Compliance-Manager kümmern sich um Gefahren wie Korruption, Kartellrecht, Geldwäsche, und Diskriminierung. Dabei kann das Thema Datenschutz auf der Compliance-Prioritätenliste schon mal nach unten rutschen. Gleichzeitig nimmt der Datenschutz jedoch eine Sonderrolle in der Compliance ein: Er zieht sich nämlich wie ein roter Faden durch viele Compliance-Themen. Ganz besonders wichtig wird er beim Hinweisgebersystem (Whistleblowing). Wir werfen einen Blick auf die Beziehung zwischen Datenschutz und Compliance.
Das Wichtigste in Kürze
- Compliance bezeichnet in Unternehmen die Implementierung bestimmter Richtlinien zur Einhaltung (gesetzlicher) Vorgaben. Dazu gehören eindeutig auch Datenschutzfragen.
- Der Datenschutz beschäftigt sich mit der Umsetzung von Datenschutzvorgaben (insbesondere der DSGVO) und somit mit dem Schutz personenbezogener Daten.
- Datenschutz erfordert mitunter die Implementierung geeigneter Governance-Strukturen sowie Prozesse zur Einhaltung datenschutzrechtlicher Vorgaben. Hier kann ein Datenschutzbeauftragter ggf. von bestehenden Compliance-Managementsystemen profitieren.
- Andersherum spielt der Datenschutz in vielen anderen Compliance-Themen eine große Rolle, zum Beispiel bei der Implementierung eines Hinweisgebersystems. An dieser Stelle ist der Compliance-Manager auf Unterstützung durch den Datenschutzbeauftragten angewiesen.
- Eine Kooperation von Datenschutzbeauftragtem und Compliance-Officer ist somit von Vorteil – beide Bereiche verfolgen ein gemeinsames Ziel: Bußgelder vermeiden und das Image des Unternehmens stärken.
Abgrenzung von Datenschutz und Compliance
Compliance beschreibt die Einhaltung jeglicher Richtlinien und Gesetze in einem Unternehmen. Das bedeutet, dass Compliance-Manager sich um regelkonformes Verhalten in allen Geschäftsbereichen kümmern müssen – von den Einstellungsprozessen der Personalabteilung über Spesenabrechnungen im Vertrieb bis hin zur Einhaltung der Datenschutzgrundverordnung (DSGVO) in allen Abteilungen.
Datenschutz bezieht sich immer auf den Schutz personenbezogener Daten. Seit Mai 2018 ist die EU-DSGVO neben dem Bundesdatenschutzgesetz (BDSG) die rechtliche Grundlage für den Datenschutz in Europa. Der Datenschutz ist also ein Compliance-Thema.
Vorteile für Unternehmen durch professionelles Compliance-Management
Neben der Einhaltung von Recht und Gesetz sorgt ein strukturiertes Compliance-Management für Wettbewerbsvorteile. Oftmals werden größere Aufträge öffentlicher Kunden nur dann vergeben, wenn ein entsprechendes Management-System nachgewiesen wurde.
Schnittmengen von Datenschutz und Compliance
Klar, der Datenschutz fällt komplett in den Themenbereich der Compliance. Doch auch mit den anderen Compliance-Themen gibt es spannende Überlappungen. Hier zwei Beispiele:
1. Technische und organisatorische Maßnahmen (TOM).
Die Einführung von TOM wird an verschiedenen Stellen im Unternehmen gefordert – u. a. auch in der Informationssicherheit (einem der Compliance-Risiken). Das Ziel der Informationssicherheit besteht darin, Unternehmenswerte (Assets) zu schützen.
Anders als im Datenschutz steht dabei nicht der Schutz der Menschen hinter den Daten im Vordergrund, sondern der Schutz des Unternehmens selbst. Zwar existiert kein festgelegter rechtlicher Rahmen zur Umsetzung der Informationssicherheit, allerdings gibt es internationale Normen und Richtlinien wie die ISO 27001, die gewisse Anforderungen definieren. Und eine dieser Anforderungen ist die Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz von Informationen.
In der DSGVO gibt es eine ganz ähnliche Forderung (Art. 32 der DSGVO). Demnach müssen TOM mit einem geeigneten Schutzniveau implementiert und dokumentiert werden, um personenbezogene Daten zu schützen.
Wenn ein Unternehmen sich also schon einmal um TOM zum Schutz personenbezogener Daten gekümmert hat, können diese Methoden in der Informationssicherheit „wiederverwertet“ werden. Das gelingt dann am besten, wenn Compliance-Manager und Datenschutzbeauftragter gut zusammenarbeiten und sich austauschen. Mehr dazu später.
Übrigens: Die Dokumentation der TOM ist nur eine von vielen Datenschutzdokumentationen, die in der DSGVO gefordert werden. Kennen Sie noch weitere? Laden Sie hier unsere vollständige Checkliste aller Datenschutzdokumente herunter, die in der DSGVO Erwähnung finden:
2. Einführung eines Whistleblowing-Systems
Die EU-Whistleblowing-Richtlinie verpflichtet Unternehmen in Europa dazu, bis Ende 2021 Hinweisgebersysteme zu implementieren. Doch auch schon vor dem in Kraft treten dieser Richtlinie bilden Hinweisgebersysteme eine wichtige Komponente in den Säulen der Compliance. Sie sollen dafür sorgen, dass Compliance-Risiken und -Verstöße durch anonyme Hinweise von sogenannten Whistleblowern frühzeitig bekannt werden.
