Datenschutz und Compliance – So hängen die beiden zusammen

Compliance-Manager kümmern sich um Gefahren wie Korruption, Kartellrecht, Geldwäsche, und Diskriminierung. Dabei kann das Thema Datenschutz auf der Compliance-Prioritätenliste schon mal nach unten rutschen. Gleichzeitig nimmt der Datenschutz jedoch eine Sonderrolle in der Compliance ein: Er zieht sich nämlich wie ein roter Faden durch viele Compliance-Themen. Ganz besonders wichtig wird er beim Hinweisgebersystem (Whistleblowing). Wir werfen einen Blick auf die Beziehung zwischen Datenschutz und Compliance.

Das Wichtigste in Kürze

  • Compliance bezeichnet in Unternehmen die Implementierung bestimmter Richtlinien zur Einhaltung (gesetzlicher) Vorgaben. Dazu gehören eindeutig auch Datenschutzfragen.
  • Der Datenschutz beschäftigt sich mit der Umsetzung von Datenschutzvorgaben (insbesondere der DSGVO) und somit mit dem Schutz personenbezogener Daten.
  • Datenschutz erfordert mitunter die Implementierung geeigneter Governance-Strukturen sowie Prozesse zur Einhaltung datenschutzrechtlicher Vorgaben. Hier kann ein Datenschutzbeauftragter ggf. von bestehenden Compliance-Managementsystemen profitieren.
  • Andersherum spielt der Datenschutz in vielen anderen Compliance-Themen eine große Rolle, zum Beispiel bei der Implementierung eines Hinweisgebersystems. An dieser Stelle ist der Compliance-Manager auf Unterstützung durch den Datenschutzbeauftragten angewiesen.
  • Eine Kooperation von Datenschutzbeauftragtem und Compliance-Officer ist somit von Vorteil – beide Bereiche verfolgen ein gemeinsames Ziel: Bußgelder vermeiden und das Image des Unternehmens stärken.

Abgrenzung von Datenschutz und Compliance

Compliance beschreibt die Einhaltung jeglicher Richtlinien und Gesetze in einem Unternehmen. Das bedeutet, dass Compliance-Manager sich um regelkonformes Verhalten in allen Geschäftsbereichen kümmern müssen – von den Einstellungsprozessen der Personalabteilung über Spesenabrechnungen im Vertrieb bis hin zur Einhaltung der Datenschutzgrundverordnung (DSGVO) in allen Abteilungen.

Datenschutz bezieht sich immer auf den Schutz personenbezogener Daten. Seit Mai 2018 ist die EU-DSGVO neben dem Bundesdatenschutzgesetz (BDSG) die rechtliche Grundlage für den Datenschutz in Europa. Der Datenschutz ist also ein Compliance-Thema.

Vorteile für Unternehmen durch professionelles Compliance-Management

Neben der Einhaltung von Recht und Gesetz sorgt ein strukturiertes Compliance-Management für Wettbewerbsvorteile. Oftmals werden größere Aufträge öffentlicher Kunden nur dann vergeben, wenn ein entsprechendes Management-System nachgewiesen wurde.

 
Compliance und Datenschutz unter einen Hut bringen - so geht's Compliance und Datenschutz unter einen Hut bringen - so geht's

Satt vom unendlichen Papierkram? 

In diesem E-Book erfahren Sie, wie Sie Compliance und Datenschutz digitalisieren und welche Plattformen sich dafür eignen.

Jetzt kostenlos herunterladen

Schnittmengen von Datenschutz und Compliance

Klar, der Datenschutz fällt komplett in den Themenbereich der Compliance. Doch auch mit den anderen Compliance-Themen gibt es spannende Überlappungen. Hier zwei Beispiele:

1. Technische und organisatorische Maßnahmen (TOM).

Die Einführung von TOM wird an verschiedenen Stellen im Unternehmen gefordert – u. a. auch in der Informationssicherheit (einem der Compliance-Risiken). Das Ziel der Informationssicherheit besteht darin, Unternehmenswerte (Assets) zu schützen.

Anders als im Datenschutz steht dabei nicht der Schutz der Menschen hinter den Daten im Vordergrund, sondern der Schutz des Unternehmens selbst. Zwar existiert kein festgelegter rechtlicher Rahmen zur Umsetzung der Informationssicherheit, allerdings gibt es internationale Normen und Richtlinien wie die ISO  27001, die gewisse Anforderungen definieren. Und eine dieser Anforderungen ist die Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz von Informationen.

