Zunehmend komplexere Vorgaben zwingen mehr und mehr Unternehmen dazu, neben dem Datenschutzbeauftragten auch einen Compliance Officer zu beschäftigen. Es stellt sich die Frage, ob die beiden Funktionsträger Synergien nutzen können oder zwingend in einem Konkurrenzverhältnis stehen.
Datenschutzbeauftragte sind mittlerweile geläufig. Unternehmen ab 20 Mitarbeiterinnen und Mitarbeitern verfügen in der Regel über einen internen oder externen Beauftragten. Für Compliance kommt auf Unternehmen ab 50 Mitarbeitern eine ähnliche Entwicklung zu. Aktueller Auslöser ist die EU-Whistleblower-Richtlinie, die Unternehmen ab 250 Mitarbeitern bereits jetzt verpflichtet, professionelle Hinweisgebersysteme einzuführen und Hinweise von einer unparteiischen, kompetenten Person zu bearbeiten. Unternehmen ab 50 Mitarbeitern haben dafür bis spätestens 2023 Zeit. Gerade kleinere Unternehmen können diese Pflicht am effektivsten erfüllen, wenn sie einen externen Compliance Officer beauftragen. Hier zeigt sich die Parallele zum Datenschutz. Doch wie kann das Zusammenspiel der beiden Beauftragten funktionieren?
Abgrenzung Datenschutz und Compliance
Die zunehmend komplexer werdenden Anforderungen an Unternehmen können nur durch ein zuverlässiges Risiko- und Kontrollmanagement bewältigt werden. Dazu tragen der betriebliche Datenschutzbeauftragte und der betriebliche Compliance Officer bei, indem sie im Unternehmen für die Einhaltung gesetzlicher Vorgaben sorgen. Die Handlungen des Datenschutzbeauftragten haben das Ziel, die Rechte und Freiheiten der durch eine Verarbeitung personenbezogener Daten betroffenen Personen zu schützen. Der betriebliche Compliance Officer wird bestellt, damit ein Unternehmen in der Lage ist, alle relevanten gesetzlichen Bestimmungen sowie selbst definierte Richtlinien einzuhalten. Darüber hinaus hat ein Compliance Officer auch die Aufgabe, zwischen dem Unternehmen und Beschäftigten zu vermitteln, falls dies zum Beispiel ein Mitarbeiter wünscht. Sowohl der Datenschutzbeauftragte als auch der Compliance Officer finden die Motivation für ihre Handlungen in dem Ziel, ihr Unternehmen vor Schaden zu bewahren, Bußgelder zu vermeiden und die stetig wachsenden sozialen und gesellschaftlichen Ansprüche an unternehmerisches Handeln weiterzuentwickeln, um den Fortbestand des Unternehmens am Markt zu sichern. Folgerichtig ist es deshalb, wenn beide Funktionsträger ihre Schnittmengen suchen und im Sinne des Unternehmens definieren. Nur gemeinsam lassen sich die bestmöglichen Synergieeffekte und Wettbewerbsvorteile durch eine Abstimmung und Bündelung ihrer Arbeit erzielen.
Der betriebliche Datenschutzbeauftragte
Der deutsche Gesetzgeber hat extensiv von seiner Spezifizierungsbefugnis aus der Datenschutz-Grundverordnung (DS-GVO) Gebrauch gemacht. Er verlangt im Vergleich mit der korrespondierenden Regelung aus der DS-GVO eine frühere beziehungsweise niederschwelligere Bestellung eines Datenschutzbeauftragten. Auch kleine und mittlere Unternehmen sind – sowohl als Verantwortliche als auch als Auftragsverarbeiter – gemäß § 38 Abs. 1 Bundesdatenschutzgesetz (BDSG) verpflichtet, einen Datenschutzbeauftragten zu bestellen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Um den Schwellenwert zu erreichen, ist es nicht erforderlich, dass der Umgang mit personenbezogenen Daten den Kern der Tätigkeit ausmacht. Vielmehr ist es ausreichend, dass im Rahmen der konkreten Tätigkeit auch mit personenbezogenen Daten umgegangen wird, wie dies bei einer Anbindung an Kommunikationssysteme wie beispielsweise Outlook oder ein Customer Relationship Management (CRM) der Fall ist. Sofern der Verantwortliche oder Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen, wie beispielsweise von Gesundheitsdaten, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder zum Zweck der Meinungs- und Marktforschung verarbeitet, ist schwellenwertunabhängig ein Datenschutzbeauftragter zu bestellen. Der Datenschutzbeauftragte hat die ihm in Art. 39 Abs. 1 DS-GVO zugewiesenen Aufgaben. Er agiert dabei weisungsfrei und unabhängig. Er berichtet dazu an die höchste Managementebene und wird in der juristischen Diskussion ausgehend von seinen Aufgaben als Anwalt der Betroffenen, verlängerter Arm der Aufsichtsbehörden und teilweise auch als Compliance Manager eingeordnet. Im Kern seines Handelns steht der Schutz der personenbezogenen Daten des Betroffenen durch die Beratung des Verantwortlichen oder Auftragsverarbeiters bei der Wahl der Mittel und Zwecke der Datenverarbeitung. Durch die gesetzgeberisch verordnete Weisungsfreiheit und den besonderen Kündigungsschutz des Datenschutzbeauftragten wird die Überwachung der Einhaltung des Datenschutzrechts beabsichtigt.
