Datenschutz und Compliance

Widerspruch oder Ergänzung?

Dr. Christian Kühl

Die öffentlichen Meldungen und Verurteilungen zu Geldwäsche, Preisabsprachen und Datenmissbrauch (z. B. Kundendatenklau, Firmenspionage à la NSA) haben das Thema Compliance und Datenschutz stärker in den Fokus der Öffentlichkeit gerückt. Die Schäden allein durch Wirtschaftskriminalität in Deutschland sind immens und lagen in 2013 bei ca. 3,8 Mrd. Euro laut dem Bundeslagebericht des Bundeskriminalamtes. [1] Die Diskussionen in den Firmen zu den zunehmenden Vorschriften und Gesetzen zeigen, dass manche Bereiche sich ergänzen und andere Bereiche sich überschneiden bzw. abgrenzen. Wie sieht es nun mit Compliance und Datenschutz aus? Ist Compliance nicht nur Wein in neuen Schläuchen, in die alles was die Rechtsabteilungen und der Datenschutz u.a. gemacht haben, gesammelt und neu verpackt werden kann?

Die steigenden Erwartungen an Sicherheit von Geschäftspartnern und Kunden, bezogen auf den Datenschutz (Bundesdatenschutzgesetz BDSG, Vorratsdatenspeicherung, TKG, …) sowie neue rechtliche, nationale und internationale Regelungen (KWG, GWG, UK Bribery Act, FCPA, …) gegen Bestechung und Korruption bedürfen ausgefeilter Sicherungssysteme. Firmen sind gesetzlich aufgefordert, diese Sicherungssysteme zu installieren, um wesentliche Firmenrisiken zu reduzieren und mögliche Lücken beim Datenschutz frühzeitig aufzudecken (siehe Abbildung 1). Bei Missachtung drohen den betroffenen Unternehmen neben Image– und Reputationsschäden auch Bußgeldzahlungen bis maximal 10% des Konzernumsatzes. Ebenso gravierend sind die Folgen von Pflichtverletzungen für Führungskräfte: Sie haften nicht nur bei eigenen Regelverstößen, sondern auch für die Verstöße ihrer Mitarbeiter und als Firma auch für Partner und Lieferanten.

Steuerung von Risiken mit Compliance und Datenschutz

Während die Grundtugenden des deutschen Ingenieurs sich mit den Begriffen messen, steuern und regeln beschreiben lassen, gelten im Bereich Compliance einschließlich Datenschutz die Tugenden Prävention, Detektion und Reaktion (Siehe Abbildung 1).[2]

Abbildung 1: Datenschutz und Compliance: Strategische Steuerung von Risiken

Das Drei-Säulen-Modell beschreibt die Notwendigkeit, sich im Vorfeld schon mit den Risiken zu befassen, regelmäßig die Performance zu prüfen und bei Auffälligkeiten einzuschreiten und nachzubessern. Es ist ein lernender und sich optimierender Regelkreislauf.

Die erste Säule der Absicherung gegen Rechtsverletzungen sind konzernweit bindende Richtlinien und Verfahren, die den Datenschutz einschließen. Diese Elemente sind an alle Mitarbeiter und in Teilen auch Partner und Lieferanten durch Schulungen, Training oder persönliche Beratungsgespräche zu kommunizieren und die Durchführung sollte für den späteren Nachweis dokumentiert werden. Dieser Nachweis wird zunehmend von vielen Kunden ebenfalls zur Absicherung gefordert. Bei Ausschreibungen wird dieser Bereich neuerdings oft zu einem nicht zu unterschätzenden Auswahlkriterium, das die Ampel leicht auf Rot setzt. Viele Kundendaten werden durch eigene Mitarbeiter entwendet und deshalb ist der schriftliche Nachweis einer Schulung und Belehrung für ein späteres Gerichtsverfahren und Schadensersatz wichtig.

