Compliance im Rahmen der DSGVO

Verzahnung von Compliance und Datenschutz?

Die Bereiche Compliance und Datenschutz rücken nun im Rahmen der DSGVO eng zusammen. Beide Bereiche wurden bisher in der Praxis stark voneinander getrennt – sowohl im Bereich Aufsicht als auch im Rahmen der fachlichen Belange. Dennoch ist faktisch eine enge Verzahnung gegeben:

So kommt Compliance nicht um eine Datenschutzrichtlinie herum und Compliance muss sich selbst im Gegenzug um „konform“ zu bleiben, bei der Erhebung und Auswertung von Daten an die (derzeit noch lokalen) Datenschutzbestimmungen halten. Dies gilt insbesondere im Rahmen von internen Ermittlungen. Fachlich gibt es hiermit enge Vernetzungen, die unumgänglich sind. Dennoch gibt es eine wesentliche Neuerung im Rahmen der DSGVO.

Neu im Rahmen der DSGVO ist, dass eine sog. Datenschutz-Compliance erstmals gesetzlich etabliert wird.

Datenverantwortliche Stellen müssen zukünftig gemäß Art. 24  DSGVO „Datenschutz-Richtlinien“ und geeignete technische und organisatorische Maßnahmen vorhalten, um die Einhaltung der Datenschutzvorschriften belegen zu können. Nach Art. 25 DSGVO ist darauf zu achten, dass sowohl die Systeme, mit denen personenbezogene Daten verarbeitet werden, sowie die entsprechenden Arbeitsabläufe datenschutzfreundlich gestaltet sind. Nach Art. 25 Nr. 3 DSGVO gilt, dass: „Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“ Hiermit kommt erneut durch die sog. Zertifizierung ein Kontrollinstrument als Compliance-Funktion hinzu. Darüber hinaus werden klare Nachweise verlangt, die belegen, dass das unternehmensinterne System konform zur DSGVO ist.

Zusätzlich werden gemäß Art. 40 DSGVO sog. „Verhaltensregeln“ als Mittel zur Einhaltung der Verordnung festgeschrieben. So heißt es in Art. 40 Nr. DSGVO: „Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.“ Das hier angewendete Prinzip ist ähnlich einem sog. Code of Conduct, welcher Verhaltensregeln normiert, und um diese einzuhalten vom Unternehmen selbst ein Kontrollsystem verlangt. Ähnlich wird nun auch hierbei vorgegangen. Selbst wenn in der DSGVO selbst nicht mit dem Wort Compliance gespielt wird, so ist dennoch offensichtlich, dass der Tenor immer wieder betont, der Verantwortliche hat für die Einhaltung der Vorschriften im Sinne der DSGVO Sorge zu tragen. Dies kann nur im Rahmen einer etablierten Datenschutz-Compliance geschehen, um die erhöhten Anforderungen zu erfüllen.

Zuvor bleibt den Unternehmen nur im Rahmen eines Datenschutz-Review Vorsorge zu treffen, um vorbereitet zu sein und rechtzeitig eine Datenschutz-Compliance aufzubauen.

Dies ist letztlich die wesentliche Neuerung für alle Beteiligten und verlangt einen enormen organisatorischen Aufwand.

 

Schreibe einen Kommentar