Datenschutz oder Compliance?11 | 10 | 17
Datenschutzbeauftragter und Compliance Officer – In welchem Verhältnis stehen diese beiden Rollen zueinander?
Datenschutzbeauftragte und Compliance Officer nehmen unterschiedliche Rollen im Unternehmen ein. Sie haben unterschiedliche Funktionen, Kompetenzen, Befugnisse und Zielsetzungen.
Doch widersprechen sich diese? Oder kann man viel eher von einem komplementären Verhältnis sprechen? Diesen interessanten Fragen möchte ich in diesem Beitrag nachgehen.
Das macht ein Datenschutzbeauftragter
Sucht man im Bundesdatenschutzgesetz (neu) nach den Aufgaben des Datenschutzbeauftragten, findet man unter § 7 folgende Aspekte:
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
1. Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;
2. Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;
Zudem gehört zu den Aufgaben eines Datenschutzbeauftragten die Zusammenarbeit mit den Aufsichtsbehörden und die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung.
Auch in der EU-DSGVO (Abschnitt vier, Art. 39) sind die Aufgaben eines Datenschutzbeauftragten erläutert:
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
Dies bedeutet zusammengefasst, dass der oder die Datenschutzbeauftragte vor allem die Einhaltung der deutschen und europäischen Datenschutzgesetze und -vorschriften im Blick haben muss. Die Benennung eines Datenschutzbeauftragten erfolgt nicht freiwillig, sondern ist für Unternehmen verpflichtend, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden.
Um den Aufgaben nachzugehen, genießen Datenschutzbeauftragte eine besondere Stellung im Unternehmen: Sie sind direkt der Leitung des Unternehmens unterstellt und weisungsfrei. Weiterhin stehen sie unter einem besonderen Kündigungsschutz und dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Das Unternehmen ist zudem verpflichtet, die Beauftragten für Datenschutz bei der Ausführung der Aufgaben zu unterstützen. Hierzu gehören z. B. Hilfspersonal, Räume, Einrichtungen, Geräte und Mittel aber auch die regelmäßige Weiterbildung zur Aufrechterhaltung der nötigen Fachkenntnis.
Sie Interessieren sich für eine Ausbildung zum Datenschutzbeauftragten? Bei der DGQ können Sie die nötige Fachkenntnis in vier Tagen erwerben.
Das macht ein Compliance Officer
Die Aufgaben und Tätigkeitsbereiche eines Compliance Officers sind allerdings nicht so klar definiert, wie die des oder der Datenschutzbeauftragten. Im Deutschen Corporate Governance Kodex (DCGK) lässt sich zum Beispiel als Aufgabe des Vorstandes nachlesen:
4.3.1 Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.
Hierbei geht es – anders als beim Datenschutz – um alle relevanten Gesetze, Verordnungen, Richtlinien und auch Selbstverpflichtungen, die ein Unternehmen einhalten muss bzw. will. Hierunter fallen ebenso ethische Richtlinien. Ein Compliance Management System einzuführen ist zwar nicht gesetzlich verpflichtend, bringt aber erhebliche Vorteile für ein Unternehmen mit sich.
Neben der Einhaltung von Gesetzen dient die Formulierung und Überprüfung von konkreten Compliance-Zielen der Prävention von unrechtmäßigem Unternehmenshandeln und der Reduktion von Haftungsrisiken. Ein Compliance Beauftragter hat hierbei unter anderem die Aufgabe, das Compliance Management System zu implementieren und zu überwachen, präventive Maßnahmen umzusetzen und Mitarbeiter zu schulen sowie Compliance Vorfälle zu untersuchen und zu melden. Ein Compliance Management System lässt sich zudem beispielsweise nach ISO 19600 oder IDW PS 980 zertifizieren.
Sie möchten als Compliance Officer für Ihr Unternehmen tätig werden? Unsere Schulung „Compliance Officer“ bereitet Sie auf diese Herausforderung vor!
In welchem Verhältnis stehen Compliance und Datenschutz?
Auch wenn bei Compliance Officern und Datenschutzbeauftragten unterschiedliche Perspektiven zum Tragen kommen, schauen doch beide Rollen auf den gleichen Gegenstand: die Einhaltung von Gesetzen und Richtlinien. Der Datenschutzbeauftragte hat hier sicherlich einen engeren Fokus und eine andere Zielsetzung als der Compliance Officer.
Im Mittelpunkt des Datenschutzes steht der Betroffene (Mitarbeiter, Kunde, Geschäftspartner) und der Schutz seiner persönlichen Daten. Im Zentrum von Compliance hingegen stehen die Vermeidung von Haftungsrisiken der Unternehmen und ebenso eine Außenwirkung durch nachweisbare Transparenz.
Da es aus verschiedenen Gründen im Interesse eines Unternehmens liegt, im Bereich des Datenschutzes compliant zu sein (vor allem die EU-DSGVO hat auf Grund der Bußgeldhöhe drastische Folgen für die Compliance-Bewertung datenschutzrechtlicher Risiken), lässt sich feststellen, dass sich die beiden Sichtweisen eher ergänzen statt zu widersprechen.
Und natürlich muss ein Compliance-Beauftragter datenschutzkonform handeln, auch wenn investigative Nachforschungen erfolgen müssen. Trotz unterschiedlicher Kompetenzen und Perspektiven, ergänzen sich diese beiden Rollen in der Praxis sehr gut und können und sollten zur Vermeidung von Haftung und Datenmissbrauch in vielen Bereichen (z. B. Schulung und Sensibilisierung der Mitarbeiter oder Audits) zusammenarbeiten.
Darüber hinaus sind sowohl gelebter Datenschutz, ein professionelles Compliance Management System als auch gut ausgebildete Mitarbeiter in beiden Bereichen ein Indikator für Transparenz und Qualität eines Unternehmens.
DGQ-Weiterbildung zum Compliance Officer
In der DGQ-Weiterbildung zum Compliance Officer erhalten Sie einen Überblick über gesetzliche Compliance-Grundlagen. Sie lernen die wesentlichen Compliance-Risiken in der Wirtschaft kennen. Darüber hinaus behandeln Sie vertieft die Entwicklung und Umsetzung wirksamer Schutzmaßnahmen gegen Compliance-Verstöße. Sie erhalten alle erforderlichen Instrumente, um professionell mit eingetretenen Compliance- Vorfällen umzugehen – von der Ermittlung eines Anfangsverdachtes bis hin zum Konsequenzen-Management. Jetzt anmelden »
Comments are closed.