Die zweite Säule dient als Frühwarnsystem und soll spezifische Rechtsrisiken und -verstöße frühzeitig erkennen. Das lässt sich am besten durch regelmäßige Risikoanalysen und Überprüfungen/Audits sicherstellen. Schadensvermeidung durch regelmäßige und frühzeitige Überprüfung ist anfangs schwer vermittelbar, weil man nur die Kosten sieht. Wer dieses Kontrollsystem jedoch als Firma nicht hat, der macht es anderen Menschen leicht, einen Schaden zu veranlassen. Die Rechtsprechung hält es zunehmend für verantwortungslos, wenn Firmen diese Kontrollen nicht durchführen und Versicherungen sind oft nicht bereit, den entstandenen Schaden wegen Fahrlässigkeit zu begleichen.

Die dritte Säule stellt den „proof of concept“ dar. Aufgedeckte Fälle müssen überprüft werden, die Ursachen sind zu ermitteln und sollten in das System zurückgespielt werden, um es zu verbessern. Wenn diese Fälle auftreten und es wird nicht nachgebessert, dann steht die Geschäftsführung wegen Unterlassung wieder in der Verantwortung.

Compliance Verantwortlicher oder Datenschutzbeauftragter - wo liegt der Unterschied?

Einen Datenschutzbeauftragten gibt es schon lange in den Firmen und seine Aufgaben sind im BDSG klar definiert. „Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin“. (§4g(1) BDSG). Seine Aufgaben sind:

• die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,
• die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. [3]

Die Verantwortung für die Einhaltung der Vorschriften verbleibt bei der Unternehmensleitung. Der Datenschutzbeauftragte berichtet direkt an die Unternehmensleitung, er hat keine Weisungsbefugnis, sondern klärt auf, sensibilisiert, überzeugt, ist zur Verschwiegenheit hinsichtlich der Identität Betroffener verpflichtet und erstellt einen Bericht an die Unternehmensleitung.

Der Compliance Beauftragte ist erst mit den großen Betrugsskandalen in die Firmen eingezogen und ist zuständig für die Sicherstellung der Einhaltung gesetzlicher Vorschriften. Das Aufgabengebiet eines Compliance Beauftragten umfasst im Gegensatz zu den meisten anderen Arbeitnehmern insbesondere die Verhinderung von Rechtsverstößen und Straftaten, die aus dem Unternehmen heraus begangen werden. Er klärt auch auf und schult, hat aber eine verstärkte Kontrollfunktion. Er ist verpflichtet, Fehlverhalten aufzudecken, bekannt zu machen, zu korrigieren und im Bedarfsfall die Verantwortlichen zu sanktionieren. Seine Berichtslinie endet heute zwar oft bei dem Leiter Recht, zunehmend jedoch auch direkt bei der Geschäftsleitung und in einigen Fällen sogar als Vorstandsressort. In dieser Abhängigkeit entscheiden sich auch seine Weisungsbefugnisse bzw. die Folgen einer fehlenden Nichtzustimmung.

Bezogen auf Datenprozesse und Datenschutz hat der Datenschutzbeauftragte die Aufgabe, Prozesse zu optimieren und Empfehlungen abzugeben, während der Compliance Beauftragte sicherzustellen hat, dass die Verpflichtungserklärungen für den entsprechenden Prozess unterzeichnet sind, regelmäßig überprüft werden und Fehler korrigiert werden.

Compliance und Datenschutz haben also unterschiedliche Rollen, die sich in der Wirkung jedoch ergänzen. Der Datenschutzbeauftragte legt den Fokus auf Optimierung, Empfehlung und Information während der Compliance Beauftragte die Einhaltung, Kontrolle und Sanktionierung im Auge hat. Beide tragen jedoch gemeinsam mit Prävention, Detektion und Reaktion zur Risikominimierung einer Unternehmung bei.

ANXO. Wir verändern Ihre Welt.