In der DSGVO gibt es eine ganz ähnliche Forderung (Art. 32 der DSGVO). Demnach müssen TOM mit einem geeigneten Schutzniveau implementiert und dokumentiert werden, um personenbezogene Daten zu schützen.

Wenn ein Unternehmen sich also schon einmal um TOM zum Schutz personenbezogener Daten gekümmert hat, können diese Methoden in der Informationssicherheit „wiederverwertet“ werden. Das gelingt dann am besten, wenn Compliance-Manager und Datenschutzbeauftragter gut zusammenarbeiten und sich austauschen. Mehr dazu später.

Übrigens: Die Dokumentation der TOM ist nur eine von vielen Datenschutzdokumentationen, die in der DSGVO gefordert werden. Kennen Sie noch weitere? Laden Sie hier unsere vollständige Checkliste aller Datenschutzdokumente herunter, die in der DSGVO Erwähnung finden:

 

2. Einführung eines Whistleblowing-Systems

Die EU-Whistleblowing-Richtlinie verpflichtet Unternehmen in Europa dazu, bis Ende 2021 Hinweisgebersysteme  zu implementieren. Doch auch schon vor dem in Kraft treten dieser Richtlinie bilden Hinweisgebersysteme eine wichtige Komponente in den Säulen der Compliance. Sie sollen dafür sorgen, dass Compliance-Risiken und -Verstöße durch anonyme Hinweise von sogenannten Whistleblowern frühzeitig bekannt werden.

Doch das klappt nur, wenn die Identität der Whistleblower geheim bleiben kann. Und hier kommt der Datenschutz ins Spiel. Egal, wie ein Unternehmen sein Hinweisgebersystem umsetzt – die personenbezogenen Daten über den Hinweisgeber sind besonders sensibel und müssen dementsprechend besonders gut geschützt werden. Der Compliance-Officer sollte sich also mit dem Datenschutzbeauftragten zusammensetzen und gemeinsam ein sinnvolles Konzept ausarbeiten. Wie das aussehen könnte, verraten wir in diesem Artikel.

Verantwortlichkeiten für die Einhaltung von Compliance bzw. Datenschutz – wer kümmert sich?

Die Compliance fällt typischerweise in den Aufgabenbereich eines Compliance-Teams, an dessen Spitze ein Compliance-Officer steht. Er kümmert sich um die Einhaltung aller relevanten Gesetze, Richtlinien, Verordnungen und Selbstverpflichtungen. In der Regel übernimmt er zudem die Einführung eines Compliance-Management-Systems und geeignete mögliche Software-Tools (z. B. digitale Hinweisgebersysteme, Policy Manager, etc.).

Gesetzliche Anforderungen an die Ausbildung eines Compliance-Officers gibt es nicht, die meisten sind jedoch Juristen, können aber auch einen wirtschaftswissenschaftlichen Hintergrund haben. Im Organigramm findet man den Compliance-Officer üblicherweise der Geschäftsführung unterstellt.

Im Gegensatz dazu nimmt der Datenschutzbeauftragte (DSB) eher die Rolle eines Beraters ein. Er analysiert den aktuellen Stand der Datensicherheit im Unternehmen und stellt davon ausgehend Handlungsempfehlungen aus. Der DSB konzentriert sich auf die Umsetzung von Datenschutzgesetzen (primär sind das in Deutschland das Bundesdatenschutzgesetz und die DSGVO).

Auch der DSB sollte gut vernetzt sein, jedoch eignet sich seine Position viel eher für eine externe Stelle – d. h., dass ein Unternehmen von unabhängigen Experten bezüglich des Datenschutzes betreut werden kann. Mehr zu den Aufgaben den DSB finden Sie in diesem Artikel.

