Datenschutz und Compliance im Unternehmen (2022) – Was gilt es zu beachten?

Lesedauer: 3min | Autor: Lukas Dubiel| 04.04.2021

Start » IT-Blog » Datenschutz und Compliance im Unternehmen (2022) – Was gilt es zu beachten?

Wenn wir über Datenschutz und Compliance sprechen, beziehen wir uns auf bestimmte Richtlinien, die eine Organisation befolgen muss, um die Sicherheit ihrer Prozesse zu gewährleisten.

Compliance heißt wörtlich übersetzt: „Einhaltung“ oder „Beachtung“. Es geht also um die Umsetzung und Einhaltung von Gesetzen und unternehmensinternen Richtlinien, die sich daraus ergeben. Die Aufsichtsbehörden legen für jede Regel Richtlinien fest, damit ein Unternehmen genau weiß, wie es die Compliance-Standards einhalten kann.

Jede Richtlinie, die ein Unternehmen formuliert, enthält dann detaillierte Vorgaben für den Umgang mit Daten und die digitale Kommunikation. Da es sich bei Compliance meist um Richtlinien und nicht um Gesetze handelt, gibt es bei einem Verstoß nicht direkt rechtliche Konsequenzen. Es handelt sich also vor allem um Normen, an die sich die Mitarbeiter und Stakeholder in einem Unternehmen halten sollen.

Wofür und wann ist eine Compliance im Unternehmen erforderlich?

Compliance im Unternehmen soll in erster Linie Haftungsfälle, Regelverstöße und Schadensersatzzahlungen vermeiden. Zudem soll dadurch eine interessengerechte Behandlung der Kunden gewährleistet werden.

Ob ein Compliance System im Unternehmen erforderlich oder sogar gesetzlich vorgeschrieben ist, hängt von bestimmten Faktoren ab. Eine primäre Rolle spielt die Größe des Unternehmens. Je mehr Mitarbeiter in einem Unternehmen arbeiten, desto wichtiger wird die Einführung und Einhaltung einer Compliance-Verordnung.

Ob ein Compliance-System notwendig ist, hängt auch von der Branche, der Gesellschaftsform und der Börsennotierung des Unternehmens ab. Solange sich das Unternehmen nicht im Banken- und Wertpapierhandel befindet, ist eine Compliance Abteilung meist nicht zwangsläufig vom Gesetzgeber vorgeschrieben.

Auch ein Börsengang des Unternehmens geht beispielweise immer mit rechtlichen Auflagen und neuen Pflichten einher.

Compliance vs Datenschutz – Wo liegt der Unterschied?

Compliance ist der Begriff für Richtlinien und Normen, die innerhalb eines Unternehmens aufgestellt werden. Sie sind zwischen Betrieben und Organisationen unterschiedlich.

Datenschutz ist innerhalb der EU einheitlich. Seit dem 25. Mai 2018 gilt das entsprechende Gesetz, die DSGVO (eng. GDPR), in der ganzen EU.

Die Compliance im Unternehmen muss also auf die geltenden Gesetze abgestimmt werden. Die Compliance in einer Organisation regelt jedoch auch alle anderen wichtigen Bereiche – nicht nur den Datenschutz. Unterschiede liegen auch in den Berufen, die sich aus den jeweiligen Feldern ergeben.

Der Datenschutzbeauftragte agiert als unabhängiges Organ, als Berater. Seine Aufgabe ist die Einhaltung der DSGVO im Unternehmen. Compliance Manager müssen sich um die Einhaltung aller wichtigen Richtlinien in einem Unternehmen kümmern – von Themen wie Kommunikation und Umgang mit Informationen, bis hin zu Kartellrecht und Korruption.

Bei der Überprüfung und Einhaltung der DSGVO und der internen Compliance auf den Mitarbeiter-Devices nutzen viele Unternehmen ein Mobile Device Management (MDM) System.

Schutz personenbezogener Daten durch ein Compliance Management System

Viele Organisationen haben Interesse daran, dass ihre interne Compliance funktional ist, eingehalten wird und dabei wenig Zeit in Anspruch nimmt. Dabei hilft einigen Unternehmen ein Compliance Management System.

