datenschutzgesetzen (primär sind das in Deutschland das Bundesdatenschutzgesetz und die DSGVO). Auch der DSB sollte gut vernetzt sein, jedoch eignet sich seine Position viel eher für eine externe Stelle – es kann also auch ein unabhängiger Experte sein.



Datenschutz und Compliance DataGuard
Die Aufgaben des Compliance Officer und des Datenschutzbeauftragten im Vergleich. (Grafik: DataGuard)

Zusammenarbeit von Compliance-Officer und Datenschutzbeauftragter

Wie wir bereits an den Beispielen des Hinweisgebersystems und der Informationssicherheit gezeigt haben, betrifft der Datenschutz so ziemlich alle Unternehmensbereiche und nimmt auch auf die Struktur der Compliance großen Einfluss. Das bedeutet, dass sich ein gewissenhafter Compliance-Officer immer auch mit dem DSB austauscht – und andersrum. Eine solche Kooperation hat viele Vorteile: 

  • Bereits implementierte Prozesse und Methoden im Datenschutz (Stichwort: TOM) können in anderen Compliance-Bereichen (wie der Informationssicherheit) zum Einsatz kommen
  • Das vom Compliance-Officer aufgestellte Compliance-Management-System kann eine Hilfestellung für die Entwicklung eines Datenschutz-Management-Systems sein oder dieses eventuell komplett mit integrieren
  • Starke Datenschutzmaßnahmen schützen Hinweisgeber – eine gesetzliche Anforderung der Hinweisgeberrichtlinie
  • Schulungsmaterialen können ausgetauscht und gegenseitig ergänzt werden 
  • Die Einhaltung der Datenschutzgesetze liegt sowohl im Interesse des Compliance-Officers als auch des Datenschutzbeauftragten – hier lohnt sich also jedwede Kooperation

Datenschutz und Compliance lassen sich geschickt miteinander verbinden. Dabei sollten die Verantwortlichen insbesondere die bestehenden Gemeinsamkeiten in den vorhandenen Management-Systemen definieren und nutzen. So lassen sich umfassend gesetzeskonforme Prozesse schaffen, die sich auch nach außen bemerkbar machen. Für Unternehmen ergeben sich dadurch langfristige Wettbewerbsvorteile: Kunden und Interessenten fassen Vertrauen, Bußgelder durch Datenpannen oder missachtete Richtlinien entfallen.

Lesen Sie auch: Privacy Shield: Trotz Scheitern datenschutzkonform in der Cloud arbeiten

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist dataguard-patrick-agostini.jpg

Über den Autor: Patrick Agostini ist Privacy Consultant bei DataGuard. DataGuard unterstützt Unternehmen bei der Umsetzung datenschutzkonformer Prozesse. Agostini ist Diplomjurist (in Österreich und Italien) und internationaler Wirtschaftsjurist (LL. M.) mit Schwerpunkten im Wirtschaftsrecht und im Europarecht. Als Privacy Consultant betreut er bei DataGuard vorwiegend kleine und mittelständische Kunden. Davor war er in Brüssel als Assistent eines europäischen Abgeordneten tätig, wo er Fragestellungen zum Thema Datenschutz bearbeitete. Weitere Kenntnisse im Bereich der Compliance konnte er während seiner Arbeit bei Philips in Amsterdam erlangen, wo er die datenschutzgerechte Abwicklung eines globalen Projektes verantwortete. (sg)

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Andere Leser haben sich auch für die folgenden Artikel interessiert

Gibt es künstliche Intelligenz auch für Print-Kampagnen? Mit Programmatic Printing ist es möglich, KI-basierte Print-Kampagnen gewinnbringend ins Omnichannel-Marketing zu integrieren. Das in Echtzeit, mit hohem Return on Marketing Investment (ROMI) und ohne Double-Opt-in. So können Handler ihre Verkaufszahlen im E-Commerce verbessern.

Top Jobs

Marketing Manager / Multichannel (w/m/d)
AVM Computersysteme Vertriebs GmbH, Berlin
› weitere Top Jobs

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: merry christmas

Jahresendgeschäft – jetzt vorbereiten

Mehr erfahren