Der Datenschutz nimmt bei der Compliance eine nicht zu unterschätzende Sonderrolle ein. Er zieht sich wie ein roter Faden durch viele Themen, ganz besonders wichtig wird er bei Hinweisgebersystemen im Kontext des Whistleblowings. Es lohnt also ein genauerer Blick auf die Beziehung zwischen Compliance und Datenschutz:
Compliance beschreibt die Einhaltung jeglicher Richtlinien und Gesetze in einem Unternehmen. Das bedeutet, dass Compliance-Manager sich um regelkonformes Verhalten in allen Geschäftsbereichen kümmern müssen – von den Einstellungsprozessen der Personalabteilung über Spesenabrechnungen im Vertrieb bis hin zur Einhaltung der Datenschutzgrundverordnung (DSGVO) in allen Abteilungen. Neben der Einhaltung von Recht und Gesetz sorgt ein strukturiertes Compliance-Management auch für Wettbewerbsvorteile. Oftmals werden größere Aufträge öffentlicher Kunden nur dann vergeben, wenn ein entsprechendes Management-System existiert.
Datenschutz bezieht sich immer auf den Schutz personenbezogener Daten. Seit Mai 2018 bildet die DSGVO neben dem Bundesdatenschutzgesetz (BDSG) die rechtliche Grundlage für den Datenschutz in Europa. Der Datenschutz fällt folglich komplett in den Bereich der Compliance, aber auch mit den anderen Compliance-Themen gibt es Überlappungen. Hier zwei Beispiele:
1. Technische und organisatorische Maßnahmen (TOM)
Die Einführung von TOM wird an verschiedenen Stellen im Unternehmen gefordert – auch im Risikogebiet Informationssicherheit. Das Ziel der Informationssicherheit besteht darin, Unternehmenswerte (Assets) zu schützen. Im Gegensatz zum Datenschutz steht dabei nicht der Schutz der Menschen hinter den Daten im Vordergrund, sondern der Schutz des Unternehmens selbst. Zwar existiert kein festgelegter rechtlicher Rahmen zur Umsetzung der Informationssicherheit, allerdings gibt es internationale Normen und Richtlinien wie die ISO 27001, die gewisse Anforderungen definieren. Zu diesen Kriterien zählt die Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz von Informationen.
In der DSGVO steht eine ähnliche Forderung (Art. 32 der DSGVO): Demnach müssen TOM mit einem geeigneten Schutzniveau implementiert und dokumentiert werden, um personenbezogene Daten zu schützen. Wenn ein Unternehmen sich also schon einmal um TOM zum Schutz personenbezogener Daten gekümmert hat, können diese Methoden in der Informationssicherheit „wiederverwertet“ werden. Das gelingt dann am besten, wenn Compliance-Manager und Datenschutzbeauftragter gut zusammenarbeiten und sich austauschen (mehr dazu später).
2. Einführung eines Whistleblowing-Systems
Die EU-Whistleblowing-Richtlinie verpflichtet Firmen in Europa dazu, bis Ende 2021 Hinweisgebersysteme zu implementieren. Doch auch schon vor dem Inkrafttreten dieser Richtlinie bilden Hinweisgebersysteme eine wichtige Komponente in den Säulen der Compliance. Sie sollen dafür sorgen, dass Compliance-Risiken und -Verstöße durch anonyme Hinweise von sogenannten Whistleblowern frühzeitig erkannt respektive gemeldet werden. Doch das gelingt nur, wenn die Identität der Whistleblower geheim bleiben kann. An dieser Stelle kommt der Datenschutz ins Spiel: Egal, wie ein Unternehmen sein Hinweisgebersystem umsetzt, die personenbezogenen Daten über den Hinweisgeber sind besonders sensibel und müssen dementsprechend besonders gut geschützt werden. Der Compliance-Officer sollte sich also mit dem Datenschutzbeauftragten zusammensetzen und gemeinsam ein sinnvolles Konzept ausarbeiten.