Eine weitere Möglichkeit für eine bessere Einhaltung der Compliance zu sorgen, sind Compliance Schulungen für Mitarbeiter.

Welche Compliance Themen und Bereiche sind zu beachten?

Die Compliance-Richtlinien wirken sich auf sämtliche Unternehmensbereiche aus. Darüber hinaus sind weitere Stakeholder wie Kunden, Mitarbeiter, Dienstleister, Kooperations-Partner betroffen. Denn Sie alle kommen mit den Datenschutzfragen des Unternehmens früher oder später in Kontakt.

Compliance Programme in Unternehmen decken neben Themen wie Datenschutz auch Bekämpfung von Korruption und Geldwäsche ab. Auch die Einführung eines Whistleblowing Systems ist ein zentraler Bestandteil. Whistleblowing- oder auf Deutsch Hinweisgebersysteme regeln den Umgang mit Verstößen gegen die Compliance und den Schutz von Hinweisgebern, die diese Verstöße melden.

Bei Ausbau oder Aufsetzung einer gänzlich neuen Geschäftsabteilung sollte unbedingt darauf Acht gegeben werden, Compliance einzubeziehen und ggf. den Compliance-Beauftragten richtig einzubinden, um von Anfang ein sauberes fehlerunanfälliges System aufzubauen.

Datenschutz und Compliance mit einem Whistleblowing-System

Seit Ende 2021 gibt es in der EU-Gesetzgebung die sog. EU-Whistleblowing-Richtlinie. Diese verpflichtet Firmen in Europa dazu, ein Hinweisgebersystem einzurichten. Compliance-Risiken und -Verstöße sollen damit durch anonyme Hinweise von sogenannten Whistleblowern frühzeitig erkannt werden. Hinweisgebersysteme sind also fester Bestandteil von Compliance Systemen in Unternehmen.

Doch das klappt nur, wenn die Identität der Whistleblower geheim bleiben kann. An dieser Stelle kommt der Datenschutz ins Spiel: Egal, wie ein Unternehmen sein Hinweisgebersystem umsetzt, die personenbezogenen Daten über den Hinweisgeber sind besonders sensibel und müssen dementsprechend besonders gut geschützt werden. Der Compliance-Officer sollte sich also mit dem Datenschutzbeauftragten zusammensetzen und gemeinsam ein sinnvolles Konzept ausarbeiten

Datenschutz Compliance: Welche Daten sind besonders sensibel?

Alle personenbezogenen Daten müssen besonders sorgfältig geschützt werden. Damit gemeint sind alle allgemeinen Personendaten (Name, Adresse, Geburtstag, Telefonnummer, usw..) hinzukommen Bankdaten, Standortdaten, Daten über Krankenversicherung oder Sozialversicherung. IP-Adresse und weitere Daten über den Standort fallen ebenfalls in den sensiblen Bereich.

Informationen über Besitztum (Fahrzeugbesitz, Immobilieneigentum, Grundbucheinträge, …) gehören ebenfalls dazu. Und natürlich physische Daten über das Aussehen, die Körpergröße oder den Gesundheitszustand der Person.

Im Falle von Online-Unternehmen sind es Kundendaten über Bestellungen und Kaufverhalten, Kontodaten, Passwörter und die Anschrift.

Was macht ein Compliance-Manager bzw. Compliance Officer?

Ein Compliance Manager ist eine Art Datenschutzbeauftragter, der vor allem in größeren digital präsenten Unternehmen eingesetzt wird, um die Compliance des Unternehmens durchzusetzen und die Einhaltung zu überwachen.

In kleinen- und mittelständischen Unternehmen gibt es meist nur einen Compliance-Beauftragten, in großen Firmen und Konzernen gibt es ganze Abteilungen, in denen mehrere Compliance Officers arbeiten.

Unternehmen verwenden zur Einhaltung von interner Compliance und DSGVO Mobile Device Management Software. Eine solche Lösung erleichtert deren Einhaltung ungemein. 

