ABKÜRZUNGSVERZEICHNIS
1 EINLEITUNG
1.1 RELEVANZ DES THEMAS UND PROBLEMSTELLUNG
1.2 ZIELSETZUNG DER ARBEIT
2 BEGRIFFLICHE UND KONZEPTIONELLE GRUNDLAGEN
2.1 COMPLIANCE
2.1.1 Definition und Abgrenzung
2.1.2 Implementierung unternehmensinterner Compliance
2.2 EU-DATENSCHUTZGRUNDVERORDNUNG
2.2.1 Einführung der DS-GVO
2.2.2 Aufbau und Inhalte der Grundverordnung
3 UNTERNEHMENS-COMPLIANCE IM DATENSCHUTZ VOR DER EINFÜHRUNG DER EU-DATENSCHUTZGRUNDVERORDNUNG
4 COMPLIANCE-RELEVANTE MODIFIKATIONEN DURCH DIE DATENSCHUTZGRUNDVERORDNUNG
4.1 GRUNDSÄTZE DER DATENVERARBEITUNG
4.2 DATENSCHUTZBEAUFTRAGTER
4.3 RECHTE DES BETROFFENEN
4.4 SANKTIONEN
5 HERAUSFORDERUNGEN DER COMPLIANCE IN VERBINDUNG MIT DER EUDATENSCHUTZGRUNDVERORDNUNG
6 FAZIT
LITERATURVERZEICHNIS
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Die Eindämmung der neuartigen Atemwegserkrankung COVID-19 und der damit verbundenen weltweiten Pandemie stellt Unternehmen vor neue Aufgaben und Herausforderungen. Aufgrund der hohen Infektionsgefahr ist das Arbeiten von zu Hause für viele Firmen unumgänglich, wobei sich das Homeoffice auch auf den Umgang der Arbeitnehmer-Daten auswirkt.1 Dies betrifft hauptsächlich die Gesundheitsdaten der Arbeitnehmer, währenddessen jedoch die Verarbeitung der Daten durch den Arbeitgeber gemäß Datenschutzgrundverordnung nicht zulässig ist. Allerdings ist es - mit Blick auf die Eindämmung sowie der Einleitung weiterfolgender Schritte (Tests oder Behandlungen) - gemäß Art. 9 II b) möglich, Gesundheitsdaten im Fall von Corona zu übermitteln.
Besonders in Krisenzeiten wie diesen ist zu beobachten, dass ein enormer Fokus auf digitale Lösungen gesetzt wird, um einen schnelleren Weg aus dem Lockdown zu gestalten.2 Als Beispiel ist hierzu die Tracing-App „COVIDSafe“ anzuführen. Mittels der App wird versucht, Infektionsketten in der Entstehung zu hindern, wobei Nutzer über den Infektionsfall gespeicherter Kontakte per Nachrichten informiert werden. Eine weitere Maßnahme, welche ebenfalls unter dem Gesichtspunkt des Datenschutzes betrachtet werden kann, ist die Ausstellung eines digitalen Corona-Ausweises. Mit Hilfe von Blockchain-Technologie wird - ebenfalls in Form einer App - ein Nachweis über den Krankheitsstatus des Ausweisinhabers dokumentiert. Mögliche Statusausprägungen können dabei eine überstandene CO- VID-Infektion oder ein negativer Test sein.
Es ist bei den zuvor genannten digitalen Lösungen darauf zu achten, dass diese technischen Applikationen wenige personenbezogene Daten verarbeiten und diese zudem den Anwender vor Missbrauch schützen. Der dafür geltende Grundsatz „Privacy by Design“ (Datenschutz durch Technikgestaltung) - siehe Kapitel 4.1 - ist im entsprechenden Art. 25 DSGVO einzusehen und sieht dazu die Integration des Datenschutzes bereits bei Datenverarbeitungsvorgängen vor.3
Die wachsende Bedeutung des Datenschutzes ist immer deutlicher zu erkennen. Unternehmen stehen weitestgehend Herausforderungen gegenüber, wenn es sich sowohl um die Einhaltung der vorgegebenen Datenschutzgrundverordnungen als auch deren Integration in die unternehmensinterne Compliance handelt. Herausforderungen in Form von Schutz personenbezogener Daten sowie Sanktionen bei Nichteinhaltung sind als Beispiele der Handlungsfelder von Unternehmen zu nennen.
Die Arbeit und die damit verbundenen Untersuchungen stützen sich primär auf die Fragestellung, inwieweit sich die Einführung der EU-Datenschutzgrundverordnung (DS-GVO) auf die Compliance in Unternehmen auswirkt.
