Oftmals wird Datenschutz in Konkurrenz zu Compliance gesehen. Um mit diesem Irrglauben aufzuräumen, nutzen wir die Gelegenheit beide Bereiche gegenüberzustellen.
Der Inhalt im Überblick
Hintergrund
Die Einführung eines Compliance-Systems in einem Unternehmen ist die unmittelbare Folge von zahlreichen Skandalen großer multinational operierender Unternehmen – allen voran der Bilanzbetrug des US-Energiehandelsriesen Enron. Als Reaktion auf die mangelnde Verlässlichkeit der Berichterstattung derartiger Unternehmen, die an der Börse gehandelt werden, trat 2002 der sog. „Sarbanes-Oxley Act“ (SOX) in Kraft.
Ziel des Sarbanes-Oxley Act ist es das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen. Unternehmen sind daher u.a. dazu verpflichtet sog. Whistleblowing Hotlines einzuführen. Diese Richtlinien können gerade im internationalen Bereich dazu führen, dass Unternehmen derartige Compliance Programme auch in Europa einführen müssen.
Was ist Compliance?
Der Begriff Compliance ist zunächst schwer verständlich. In Wörterbüchern findet man Begriffe wie „Regelüberwachung“ und „Regelkonformität“. Der Deutsche Corporate Governance Kodex (DCGK) (http://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html) definiert in 4.1.3. Compliance als die in der Verantwortung des Vorstands liegende
„Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien.“
Grundsätzlich geht es bei Compliance somit um die Einhaltung aller relevanten Gesetze, Verordnungen, Richtlinien und Selbstverpflichtungen durch ein Unternehmen als Ganzes. Erfasst sind daher auch ethische Richtlinien.
Ist ein Compliance-System erforderlich?
Ein Compliance-System dient grundsätzlich zur Reduzierung interner und externer Haftungsrisiken.
Von einer Verpflichtung ein Compliance System zu schaffen kann man jedoch nicht sprechen, denn eine allgemeine Rechtspflicht gibt es nicht. Allerdings können ggf. Konsequenzen bei Verletzung der Aufsichtspflicht in Betrieben und Unternehmen nach § 130 OWiG drohen. Sieht man sich die Pflichten für Vorstände, Geschäftsführer sowie Aufsichtsräte genauer an, erscheint es jedoch ratsam ein derartiges System einzuführen:
- Verpflichtung zur sorgfältigen Geschäftsführung (§§ 93 Abs. 1 Satz 1 AktG, 43 Abs. 1 GmbH)
- Überwachungspflichten des Aufsichtsrats (§ 111 AktG)
- Persönliche Haftungsrisiken von Geschäftsführung, Vorständen oder Aufsichtsratsvorsitzenden bei Verletzung von Pflichten (§§ 93 Abs. 2, 116 AktG, 43 Abs. 2 GmbH)
- Berichtspflicht des Vorstands gegenüber dem Aufsichtsrat (§ 90 AktG)
- Verpflichtung des Vorstandes zur Einrichtung eines Überwachungssystems, das den Fortbestand von die Gesellschaft gefährdenden Entwicklungen früh erkennt (§ 91 Abs. 2 AktG)
Natürlich muss nicht gleich jedes Unternehmen ein Compliance-System einrichten. Dies hängt in der Praxis von verschiedenen Kriterien wie beispielsweise der Größe des Unternehmens, die Branche, Internationalisierungsgrad oder Börsennotierung ab.
Betrieblicher Datenschutzbeauftragter
Entscheidet sich ein Unternehmen ein Compliance-System mit Hilfe eines Compliance Officers einzuführen, ergeben sich in deutschen Unternehmen unvermeidliche Abgrenzungsschwierigkeiten zu den Aufgaben eines betrieblichen Datenschutzbeauftragten, was teilweise zu Konflikten führen kann.
Die Aufgaben und die Funktionen eines Datenschutzbeauftragten sind klar in § 4g Abs. 1 BDSG definiert:
„Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin.“
Der Datenschutzbeauftragte eines Unternehmens wirkt somit nur auf die Einhaltung des Datenschutzes hin und klärt über die datenschutzrechtlichen Risiken auf; letztendlich liegt die Verantwortung der Umsetzung jedoch in den Händen der Unternehmensleitung. Der Datenschutzbeauftrage ist nach § 4f Abs. 3 BDSG direkt der Geschäftsleitung unterstellt und in der Ausübung seiner Aufgabe weisungsfrei. Das Instrumentarium des Datenschutzbeauftragten ist geprägt durch Aufklärung, Überzeugung und Sensibilisierung – um es auf den Punkt zu bringen: Motivation, sich datenschutzkonform zu verhalten.