 

Compliance-Officer

Datenschutzbeauftragter

Aufgaben

  • Einhaltung aller Gesetze, Richtlinien, Verordnungen und Selbstverpflichtungen – inkl. Schulungen und Kontrollen
  • Reduktion von Haftungsrisiken
  • Einführung eines Compliance-Managementsystems
  • Auswahl geeigneter Methoden und Tools
  • Personalverantwortung für das Compliance-Team
  • Abteilungsübergreifende Kommunikation
  • Prüfung der Datensicherheit im Unternehmen
  • Beratung der Geschäftsführung zur Einhaltung der Datenschutzgesetze
  • Reduktion des Risikos von Datenpannen / Datenschutzverstößen
  • Mitarbeiterschulungen
  • Erstellung relevanter Datenschutzdokumentationen
  • Beratung des Unternehmens und Kommunikation mit den Behörden im Fall eines Datenschutzverstoßes

Ausbildung

  • I. d. R. Juristen, oft mit Weiterbildungen / Zusatzabschluss
  • Seltener wirtschaftswissenschaftlicher Hintergrund oder Hintergrund im Risikomanagement
  • Oft Juristen oder IT-Spezialist mit entsprechender Weiterbildung

Wem unterstellt?

Normalerweise der Geschäftsführung unterstellt

Der DSB ist gemäß der DSGVO nicht weisungsgebunden

Benennung gesetzlich vorgeschrieben?

Nein, auch der Aufgabenbereich ist nicht konkret gesetzlich vorgeschrieben und hängt sehr vom jeweiligen Unternehmen und der einzuhaltenden Regeln ab.

Für die meisten Unternehmen ja, mehr Informationen hier. Die DSGVO regelt auch den Aufgabenbereich des DSB recht detailliert.

Beschäftigungs-verhältnis

Fast immer eine interne Position, allerdings bieten mittlerweile auch Kanzleien einen externen Service an (z. B. für Unternehmen, die noch nicht sicher sind, ob sie die Position intern besetzen möchten)

Interne oder externe Position denkbar, je nach Anforderungen des Unternehmens. (Mehr Infos zum Vergleich interner vs. externer DSB hier). Ein interner DSB genießt einen besonderen Kündigungsschutz.

Compliance und Datenschutz unter einen Hut bringen - so geht's Compliance und Datenschutz unter einen Hut bringen - so geht's

Satt vom unendlichen Papierkram? 

In diesem E-Book erfahren Sie, wie Sie Compliance und Datenschutz digitalisieren und welche Plattformen sich dafür eignen.

Jetzt kostenlos herunterladen

So können Compliance-Officer und Datenschutzbeauftragter zusammenarbeiten

Wie wir bereits an den Beispielen des Hinweisgebersystems und der Informationssicherheit gezeigt haben, betrifft der Datenschutz so ziemlich alle Unternehmensbereiche und nimmt auch auf die Struktur der Compliance großen Einfluss. Das bedeutet, dass ein gewissenhafter Compliance-Officer sich immer auch mit dem DSB austauschen wird – und andersrum. Eine solche Kooperation hat viele Vorteile:

  • Bereits implementierte Prozesse und Methoden im Datenschutz (Stichwort: TOM) können in anderen Compliance-Themen (wie der Informationssicherheit) adaptiert werden
  • Das vom Compliance-Officer aufgestellte Compliance-Management-System kann eine Hilfestellung für die Entwicklung eines Datenschutz-Management-Systems sein oder dieses ggf. ganz mit integrieren
  • Durch starke Datenschutzmaßnahmen können Hinweisgeber geschützt werden – eine gesetzliche Anforderung der Hinweisgeberrichtlinie
  • Schulungsmaterialen können ggf. ausgetauscht und gegenseitig ergänzt werden
  • Die Einhaltung der Datenschutzgesetze liegt sowohl im Interesse des Compliance-Officer als auch des Datenschutzbeauftragten – hier lohnt sich also jedwede Kooperation

Fazit

Datenschutz und Compliance können geschickt miteinander verbunden werden. Dabei sollten insbesondere die bestehenden Gemeinsamkeiten in den vorhandenen Management-Systemen definiert und genutzt werden. So werden umfassend gesetzeskonforme Prozesse geschaffen, die sich auch nach außen bemerkbar machen. Für Unternehmen ergeben sich dadurch langfristige Wettbewerbsvorteile, Kunden und Interessenten fassen Vertrauen und nicht zuletzt werden Bußgelder durch Datenpannen oder missachtete Richtlinien vermieden.

Für mehr Informationen zur Umsetzung von Datenschutz und Compliance stehen Ihnen unsere Experten zur Verfügung. Sprechen Sie uns an. Wir beraten Sie gerne!

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

Privacy
InfoSec
Consent Management
General enquiry
Whistleblowing
Compliance
0-25
26-250
251-500
501-2000
2001-10000
>10000