Neues Datenschutzrecht vs. Compliance?

3. Januar 2018

Spätestens seit der jüngsten Finanzkrise, die neben (betriebs-) wirtschaftlichen Fehleinschätzungen vor allem durch individuelles sowie kollektives Fehlverhalten (u.a. Manipulation von Referenzzinssätzen, Verstoß gegen Embargos) geprägt war, hat die innerbetriebliche Compliance-Funktion zunächst innerhalb der Finanzindustrie in nie dagewesenem Maße an Bedeutung hinzugewonnen. Auch in der Industrie hat man spätestens im Zuge der aktuellen Verfehlungen in der Automobilbranche erkannt, dass eine effektive Compliance-Funktion geradezu essentiell für den Fortbestand eines ganzen Konzerns sein kann.
Das den obigen Beispielen jeweils zugrundeliegende Fehlverhalten führte jedes Mal zu exorbitant hohen Strafzahlungen und nicht quantifizierbaren Reputationsschäden für die betroffenen Unternehmen. Vor diesem Hintergrund scheint es nicht verwunderlich, dass Unternehmen unterschiedlichster Größe und verschiedenster Branchen ihre Compliance-Abteilungen seitdem massiv auf- und ausbauen. Dabei geht es einer effektiven Compliance-Funktion vor allem darum, durch regelmäßige sowie anlassbezogene Kontrollen das Unternehmen vor Vermögensschäden durch rechtswidriges Verhalten seiner Mitarbeiter bzw. Kunden zu schützen. Dabei ist die Compliance-Abteilung naturgemäß daran interessiert, über möglichst weitreichende Zugangs-, Einsichts- und Auskunftsrechte zu verfügen.

Doch wie verträgt sich dieser grundsätzlich zu begrüßende Trend hin zu „mehr Compliance“ mit der ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu)?

Fest steht, dass Verstöße gegen die Vorschriften der DSGVO mit Bußgeldern von bis zu vier Prozent des Vorjahresumsatzes eines Unternehmens geahndet werden können (Art. 83 Abs. 5 DSGVO). In Bezug auf den VW-Konzern mit einem Jahresumsatz in Höhe von rund 217 Mrd. Euro in 2016 würde dies ein Bußgeld von maximal rund 8,7 Mrd. Euro bedeuten. Hinzu kommen, wie auch im Falle gravierender Compliance-Verstöße, nicht quantifizierbare Reputationsschäden.
Klar ist auch, dass weder die Befolgung der jeweiligen einschlägigen Compliance-Verpflichtungen einen umfassenden Datenschutz verhindern, noch die Einhaltung der neuen Datenschutz-Normen eine effektive innerbetriebliche Compliance-Funktion unterbinden soll. Vielmehr sind diese beiden Interessen in einen angemessenen Ausgleich miteinander zu bringen. Allerdings wird sich nur in wenigen Fällen aus einer zugrundzulegenden Compliance-Vorschrift ergeben, welche Daten im Rahmen der Ausübung der Kontrollfunktion erhoben werden dürfen. Ungeachtet dessen, muss die weitere Verarbeitung grundsätzlich den Vorgaben aus der DSGVO sowie dem BDSG-neu entsprechen. Die Herausforderung für Unternehmen wird künftig also mehr denn je darin bestehen, weder gegen Compliance- noch gegen Datenschutzauflagen zu verstoßen.

Dementsprechend sollten sich Unternehmen bereits mit den drei folgenden Aspekten eingehend beschäftigt haben:

Überprüfung existierender Compliance-Maßnahmen
Der Überprüfung bereits implementierter Compliance-Maßnahmen kommt eine große Bedeutung zu, denn eine Art Bestandsschutz für bereits implementierte Kontrollpläne existiert in diesem Sinne nicht. Die Maßnahmen müssen künftig DSGVO- und BDSG-konform ausgestaltet sein. Daher ist zwingend zu prüfen, ob eine Anpassung an die neuen Regelungen erforderlich ist. Das Ergebnis der Prüfung sowie die ggf. vorgenommenen Anpassungen sind revisionssicher zu dokumentieren.

Abläufe bei künftigen Compliance-Maßnahmen (insb. Einbeziehung des Beauftragten für den Datenschutz)
Neben der Überprüfung und etwaigen Anpassung der bereits existierenden Kontrollpläne, ist ebenfalls die Einhaltung datenschutzrechtlicher Vorgaben bei der Durchführung künftiger Kontrollpläne sicherzustellen. Diesbezüglich erscheint es geboten, den Beauftragten für den Datenschutz in den Prozess der Erstellung jedes neuen Kontrollplanes mit einzubeziehen. Dies gilt umso mehr, wenn es sich bei der Compliance-Maßnahme nicht um eine regelmäßige Kontrolle, sondern um eine einzelfallbezogene außerordentliche Investigativ-Maßnahme handelt. Die Einbeziehung des Beauftragten für den Datenschutz selbst, aber auch die Art und Weise sind im Form von internen Richtlinien/Arbeitsanweisungen festzulegen.

Angemessene Ausstattung des Beauftragten für den Datenschutz
Vor allem mit Blick auf die neue potentielle Tragweite datenschutzrechtlicher Verstöße erscheint es doch sehr verwunderlich, warum eine Vielzahl von Unternehmen sich noch immer nicht ausreichend mit den Auswirkungen der DSGVO und des BDSG-neu auseinandergesetzt zu haben scheint. Wie oben bereits gezeigt, werden die möglichen Bußgelder sowie Reputationsschäden bei mangelndem Datenschutz den Sanktionen im Compliance-Bereich künftig in keiner Weise mehr nachstehen. Dementsprechend und auch um einer Haftung aus § 130 Abs. 1 OWiG  zu begegnen sollte zeitnah überprüft werden, ob die Ausstattung des Beauftragten für den Datenschutz vor dem Hintergrund der gestiegenen Anforderungen noch als dem Risiko angemessen erscheint.

Kategorien: Allgemein · Beschäftigtendatenschutz · EU-Datenschutzgrundverordnung · Internationaler Datenschutz
Schlagwörter: ,