Datenschutz und Compliance: Wie diese miteinander zusammenhängen

Der Datenschutz zieht sich wie ein roter Faden durch viele Themen, ganz besonders wichtig wird er beim Hinweisgebersystem (Whistleblowing). Zur Abgrenzung von Datenschutz und Compliance ist Folgendes zu wissen: Compliance beschreibt die Einhaltung jeglicher Richtlinien und Gesetze in einem Unternehmen. Das bedeutet, dass Compliance-Manager sich um regelkonformes Verhalten in allen Geschäftsbereichen kümmern müssen – von den Einstellungsprozessen der Personalabteilung über Spesenabrechnungen im Vertrieb bis hin zur Einhaltung der Datenschutzgrundverordnung (DSGVO) in allen Abteilungen.

Management-System gewährleistet Datenschutz und Compliance

Neben der Einhaltung von Recht und Gesetz sorgt ein strukturiertes Compliance-Management auch für Wettbewerbsvorteile. Oftmals werden größere Aufträge öffentlicher Kunden nur dann vergeben, wenn ein entsprechendes Management-System existiert. Datenschutz bezieht sich immer auf den Schutz personenbezogener Daten. Seit Mai 2018 bildet die DSGVO neben dem Bundesdatenschutzgesetz (BDSG) die rechtliche Grundlage für den Datenschutz in Europa. Der Datenschutz betrifft also die Compliance. Der Datenschutz fällt komplett in den Bereich der Compliance, aber auch mit den anderen Compliance-Themen gibt es Überlappungen. Folgende zwei Beispiele verdeutlichen den Unterschied von Datenschutz und Compliance

Technische und organisatorische Maßnahmen (TOM)

Die Einführung von TOM wird an verschiedenen Stellen im Unternehmen gefordert – auch im Risikogebiet Informationssicherheit. Das Ziel der Informationssicherheit besteht darin, Unternehmenswerte (Assets) zu schützen. Im Gegensatz zum Datenschutz steht dabei nicht der Schutz der Menschen hinter den Daten im Vordergrund, sondern der Schutz des Unternehmens selbst.

Zwar existiert kein festgelegter rechtlicher Rahmen zur Umsetzung der Informationssicherheit, allerdings gibt es internationale Normen und Richtlinien wie die ISO 27001, die gewisse Anforderungen definieren. Zu diesen Kriterien zählt die Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz von Informationen. 

In der DSGVO steht eine ähnliche Forderung (Art. 32 der DSGVO). Demnach müssen TOM mit einem geeigneten Schutzniveau implementiert und dokumentiert werden, um personenbezogene Daten zu schützen. Wenn ein Unternehmen sich also schon einmal um TOM zum Schutz personenbezogener Daten gekümmert hat, können diese Methoden in der Informationssicherheit „wiederverwertet“ werden. Das gelingt dann am besten, wenn Compliance-Manager und Datenschutzbeauftragter gut zusammenarbeiten und sich austauschen (mehr dazu später).

Datenschutz und Compliance: Einführung eines Whistleblowing-Systems

Die EU-Whistleblowing-Richtlinie verpflichtet Firmen in Europa dazu, bis Ende 2021 Hinweisgebersysteme zu implementieren. Doch auch schon vor dem Inkrafttreten dieser Richtlinie bilden Hinweisgebersysteme eine wichtige Komponente in den Säulen der Compliance. Sie sollen dafür sorgen, dass Compliance-Risiken und -Verstöße durch anonyme Hinweise von sogenannten Whistleblowern frühzeitig erkannt werden. 

Doch das klappt nur, wenn die Identität der Whistleblower geheim bleiben kann. An dieser Stelle kommt der Datenschutz ins Spiel: Egal, wie ein Unternehmen sein Hinweisgebersystem umsetzt, die personenbezogenen Daten über den Hinweisgeber sind besonders sensibel und müssen dementsprechend besonders gut geschützt werden. Der Compliance-Officer sollte sich also mit dem Datenschutzbeauftragten zusammensetzen und gemeinsam ein sinnvolles Konzept ausarbeiten.