Der betriebliche Compliance Officer
Im Gegensatz dazu gibt es bis jetzt für Unternehmen – sogar für solche, die an der Börse notiert sind – bis auf Wertpapierdienstleistungsunternehmen und Versicherungsunternehmen noch keine allgemeine gesetzliche Pflicht zur Bestellung eines Compliance-Beauftragten. Deshalb fehlt es auch an einer legaldefinierten Festlegung des Aufgabenbereichs eines Compliance Officers. In Ermangelung einer Vorschrift erfolgt die Festlegung seines Aufgabenbereichs daher aktuell in der vertraglichen Aufgabenbeschreibung zwischen dem Unternehmen und dem Compliance Officer. Ohne vertragliche Einschränkung umfasst das Aufgabengebiet allgemein die Verhinderung von Rechtsverstößen, insbesondere auch von Straftaten, die aus dem Unternehmen heraus begangen werden und dem Unternehmen erhebliche Nachteile durch Haftungsrisiken oder Ansehensverlust bringen können, mithin die Einhaltung sämtlicher Rechtsvorschriften, zu deren Einhaltung das Unternehmen verpflichtet ist. In der Regel ist der Compliance Officer der Geschäftsführung oder dem Vorstand unterstellt und insoweit weisungsgebunden. Er berichtet über die von ihm erkannten Rechtsverstöße an die oberste Leitungsebene. Regelmäßig fehlt es ihm, ebenso wie dem Datenschutzbeauftragten, an einer Verbots-, Weisungs- und Anordnungskompetenz.
Ist eine Ämterkumulation sinnvoll?
Aus wirtschaftlichen Gesichtspunkten könnten vor allem kleinere und mittlere Unternehmen dazu geneigt sein, eine Vereinigung beider Aufgabenbereiche in einer Person abzubilden, um Synergieeffekte zu erreichen und Kosten zu sparen. Auch nach dem Wortlaut des Art. 39 Abs. 1 DS-GVO können dem Datenschutzbeauftragten neben den dort genannten Mindestaufgaben weitere Aufgaben übertragen werden. Dies ist aber nicht zu empfehlen, denn so, wie der Datenschutzbeauftragte Experte im Bereich Datenschutz sein muss, sollte ein Compliance Officer umfassende Expertise und Erfahrung im Bereich Compliance aufweisen. Entscheidend für die Zulässigkeit der Übertragung weiterer Aufgaben ist, ob eine bestimmte Aufgabe einen potenziellen Interessenkonflikt bei der Kontrollpflicht einerseits und der Durchführungsverantwortung andererseits auslöst. Konkret nimmt der Datenschutzbeauftragte, im hoheitlichen Interesse, den Schutz der Persönlichkeitsrechte betroffener Personen wahr. Dazu ist er mit einem starken Kündigungsschutz und einer Verschwiegenheitspflicht über Tatsachen, die ihm von betroffenen Personen mitgeteilt werden, um eine Haftung für das Unternehmen und das Management zu vermeiden, und soll dabei gleichsam die Unternehmensinteressen im Auge behalten. Ein überschießender Kündigungsschutz ist somit nicht erforderlich. Um seine Aufgaben zielgerichtet wahrnehmen zu können, ist der Compliance Officer angehalten, die sich dem Unternehmen stellenden Risiken zu überwachen und so weit als möglich auszuschließen. Dazu wird er unter anderem Kontrollsysteme einrichten, um möglichst viele, auch personenbezogene Daten zu sammeln, die Untersuchungen und eine Überwachung ermöglichen. Nach dem BDSG ist der Datenschutzbeauftragte zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit er nicht durch die betroffene Person befreit wird. Diese Regelung spiegelt wider, dass er vorrangig die Interessen der Betroffenen wahrzunehmen hat. Im Gegensatz dazu wird der betriebliche Compliance Officer kraft seines Auftrags, beispielsweise in einem Hinweisgeberfall, selbstverständlich alles zur Sachverhaltsaufklärung Notwendige veranlassen. Im Zweifel auch eine Offenlegung der Identität des Betroffenen, um möglichst Schaden vom Unternehmen abzuwenden. Naturgemäß entspricht es der Kernaufgabe eines Datenschutzbeauftragten, gerade solche