Die Compliance fällt typischerweise in den Aufgabenbereich eines Compliance-Teams, an dessen Spitze ein Compliance-Officer steht. Er kümmert sich um die Einhaltung aller relevanten Gesetze, Richtlinien, Verordnungen und Selbstverpflichtungen. In der Regel verantwortet er zudem die Einführung eines Compliance-Management-Systems und geeignete mögliche Software-Tools wie digitale Hinweisgebersysteme. Gesetzliche Anforderungen für die Ausbildung eines Compliance-Officers gibt es nicht, bei den meisten handelt es sich jedoch um Juristen oder Menschen mit einem wirtschaftswissenschaftlichen Hintergrund. Im Organigramm findet man den Compliance-Officer üblicherweise der Geschäftsführung unterstellt.
Im Gegensatz dazu nimmt der Datenschutzbeauftragte (DSB) eher die Rolle eines Beraters ein. Er analysiert den aktuellen Stand der Datensicherheit im Unternehmen und stellt entsprechende Handlungsempfehlungen aus. Der DSB konzentriert sich auf die Umsetzung von Datenschutzgesetzen, primär sind das in Deutschland das Bundesdatenschutzgesetz und die DSGVO. Auch der DSB sollte gut vernetzt sein, jedoch eignet sich seine Position viel eher für eine externe Stelle – es kann also auch ein unabhängiger Experte sein.
Compliance und Datenschutz Hand in Hand
Wie bereits an den Beispielen des Hinweisgebersystems und der Informationssicherheit gezeigt, betrifft der Datenschutz so ziemlich alle Unternehmensbereiche und nimmt auch auf die Struktur der Compliance großen Einfluss. Das bedeutet, dass sich ein gewissenhafter Compliance-Officer immer auch mit dem DSB austauscht – und andersherum. Eine solche Kooperation hat fünf entscheidende Vorteile:
► Bereits implementierte Prozesse und Methoden im Datenschutz (Stichwort: TOM) können in anderen Compliance-Bereichen (wie der Informationssicherheit) zum Einsatz kommen.
► Das vom Compliance-Officer aufgestellte Compliance-Management-System kann eine Hilfestellung für die Entwicklung eines Datenschutz-Management-Systems sein oder dieses eventuell komplett mit integrieren.
► Starke Datenschutzmaßnahmen schützen Hinweisgeber – eine gesetzliche Anforderung der Hinweisgeberrichtlinie.
► Schulungsmaterialen können ausgetauscht und gegenseitig ergänzt werden.
► Die Einhaltung der Datenschutzgesetze liegt sowohl im Interesse des Compliance-Officers als auch des Datenschutzbeauftragten – hier lohnt sich daher jedwede Kooperation.
Fazit
Datenschutz und Compliance lassen sich geschickt miteinander verbinden. Dabei sollten insbesondere die bestehenden Gemeinsamkeiten in den vorhandenen Management-Systemen definiert und genutzt werden. So werden umfassend gesetzeskonforme Prozesse geschaffen, die sich auch nach außen bemerkbar machen. Für Unternehmen ergeben sich dadurch langfristige Wettbewerbsvorteile: Kunden und Interessenten fassen Vertrauen, Bußgelder durch Datenpannen oder die Missachtung von Richtlinien entfallen.
Zur Person
Patrick Agostini ist Diplomjurist (in Österreich und Italien) und internationaler Wirtschaftsjurist (LL. M.) mit Schwerpunkten im Wirtschaftsrecht und im Europarecht. Als Privacy Consultant betreut er bei DataGuard vorwiegend kleine und mittelständische Kunden. Davor war er in Brüssel als Assistent eines Abgeordneten des EU-Parlaments tätig, wo er verschiedene Fragestellungen zum Thema Datenschutz bearbeitete. Weitere Kenntnisse im Bereich der Compliance konnte er während seiner Arbeit bei Philips in Amsterdam erlangen, wo er für die datenschutzgerechte Abwicklung eines globalen Projektes verantwortlich war.
Kommentare