Doch das klappt nur, wenn die Identität der Whistleblower geheim bleiben kann. Und hier kommt der Datenschutz ins Spiel. Egal, wie ein Unternehmen sein Hinweisgebersystem umsetzt – die personenbezogenen Daten über den Hinweisgeber sind besonders sensibel und müssen dementsprechend besonders gut geschützt werden. Der Compliance-Officer sollte sich also mit dem Datenschutzbeauftragten zusammensetzen und gemeinsam ein sinnvolles Konzept ausarbeiten. Wie das aussehen könnte, verraten wir in diesem Artikel.
Verantwortlichkeiten für die Einhaltung von Compliance bzw. Datenschutz – wer kümmert sich?
Die Compliance fällt typischerweise in den Aufgabenbereich eines Compliance-Teams, an dessen Spitze ein Compliance-Officer steht. Er kümmert sich um die Einhaltung aller relevanten Gesetze, Richtlinien, Verordnungen und Selbstverpflichtungen. In der Regel übernimmt er zudem die Einführung eines Compliance-Management-Systems und geeignete mögliche Software-Tools (z. B. digitale Hinweisgebersysteme, Policy Manager, etc.).
Gesetzliche Anforderungen an die Ausbildung eines Compliance-Officers gibt es nicht, die meisten sind jedoch Juristen, können aber auch einen wirtschaftswissenschaftlichen Hintergrund haben. Im Organigramm findet man den Compliance-Officer üblicherweise der Geschäftsführung unterstellt.
Im Gegensatz dazu nimmt der Datenschutzbeauftragte (DSB) eher die Rolle eines Beraters ein. Er analysiert den aktuellen Stand der Datensicherheit im Unternehmen und stellt davon ausgehend Handlungsempfehlungen aus. Der DSB konzentriert sich auf die Umsetzung von Datenschutzgesetzen (primär sind das in Deutschland das Bundesdatenschutzgesetz und die DSGVO).
Auch der DSB sollte gut vernetzt sein, jedoch eignet sich seine Position viel eher für eine externe Stelle – d. h., dass ein Unternehmen von unabhängigen Experten bezüglich des Datenschutzes betreut werden kann. Mehr zu den Aufgaben den DSB finden Sie in diesem Artikel.
|
Compliance-Officer |
Datenschutzbeauftragter |
Aufgaben |
|
|
Ausbildung |
|
|
Wem unterstellt? |
Normalerweise der Geschäftsführung unterstellt |
Der DSB ist gemäß der DSGVO nicht weisungsgebunden |
Benennung gesetzlich vorgeschrieben? |
Nein, auch der Aufgabenbereich ist nicht konkret gesetzlich vorgeschrieben und hängt sehr vom jeweiligen Unternehmen und der einzuhaltenden Regeln ab. |
Für die meisten Unternehmen ja, mehr Informationen hier. Die DSGVO regelt auch den Aufgabenbereich des DSB recht detailliert. |
Beschäftigungs-verhältnis |
Fast immer eine interne Position, allerdings bieten mittlerweile auch Kanzleien einen externen Service an (z. B. für Unternehmen, die noch nicht sicher sind, ob sie die Position intern besetzen möchten) |
Interne oder externe Position denkbar, je nach Anforderungen des Unternehmens. (Mehr Infos zum Vergleich interner vs. externer DSB hier). Ein interner DSB genießt einen besonderen Kündigungsschutz. |
So können Compliance-Officer und Datenschutzbeauftragter zusammenarbeiten
Wie wir bereits an den Beispielen des Hinweisgebersystems und der Informationssicherheit gezeigt haben, betrifft der Datenschutz so ziemlich alle Unternehmensbereiche und nimmt auch auf die Struktur der Compliance großen Einfluss. Das bedeutet, dass ein gewissenhafter Compliance-Officer sich immer auch mit dem DSB austauschen wird – und andersrum. Eine solche Kooperation hat viele Vorteile:
- Bereits implementierte Prozesse und Methoden im Datenschutz (Stichwort: TOM) können in anderen Compliance-Themen (wie der Informationssicherheit) adaptiert werden
- Das vom Compliance-Officer aufgestellte Compliance-Management-System kann eine Hilfestellung für die Entwicklung eines Datenschutz-Management-Systems sein oder dieses ggf. ganz mit integrieren
- Durch starke Datenschutzmaßnahmen können Hinweisgeber geschützt werden – eine gesetzliche Anforderung der Hinweisgeberrichtlinie
- Schulungsmaterialen können ggf. ausgetauscht und gegenseitig ergänzt werden
- Die Einhaltung der Datenschutzgesetze liegt sowohl im Interesse des Compliance-Officer als auch des Datenschutzbeauftragten – hier lohnt sich also jedwede Kooperation
Fazit
Datenschutz und Compliance können geschickt miteinander verbunden werden. Dabei sollten insbesondere die bestehenden Gemeinsamkeiten in den vorhandenen Management-Systemen definiert und genutzt werden. So werden umfassend gesetzeskonforme Prozesse geschaffen, die sich auch nach außen bemerkbar machen. Für Unternehmen ergeben sich dadurch langfristige Wettbewerbsvorteile, Kunden und Interessenten fassen Vertrauen und nicht zuletzt werden Bußgelder durch Datenpannen oder missachtete Richtlinien vermieden.
Für mehr Informationen zur Umsetzung von Datenschutz und Compliance stehen Ihnen unsere Experten zur Verfügung. Sprechen Sie uns an. Wir beraten Sie gerne!
Satt vom unendlichen Papierkram?
In diesem E-Book erfahren Sie, wie Sie Compliance und Datenschutz digitalisieren und welche Plattformen sich dafür eignen.
Jetzt kostenlos herunterladen