Systeme, die auch personenbezogene Daten verarbeiten, zu überwachen. Hier tritt der vom Gesetzgeber nicht gewünschte Konflikt zwischen Kontrollpflicht einerseits und Durchführungsverantwortung anderseits evident hervor: Eine Abwägung der widerstreitenden Interessen der durch die Kontrollmaßnahme betroffenen Personen wird erwartbar beim mithaftenden Compliance Officer anders ausfallen als durch den Datenschutzbeauftragten. Ein Interessenskonflikt besteht, wenn Letzterer in anderer Funktion die Ergebnisse seiner eigenen Arbeit kontrollieren müsste, vergleichbar einem Richter in eigener Sache. Die dem Datenschutzbeauftragten durch den Gesetzgeber zugedachte Unabhängigkeit sollte unter allen Umständen gewahrt werden, damit es nicht zu einer zwangsweisen Abberufung durch eine Aufsichtsbehörde kommt. Vor diesem Hintergrund ist eine Ämterkumulation, also die Bestellung eines Datenschutzbeauftragten und die Beschäftigung als Compliance Officer in Personalunion, nicht zu empfehlen.
Gestaltung der Zusammenarbeit
Gleichwohl sollte im Sinn des Unternehmens die bestmögliche Zusammenarbeit des betrieblichen Datenschutzbeauftragten mit dem Compliance Officer erreicht werden. Diese Zusammenarbeit sollte neben dem allgemeinen Datenschutz auch die Bereiche der betrieblichen Sicherheit durch dem Stand der Technik entsprechende technische und organisatorische Maßnahmen (TOM) umfassen. Auch eine Implementierung und der Betrieb von Hinweisgebersystemen erfordern eine koordinierte Zusammenarbeit der beiden Schnittstellen, ebenso wie die Unterweisung und Schulung der Mitarbeiter im Compliance und Datenschutz. Um diese Zusammenarbeit zu realisieren, bieten sich verschiedene Modelle an. Es ist möglich, den Datenschutzbeauftragten in die Compliance-Organisation des Unternehmens zu integrieren, um so die Synergie zu steigern. Die Integration muss jedoch stets unter Wahrung der Weisungsfreiheit des Datenschutzbeauftragten erfolgen. Natürlich ist auch eine vollständige Trennung der Compliance vom Datenschutz möglich, um auf diese Weise die größtmögliche Kontrollfunktion innerhalb der jeweiligen sich überschneidenden Zuständigkeitsbereiche zu generieren. Die vollständige Trennung kann im Sinne der Compliance mit gesetzlichen Vorgaben sowie der Vermeidung von Schäden für das Unternehmen, trotz des etwaigen Verlusts von Synergien, durchaus auch wirtschaftliche Vorteile für das Unternehmen haben. Denn eine strenge und getrennte allgemeine Compliance kann neben der datenschutzrechtlichen Compliance wie ein doppelter Schutzschirm für ein Unternehmen wirken und so dessen Existenz auch in der Zukunft sichern.
Fazit
Letztlich kommt es wie immer auf die spezifischen Risiken und Gefahren der einzelnen Unternehmung an, wie gemäß dem risikobasierten Ansatz die Zusammenarbeit zu strukturieren ist. Im Regelfall ist die funktionale und organisatorische Trennung des betrieblichen Datenschutzbeauftragten und des Compliance Officers zu bevorzugen, weil durch das vollwertige Nebeneinander zweier Funktionsstränge ein gesteigertes Compliance-Niveau erreicht wird.
Mehr dazu
Der Datenschutzbeauftragte für Ihre Kanzlei, www.datev.de/dsb
Beratungspaket „TAX-Compliance mit System“, www.datev.de/shop/71498
Online-Seminar (Vortrag) „Rechtliche Anforderung und praktische Umsetzung eines Tax Compliance-Management- Systems (Tax-CMS)“, www.datev.de/shop/78398
Kompaktwissen Beratungspraxis: „Die EU-Whistleblower- Richtlinie und ihre praktische Umsetzung“, www.datev.de/shop/35774
DATEV-Fachbuch: „Whistleblowing – Hinweisgeberschutz im Unternehmen“, www.datev.de/shop/35857
Mandanten-Info-Broschüre: „Die EU-Whistleblower- Richtlinie und ihre praktische Umsetzung“, www.datev.de/shop/32568
