Datenschutz oder Compliance?11 | 10 | 17

Datenschutz oder Compliance

Datenschutzbeauftragter und Compliance Officer – In welchem Verhältnis stehen diese beiden Rollen zueinander?

Datenschutzbeauftragte und Compliance Officer nehmen unterschiedliche Rollen im Unternehmen ein. Sie haben unterschiedliche Funktionen, Kompetenzen, Befugnisse und Zielsetzungen.

Doch widersprechen sich diese? Oder kann man viel eher von einem komplementären Verhältnis sprechen? Diesen interessanten Fragen möchte ich in diesem Beitrag nachgehen.

Das macht ein Datenschutzbeauftragter

Datenschutzbeauftragter Aufgaben

Die Aufgaben eines Datenschutzbeauftragten finden sich im BDSG und der EU-DSGVO. Datenschutzbeauftragte müssen unter anderem Mitarbeiter im Umgang mit Daten sensibilisieren und schulen.

Sucht man im Bundesdatenschutzgesetz (neu) nach den Aufgaben des Datenschutzbeauftragten, findet man unter § 7 folgende Aspekte:

(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:

1. Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;

2. Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;

Zudem gehört zu den Aufgaben eines Datenschutzbeauftragten die Zusammenarbeit mit den Aufsichtsbehörden und die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung.

Auch in der EU-DSGVO (Abschnitt vier, Art. 39) sind die Aufgaben eines Datenschutzbeauftragten erläutert:

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

Dies bedeutet zusammengefasst, dass der oder die Datenschutzbeauftragte vor allem die Einhaltung der deutschen und europäischen Datenschutzgesetze und -vorschriften im Blick haben muss. Die Benennung eines Datenschutzbeauftragten erfolgt nicht freiwillig, sondern ist für Unternehmen verpflichtend, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden.

Um den Aufgaben nachzugehen, genießen Datenschutzbeauftragte eine besondere Stellung im Unternehmen: Sie sind direkt der Leitung des Unternehmens unterstellt und weisungsfrei. Weiterhin stehen sie unter einem besonderen Kündigungsschutz und dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Das Unternehmen ist zudem verpflichtet, die Beauftragten für Datenschutz bei der Ausführung der Aufgaben zu unterstützen. Hierzu gehören z. B. Hilfspersonal, Räume, Einrichtungen, Geräte und Mittel aber auch die regelmäßige Weiterbildung zur Aufrechterhaltung der nötigen Fachkenntnis.

Sie Interessieren sich für eine Ausbildung zum Datenschutzbeauftragten? Bei der DGQ können Sie die nötige Fachkenntnis in vier Tagen erwerben.

Das macht ein Compliance Officer

Aufgaben als Compliance Officer

Relevante Gesetze, Verordnungen und (ethische) Richtlinien: Darum dreht sich die Arbeit eines Compliance Officers. Oberstes Ziel: Haftungsrisiken für das Unternehmen minimieren.

Die Aufgaben und Tätigkeitsbereiche eines Compliance Officers sind allerdings nicht so klar definiert, wie die des oder der Datenschutzbeauftragten. Im Deutschen Corporate Governance Kodex (DCGK) lässt sich zum Beispiel als Aufgabe des Vorstandes nachlesen:

4.3.1 Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.

Hierbei geht es – anders als beim Datenschutz – um alle relevanten Gesetze, Verordnungen, Richtlinien und auch Selbstverpflichtungen, die ein Unternehmen einhalten muss bzw. will. Hierunter fallen ebenso ethische Richtlinien. Ein Compliance Management System einzuführen ist zwar nicht gesetzlich verpflichtend, bringt aber erhebliche Vorteile für ein Unternehmen mit sich.

Neben der Einhaltung von Gesetzen dient die Formulierung und Überprüfung von konkreten Compliance-Zielen der Prävention von unrechtmäßigem Unternehmenshandeln und der Reduktion von Haftungsrisiken. Ein Compliance Beauftragter hat hierbei unter anderem die Aufgabe, das Compliance Management System zu implementieren und zu überwachen, präventive Maßnahmen umzusetzen und Mitarbeiter zu schulen sowie Compliance Vorfälle zu untersuchen und zu melden. Ein Compliance Management System lässt sich zudem beispielsweise nach ISO 19600 oder IDW PS 980 zertifizieren.

Sie möchten als Compliance Officer für Ihr Unternehmen tätig werden? Unsere Schulung „Compliance Officer“ bereitet Sie auf diese Herausforderung vor!

In welchem Verhältnis stehen Compliance und Datenschutz?

Datenschutz und Compliance ergänzen sich

Gesetze und Richtlinien im Fokus: Datenschutz und Compliance ergänzen sich.

Auch wenn bei Compliance Officern und Datenschutzbeauftragten unterschiedliche Perspektiven zum Tragen kommen, schauen doch beide Rollen auf den gleichen Gegenstand: die Einhaltung von Gesetzen und Richtlinien. Der Datenschutzbeauftragte hat hier sicherlich einen engeren Fokus und eine andere Zielsetzung als der Compliance Officer.

Im Mittelpunkt des Datenschutzes steht der Betroffene (Mitarbeiter, Kunde, Geschäftspartner) und der Schutz seiner persönlichen Daten. Im Zentrum von Compliance hingegen stehen die Vermeidung von Haftungsrisiken der Unternehmen und ebenso eine Außenwirkung durch nachweisbare Transparenz.

Da es aus verschiedenen Gründen im Interesse eines Unternehmens liegt, im Bereich des Datenschutzes compliant zu sein (vor allem die EU-DSGVO hat auf Grund der Bußgeldhöhe drastische Folgen für die Compliance-Bewertung datenschutzrechtlicher Risiken), lässt sich feststellen, dass sich die beiden Sichtweisen eher ergänzen statt zu widersprechen.

Und natürlich muss ein Compliance-Beauftragter datenschutzkonform handeln, auch wenn investigative Nachforschungen erfolgen müssen. Trotz unterschiedlicher Kompetenzen und Perspektiven, ergänzen sich diese beiden Rollen in der Praxis sehr gut und können und sollten zur Vermeidung von Haftung und Datenmissbrauch in vielen Bereichen (z. B. Schulung und Sensibilisierung der Mitarbeiter oder Audits) zusammenarbeiten.

Darüber hinaus sind sowohl gelebter Datenschutz, ein professionelles Compliance Management System als auch gut ausgebildete Mitarbeiter in beiden Bereichen ein Indikator für Transparenz und Qualität eines Unternehmens.

 

Über den Autor:

Christina Eibert ist studierte Sozialwissenschaftlerin und Produktmanagerin bei der DGQ. Sie verantwortet die Trainings in den Bereichen Compliance, Datenschutz, Statistik und Cyber-Sicherheit. Besonders wichtig ist es ihr, praxisnahe und zukunftsorientierte Weiterbildungen zu entwickeln, von denen Teilnehmer und Unternehmen gleichermaßen profitieren.

2 Kommentare bei “Datenschutz oder Compliance?”

  1. 5668179650659f789e5389724179a0ef Axel sagt:

    § 4g BDSG ist das alte, bis Mai gültige. Im aktuellen BDSG wäre es der § 7. Dass der Artikel 39 nur gekürzt widergegeben wurde und z.B. die Beratungsfunktion sowie das Thema Zusammenarbeit Aufsichtsbehörden unterschlagen wurde, finde ich auch nicht optimal.

    1. Christina Eibert sagt:

      Hallo Axel,
      danke für den Hinweis. Wir werden den Artikel überprüfen und aktualisieren.

      Beste Grüße

      Christina Eibert

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.