Compliance?
Was hat Compliance mit Datenschutz zu tun, was sind die gesetzlichen Anforderungen?
Die Einhaltung gesetzlicher Bestimmungen, aber auch unternehmensinterner Richtlinien und Standards nehmen in der heutigen Geschäftswelt eine immer größer werdende Rolle ein. Verantwortliche eines Unternehmens haben nicht nur nach dem Ordnungswidrigkeitengesetz dafür Sorge zu tragen, dass aus dem Unternehmen heraus keine Gesetzverstöße erfolgen. Auch die erfolgreiche Zusammenarbeit mit Kunden sowie die gesellschaftliche und geschäftliche Reputation eines Unternehmens hängen meist sehr stark davon ab, ob dieses ‚compliant‘ arbeitet und die dazugehörigen Prozesse von der Geschäftsleitung getragen werden. Compliance wird nicht umsonst als eines der drei großen Bereiche des Unternehmens-Risikomanagements definiert.
Ein aktives Compliance-Verständnis kann Vertrauen als Basis von Geschäftsbeziehungen sowie eine höhere Identifikation der Kunden, aber auch der Mitarbeiter mit dem jeweiligen Unternehmen bedeuten. Ein aktives Compliance-Verständnis bei der Unternehmensleitung und bei den Mitarbeitern kann Kunden langfristig binden, Folgekosten von Verstößen vermeiden und so den Ruf des Unternehmens nachhaltig erhöhen. Dies fördert letztendlich auch Umsätze. Warum Compliance also nicht als Aktivposten einsetzen?
Da bei vielen Unternehmen bereits die Unternehmens Compliance durch einen Compliance Beauftragten geregelt wird, sollte nun der Datenschutzbeauftragte mit in die Regelung der Datenschutz Compliance mit einbezogen werden.
Im Hinblick auf die Rolle der Compliance-Funktion ist es wichtig, unabhängig von der jeweiligen organisatorischen Zuordnung, jedenfalls ein adäquates Schnittstellenmanagement zwischen Compliance-Funktion, Rechtsabteilung, Risikomanagement interner Revision und dem Datenschutz zu gewährleisten.
Siehe auch hierzu Rechtsbasis bzw. Was tun?
Warum Compliance Im Bereich Datenschutz?
In der deutschen Rechtsprechung, allem voran das Bundesdatenschutzgesetz (BDSG) sieht zahlreiche Regelungen und Verordnungen vor, welche die zentralen Pflichten der Geschäftsleitung betreffen. Im Bereich des Datenschutzes können diese die Benachrichtigung des Betroffenen bei Datenerhebung, die Erteilung von Auskunft oder die Aufforderung durch die Betroffenen deren Daten zu berichtigen, zu sperren oder zu löschen umfassen.
Auch eher "versteckte" Pflichten sind zu berücksichtigen, etwa das Melden automatisierter Verarbeitungen (§ 4d BDSG) und automatisierter Abrufverfahren (§ 10 Abs. 3 BDSG), die Pflicht zur Bestellung eines Beauftragten für den Datenschutz (§ 4f BDSG), die Verpflichtung aller Mitarbeiter auf das Datengeheimnis (§ 5 BDSG) und das Treffen erforderlicher technischer und organisatorischer Maßnahmen (§ 9 BDSG). Letzteres betrifft insbesondere die Kontrollen von Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Auftragsdurchführung und Verfügbarkeit. Diese Pflichten sind von der Geschäftsleitung der verantwortlichen Stelle zu erfüllen. Nichterfüllung dieser Pflichten kann also zur persönlichen Haftung der Mitglieder der Geschäftsleitung, bzw. des Vorstands führen. Außerdem kann sogar ein Bußgeld in Höhe von 300.000 EUR drohen (§§ 42a, 43 Abs. 2 und 3 BDSG).
Fazit:
Ein externer Datenschutzbeauftragter kann Ihnen dabei helfen Risiken zu vermeiden und im Bereich Datenschutz ‚compliant‘ zu arbeiten.
Umsetzung der Compliance durch einen externen Datenschutzbeauftragten?
Die Bestellung eines Datenschutzbeauftragten ist nach §4f BDSG für die meisten Unternehmen obligatorisch. Dennoch haben viele Firmen keine Person die sich mit der Thematik beschäftigt und um das für die Unternehmensleitung wichtige Thema kümmert, oder arbeiten mit einer nicht zufriedenstellenden und meist komplizierten (internen) Lösung.
Ein externer Datenschutzbeauftragter mit vorhandener Eignung und fachlicher Qualifikation kann die im Datenschutz anfallenden Aufgaben übernehmen und Haftungsrisiken von der Geschäftsleitung nehmen. Zudem hält er für das Unternehmen Ressourcen frei, die bei einer internen Lösung zwangsläufig durch Arbeitsaufwand, Schulungen und Freistellungen des jeweiligen Mitarbeiters gebunden werden.
Aber Achtung:
Wie ich bereits unter DSB beschrieben habe ändert sich hierbei nichts, denn
Die Verantwortung zur Einhaltung der Datenschutzbestimmungen liegt trotz der Aufgaben des betrieblichen oder externen Datenschutzbeauftragten bei der Unternehmensleitung, da der Datenschutzbeauftragte aufgrund seiner Befugnisse lediglich "hinwirken" und "überwachen" kann, aber nicht "anordnen", "durchsetzen" oder ähnliches.
Fazit:
Die Haftung bei Verstößen gegen das Bundesdatenschutzgesetz (BDSG) liegt bei der Unternehmensleitung also der Geschäftsführung bzw. Vorstand
Eine unvoreingenommene Herangehensweise sowie die objektive Einarbeitung in betriebliche Gegebenheiten in Verbindung mit einer neutralen Position im Unternehmen (Vermittlungsfähigkeit, bspw. zwischen Geschäftsleitung Vorstand) sind weitere wichtige Gründe, die für die Beauftragung eines externen Datenschutzbeauftragten sprechen. Ebenfalls fallen keine Kosten für Fortbildung und Erhaltung der Fachkunde an, die sonnst bei einer internen Lösung durch das Unternehmens zu übernehmen sind.
Herausforderungen im Bereich Compliance und Datenschutz: (Beispiele)
Archivierung von E-Mails (private Nutzung und deren Inhalte)
Aufbewahrungspflichten contra Zweckbindung aus BDSG
- Zugriff von Finanzprüfern contra Zugriffseinschränkung nach BDSG
- (HGB) § 257 Aufbewahrung von Unterlagen Aufbewahrungsfristen
- (AO) § 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen
Fazit:
Somit kann durch die Integration eine effektive Compliance-Struktur sowohl das Vertrauen von Geschäftspartnern als auch der Öffentlichkeit in das Unternehmen gesteigert werden, da Regelverstöße durch Compliance / Datenschutz-Maßnahmen zwar nicht absolut vermieden werden können, eine effektive Compliance / Datenschutz-Organisation das Risiko jedoch zumindest deutlich verringern kann.
Sehen Sie sich mein Portfolio an, oder nehmen Sie mit mir Kontakt auf!