Wann braucht man einen Datenschutzbeauftragten?

Laut den Vorgaben der EU-DSGVO ist ein Unternehmen ab einer Anzahl von 20 Mitarbeitern, die regelmäßig mit der Nutzung von personenbezogenen Daten beschäftigt sind, zur Benennung eines Datenschutzbeauftragten verpflichtet. Dabei ist es ratsam, eine schriftliche Benennung der Person vorzunehmen.

Ein Unternehmen ist in einigen Sonderfällen jedoch zwangsläufig zur Benennung eines Datenschutzbeauftragten verpflichtet, wenn…

  • spezielle Arten von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie, Sexualleben, Gesundheit) verarbeitet werden

oder

  • der Kernbereich des Unternehmens in der Erhebung, Verarbeitung oder sonstigen Nutzung von personenbezogenen Daten liegt.

Der Datenschutzbeauftragte unterliegt einer Verschwiegenheitspflicht und hat das Recht auf Zeugnisverweigerung.

Zudem steht der Datenschutzbeauftragte unter einem besonderen Kündigungsschutz.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Die zentrale Aufgabe von einem Datenschutzbeauftragten besteht darin, zu überprüfen, ob die datenschutzrechtlichen Bestimmungen im Umgang mit personenbezogenen Daten eingehalten werden.

Er prüft die Abläufe und Prozesse im Unternehmen und stellt sicher, dass die Compliance im Unternehmen in Übereinstimmung mit der Datenschutzgrundverordnung steht.

Werden Datenschutzverletzungen und Verstöße festgestellt, oder mögliche Gefahren zur Verletzung ausfindig gemacht, ist es die Aufgabe des Beauftragten, in Absprache mit der Geschäftsführung, Lösungen zu finden und die Fehler zu beheben.

Was ist der Unterschied zwischen IT-Sicherheit und IT Compliance

Obwohl die IT-Sicherheit in die Einhaltung der Vorschriften integriert ist, unterscheiden sich die beiden Schwerpunkte. Die Einhaltung der Vorschriften konzentriert sich auf die Cybersicherheit, die Überwachung und den Schutz der Benutzerdaten.

Die Sicherheit konzentriert sich speziell auf den Schutz von Daten, die Zuverlässigkeit von Abläufen, die Identifizierung von Schwachstellen und die Unterrichtung der Benutzer über die neuesten Trends. IT-Sicherheit umfasst alle Strategien zum Schutz der Geschäftsumgebung. IT-Compliance deckt spezifische Fragen ab und verlangt von den Unternehmen, eine definierte Infrastruktur zum Schutz der Daten einzurichten.

Beide Kategorien sind notwendig, um Daten zu schützen, aber die Einhaltung der Vorschriften ist ein Problem für Unternehmen, die die Regeln genau befolgen müssen oder mit hohen Geldstrafen rechnen müssen. Die Richtlinien für die Einhaltung von Standards mögen zwar streng sein, aber sie helfen den Unternehmen dabei, die besten Praktiken im Bereich der Cybersicherheit und des Datenschutzes zu erlernen.

Haben wir Ihr Interesse geweckt?

Nehmen Sie einfach Kontakt mit uns auf!

  Kontakt aufnehmen

Starke Partnerschaften

Sophos-Partner Logo Gold

Synology-Logo

HAMBURG
Alter Teichweg 25
22081 Hamburg
T: +49 (0) 40 899 55 99 90
F: +49 (0) 40 899 55 99 92

KÖLN
Garzweilerweg 12
50829 Köln
T: +49 (0) 221 650 88 880
F: +49 (0) 221 650 88 882

BERLIN
Hauptstraße 117
10827 Berlin
T: +49 (0) 30 887 10 233
F: +49 (0) 30 887 10 232

PALMA DE MALLORCA
Camí del Corb Marí 6
07015 Palma, Illes Balears
T: +34 (0) 34 871 180422

Öffne Chat
Hallo! Schreiben Sie uns bei Fragen gerne auf WhatsApp.