Konflikt: Datenschutz vs. Compliance?
Wie bereits ausgeführt, ist ein Compliance Officer eines Unternehmens dagegen für die Sicherstellung der Einhaltung gesetzlicher Anforderungen zuständig. Im Gegensatz zum Datenschutzbeauftragten liegt seine Zuständigkeit daher eher in der Kontrolle als in der Motivation / Sensibilisierung.
Natürlich muss auch ein Compliance Officer über die gesetzlichen Anforderungen aufklären, dennoch ist es seine zentrale Aufgabe mögliches Fehlverhalten festzustellen, zu korrigieren und eventuell für Sanktionen zu sorgen (Umsetzungsaudit / -kontrolle).
Ein Beispiel zur Verdeutlichung:
Ein Datenschutzbeauftragter weist darauf hin, dass die Mitarbeiter eines Unternehmens auf das Datengeheimnis gemäß § 5 BDSG zu verpflichten sind und wirkt bei der Gestaltung der Verpflichtung mit. Der Compliance Officer hingegen kontrolliert in diesem Fall regelmäßig, ob alle Mitarbeiter diese Verpflichtung unterzeichnet haben, sorgt dafür, dass fehlende eingeholt und eventuelle Fehler im Zusammentragen aller Verpflichtungserklärungen korrigiert werden.
Glücksfall: Ergänzungsmöglichkeit trotz unterschiedlicher Rollen
Der Compliance Officer ist somit klares Gegenstück zum Datenschutzbeauftragten. Trotz unterschiedlicher Kompetenzen und Zuständigkeiten löst sich der vermeintliche Konflikt des Compliance Officers und Datenschutzbeauftragten bei genauer Betrachtung jedoch auf.
Bei genauerer Betrachtung entpuppt sich der vermeintliche Konflikt nämlich als Glücksfall, denn beide Rollen können sich trotz ihrer unterschiedlichen Herangehens- und Sichtweise in der Praxis sehr gut ergänzen.
Kann ich als Compliance Officer in einem Unternehmen nur bestätigen! Toll das es mal jemand auf den Punkt bringt. Sehr guter Artikel!
Hallo,
ich würde an einigen Stellen im Artikel die Hand heben wollen.
zu gesetzlicher Pflicht für Compliance:
im WPHG gibt es eine gesetzliche Pflicht für Compliance. Ansonsten gibt es keine im Gesetz formulierte Pflicht, aber in der Rechtsprechung ist in der Urteilsbegründung (BVG, Siemens u.a.) eine fehlende Compliance.
Zu Kontrollaufgaben von Compliance:
aus meiner Sicht hat eine Compliance Stelle nicht mehr und nicht weniger Kontrollpflichten wie der DS Beauftragte. In der Regel liegt bei Compliance der Schwerpunkt in der Prävention.
Den hier dargestellten Konflikt sehe ich nicht, in einigen Unternehmen ist DS auch – richtigerweise – Teil von Compliance (Compliance umfasst zunächst die Gesamtheit aller Rechts- und Regelvorschriften, die Aufteilung im Unternehmen auf DS, Exportkontrolle, usw. ist Corporate Design von Compliance).
Der Konflikt ergibt sich m.E. beim Arbeitnehmerdatenschutz, wenn es um Untersuchung von Verdachtsfällen geht. Hier ist eine ins vorne gedachte Verantwortlichkeits- und Prozessbeschreibung zu empfehlen.
Viele Grüße
B.Rose
Frage an B. Rose: Wie lösen Sie den Widerspruch zu § 4f Abs. 3 BDSG, wenn sie den Datenschutzbeauftragten nicht unmittelbar der Leitung des Unternehmens unterstellen, sondern der Compliance-Organisation zuordnen, was durchaus ein pragmatischer Ansatz sein kann, um die Leitungsfunktion nicht mit zu vielen Direct Reports zu überlasten?
Schönen Gruß
J. Kutzim