Datenschutz oder Compliance?11 | 10 | 17

Datenschutz oder Compliance

Datenschutzbeauftragter und Compliance Officer – In welchem Verhältnis stehen diese beiden Rollen zueinander?

Datenschutzbeauftragte und Compliance Officer nehmen unterschiedliche Rollen im Unternehmen ein. Sie haben unterschiedliche Funktionen, Kompetenzen, Befugnisse und Zielsetzungen.

Doch widersprechen sich diese? Oder kann man viel eher von einem komplementären Verhältnis sprechen? Diesen interessanten Fragen möchte ich in diesem Beitrag nachgehen.

Das macht ein Datenschutzbeauftragter

Datenschutzbeauftragter Aufgaben

Die Aufgaben eines Datenschutzbeauftragten finden sich im BDSG und der EU-DSGVO. Datenschutzbeauftragte müssen unter anderem Mitarbeiter im Umgang mit Daten sensibilisieren und schulen.

Sucht man im Bundesdatenschutzgesetz nach den Aufgaben des Datenschutzbeauftragten, findet man unter § 4g folgenden Satz:

(1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. (…) Er hat insbesondere

1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu desem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,

2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.

Auch in der EU-DSGVO (Abschnitt vier, Art. 39) sind die Aufgaben eines Datenschutzbeauftragten erläutert:

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

Dies bedeutet zusammengefasst, dass der oder die Datenschutzbeauftragte vor allem die Einhaltung der deutschen und europäischen Datenschutzgesetze und -vorschriften im Blick haben muss. Die Benennung eines Datenschutzbeauftragten erfolgt nicht freiwillig, sondern ist für Unternehmen verpflichtend, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden.

Um den Aufgaben nachzugehen, genießen Datenschutzbeauftragte eine besondere Stellung im Unternehmen: Sie sind direkt der Leitung des Unternehmens unterstellt und weisungsfrei. Weiterhin stehen sie unter einem besonderen Kündigungsschutz und dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Das Unternehmen ist zudem verpflichtet, die Beauftragten für Datenschutz bei der Ausführung der Aufgaben zu unterstützen. Hierzu gehören z. B. Hilfspersonal, Räume, Einrichtungen, Geräte und Mittel aber auch die regelmäßige Weiterbildung zur Aufrechterhaltung der nötigen Fachkenntnis.

Sie Interessieren sich für eine Ausbildung zum Datenschutzbeauftragten? Bei der DGQ können Sie die nötige Fachkenntnis in vier Tagen erwerben.

Das macht ein Compliance Officer

Aufgaben als Compliance Officer

Relevante Gesetze, Verordnungen und (ethische) Richtlinien: Darum dreht sich die Arbeit eines Compliance Officers. Oberstes Ziel: Haftungsrisiken für das Unternehmen minimieren.

Die Aufgaben und Tätigkeitsbereiche eines Compliance Officers sind allerdings nicht so klar definiert, wie die des oder der Datenschutzbeauftragten. Im Deutschen Corporate Governance Kodex (DCGK) lässt sich zum Beispiel als Aufgabe des Vorstandes nachlesen:

4.3.1 Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.

Hierbei geht es – anders als beim Datenschutz – um alle relevanten Gesetze, Verordnungen, Richtlinien und auch Selbstverpflichtungen, die ein Unternehmen einhalten muss bzw. will. Hierunter fallen ebenso ethische Richtlinien. Ein Compliance Management System einzuführen ist zwar nicht gesetzlich verpflichtend, bringt aber erhebliche Vorteile für ein Unternehmen mit sich.

Neben der Einhaltung von Gesetzen dient die Formulierung und Überprüfung von konkreten Compliance-Zielen der Prävention von unrechtmäßigem Unternehmenshandeln und der Reduktion von Haftungsrisiken. Ein Compliance Beauftragter hat hierbei unter anderem die Aufgabe, das Compliance Management System zu implementieren und zu überwachen, präventive Maßnahmen umzusetzen und Mitarbeiter zu schulen sowie Compliance Vorfälle zu untersuchen und zu melden. Ein Compliance Management System lässt sich zudem beispielsweise nach ISO 19600 oder IDW PS 980 zertifizieren.

Sie möchten als Compliance Officer für Ihr Unternehmen tätig werden? Unsere Schulung „Compliance Officer“ bereitet Sie auf diese Herausforderung vor!

In welchem Verhältnis stehen Compliance und Datenschutz?

Datenschutz und Compliance ergänzen sich

Gesetze und Richtlinien im Fokus: Datenschutz und Compliance ergänzen sich.

Auch wenn bei Compliance Officern und Datenschutzbeauftragten unterschiedliche Perspektiven zum Tragen kommen, schauen doch beide Rollen auf den gleichen Gegenstand: die Einhaltung von Gesetzen und Richtlinien. Der Datenschutzbeauftragte hat hier sicherlich einen engeren Fokus und eine andere Zielsetzung als der Compliance Officer.

Im Mittelpunkt des Datenschutzes steht der Betroffene (Mitarbeiter, Kunde, Geschäftspartner) und der Schutz seiner persönlichen Daten. Im Zentrum von Compliance hingegen stehen die Vermeidung von Haftungsrisiken der Unternehmen und ebenso eine Außenwirkung durch nachweisbare Transparenz.

Da es aus verschiedenen Gründen im Interesse eines Unternehmens liegt, im Bereich des Datenschutzes compliant zu sein (vor allem die EU-DSGVO hat auf Grund der Bußgeldhöhe drastische Folgen für die Compliance-Bewertung datenschutzrechtlicher Risiken), lässt sich feststellen, dass sich die beiden Sichtweisen eher ergänzen statt zu widersprechen.

Und natürlich muss ein Compliance-Beauftragter datenschutzkonform handeln, auch wenn investigative Nachforschungen erfolgen müssen. Trotz unterschiedlicher Kompetenzen und Perspektiven, ergänzen sich diese beiden Rollen in der Praxis sehr gut und können und sollten zur Vermeidung von Haftung und Datenmissbrauch in vielen Bereichen (z. B. Schulung und Sensibilisierung der Mitarbeiter oder Audits) zusammenarbeiten.

Darüber hinaus sind sowohl gelebter Datenschutz, ein professionelles Compliance Management System als auch gut ausgebildete Mitarbeiter in beiden Bereichen ein Indikator für Transparenz und Qualität eines Unternehmens.

 

Über den Autor:

Christina Eibert ist seit März 2017 Produktmanagerin bei der DGQ Weiterbildung. Dort ist die studierte Sozialwissenschaftlerin für die Konzeption von Weiterbildungsinhalten und -formaten verantwortlich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.