Verantwortlichkeiten für die Einhaltung von Compliance und Datenschutz

Die Compliance fällt typischerweise in den Aufgabenbereich eines Compliance-Teams, an dessen Spitze ein Compliance-Officer steht. Er kümmert sich um die Einhaltung aller relevanten Gesetze, Richtlinien, Verordnungen und Selbstverpflichtungen. In der Regel verantwortet er zudem die Einführung eines Compliance-Management-Systems und geeignete mögliche Software-Tools wie digitale Hinweisgebersysteme. Gesetzliche Anforderungen für die Ausbildung eines Compliance-Officers gibt es nicht, bei den meisten handelt es sich jedoch um Juristen oder Menschen mit einem wirtschaftswissenschaftlichen Hintergrund. Im Organigramm findet man den Compliance-Officer üblicherweise der Geschäftsführung unterstellt. 

Im Gegensatz dazu nimmt der Datenschutzbeauftragte (DSB) eher die Rolle eines Beraters ein. Er analysiert den aktuellen Stand der Datensicherheit im Unternehmen und stellt entsprechende Handlungsempfehlungen aus. Der DSB konzentriert sich auf die Umsetzung von Datenschutzgesetzen (primär sind das in Deutschland das Bundesdatenschutzgesetz und die DSGVO). Auch der DSB sollte gut vernetzt sein, jedoch eignet sich seine Position viel eher für eine externe Stelle – es kann also auch ein unabhängiger Experte sein.



Zusammenarbeit von Compliance-Officer und Datenschutzbeauftragter

Wie wir bereits an den Beispielen des Hinweisgebersystems und der Informationssicherheit gezeigt haben, betrifft der Datenschutz so ziemlich alle Unternehmensbereiche und nimmt auch auf die Struktur der Compliance großen Einfluss. Das bedeutet, dass sich ein gewissenhafter Compliance-Officer immer auch mit dem DSB austauscht – und andersrum. Eine solche Kooperation hat viele Vorteile: 

• Bereits implementierte Prozesse und Methoden im Datenschutz (Stichwort: TOM) können in anderen Compliance-Bereichen (wie der Informationssicherheit) zum Einsatz kommen
• Das vom Compliance-Officer aufgestellte Compliance-Management-System kann eine Hilfestellung für die Entwicklung eines Datenschutz-Management-Systems sein oder dieses eventuell komplett mit integrieren
• Starke Datenschutzmaßnahmen schützen Hinweisgeber – eine gesetzliche Anforderung der Hinweisgeberrichtlinie
• Schulungsmaterialen können ausgetauscht und gegenseitig ergänzt werden 
• Die Einhaltung der Datenschutzgesetze liegt sowohl im Interesse des Compliance-Officers als auch des Datenschutzbeauftragten – hier lohnt sich also jedwede Kooperation

Datenschutz und Compliance lassen sich geschickt miteinander verbinden. Dabei sollten die Verantwortlichen insbesondere die bestehenden Gemeinsamkeiten in den vorhandenen Management-Systemen definieren und nutzen. So lassen sich umfassend gesetzeskonforme Prozesse schaffen, die sich auch nach außen bemerkbar machen. Für Unternehmen ergeben sich dadurch langfristige Wettbewerbsvorteile: Kunden und Interessenten fassen Vertrauen, Bußgelder durch Datenpannen oder missachtete Richtlinien entfallen.

Lesen Sie auch: Privacy Shield: Trotz Scheitern datenschutzkonform in der Cloud arbeiten

Über den Autor: Patrick Agostini ist Privacy Consultant bei DataGuard. DataGuard unterstützt Unternehmen bei der Umsetzung datenschutzkonformer Prozesse. Agostini ist Diplomjurist (in Österreich und Italien) und internationaler Wirtschaftsjurist (LL. M.) mit Schwerpunkten im Wirtschaftsrecht und im Europarecht. Als Privacy Consultant betreut er bei DataGuard vorwiegend kleine und mittelständische Kunden. Davor war er in Brüssel als Assistent eines europäischen Abgeordneten tätig, wo er Fragestellungen zum Thema Datenschutz bearbeitete. Weitere Kenntnisse im Bereich der Compliance konnte er während seiner Arbeit bei Philips in Amsterdam erlangen, wo er die datenschutzgerechte Abwicklung eines globalen Projektes verantwortete. (sg)