Mit Hilfe aktueller Medienberichte soll dazu zunächst die Relevanz des Themas aufgegriffen werden. Um weitergehend ein Verständnis für die Thematik zu erhalten, werden dazu sowohl Compliance als auch die EU- Datenschutzgrundverordnung näher definiert, wobei die Auffassung von Compliance abgegrenzt und die Einführung von unternehmensinterner Compliance hervorgehoben wird. Zudem werden die Hintergründe, Aufbau und Inhalt der DS-GVO konkretisiert.
Ausgehend vom konzeptionellen Rahmen der Arbeit wird die Unternehmens-Com- pliance im Datenschutz dargestellt, wobei auf die Gesetze des Bundesdatenschutzgesetzes alte Fassung (BDSG a.F.) verwiesen wird, um die unternehmensbezogene Situation vor der Einführung der Datenschutzgrundverordnung zu präzisieren. Den Kern der Arbeit bildet die Analyse der Compliance-relevanten Vorschriften, welche die Unternehmen als datenschutzrechtliche Pflichten gemäß den Gesetzen der eingeführten DSGVO erfüllen müssen. Diesbezüglich werden ausgewählte Artikel der DSGVO auf Compliance-Relevanz hin überprüft, um die Verschärfungen, welche sich aus den wiedergegeben Artikeln des DSGVO ergeben, aufzuzeigen.
Ergänzend ist die Abbildung der Herausforderungen, welche sich für die Daten- schutz-Compliance innerhalb von Unternehmen ergeben, angestrebt, wobei diese anhand von Praxisbeispielen verdeutlicht werden.
Aufgrund der kontinuierlich wachsenden Prozesse im Rahmen des Datenschutzes, ist es abschließend möglich, eine Vielzahl von weiteren Präventionsmaßnahmen zu generieren, um zukünftige Verstöße im Bereich der Datenschutz-Compliance zu vermeiden.
Um die Verschärfung der Compliance aufgrund der neuen Datenschutzgrundverordnung erörtern zu können, werden zunächst die beiden Schlüsselbegriffe „Com- pliance“ sowie „Datenschutzgrundverordnung“ erläutert.
Das Thema der Compliance ist fest in der täglichen Unternehmenspraxis verankert und hat sich innerhalb kürzester Zeit zu einem häufig verwendeten Diskussionsgegenstand etabliert. Eine einheitliche Definition des Begriffes Compliance hat sich dabei bislang weder in der Literatur noch in der Praxis durchgesetzt.
Der terminologische Ursprung der Compliance ist dem Umfeld der Medizin zu entnehmen und dort anerkannt.4 Der Zusammenhang zur Compliance wird hier als die Einhaltung der durch den Arzt vorgeschriebenen Therapievorgaben beschrieben. Werden die Vorgaben des Arztes durch den Patienten eingehalten, wird dies als Therapietreue und das Verhalten als „compliant“ angesehen. Dem gegenüber steht die Non-Compliance durch z.B. Nichteinhaltung der angesetzten Therapie, wodurch mögliche hohe Kosten entstehen oder letztlich der Tod des Patienten zur Folge getragen wird.
Stellt man den rechtlichen Bezug der Compliance dar, so besitzt der Begriff seinen Ursprung innerhalb des US-amerikanischen Finanzsektors im Rahmen aufsichtsrechtlicher Vorgaben.5 In Deutschland wird der Compliance-Gedanke und dessen Implementierung als Funktion Anfang der 1990er Jahre in den Bereichen des Bank- und Kapitalmarktsektors sichtbar und zeigt sich in der Durchsetzung des US-amerikanischen Standards.
Der Begriff „Compliance“ ist zunächst dem angelsächsischen Sprachraum entnommen und der deutschen Rechtssprache beigefügt worden, wobei eine einheitliche Übersetzung nicht existiert. Im engeren Sinne wird dabei die Bezeichnung vom englischen Verbum „to comply“ abgeleitet und u.a. als einhalten und befolgen aus den gängigen Wörterbüchern übersetzt.6 Ebenso wird Compliance als „regelgerechtes, vorschriftsgemäßes, ethisch korrektes Verhalten“7 verstanden. Ähnlich erläutert HAUSCHKA den Begriff Compliance als „Einhaltung, Befolgung, Übereinstimmung, Einhaltung bestimmter Gebote“.8
Um das Compliance-Verständnis im weiten Sinne aufzugreifen, wird durch den Deutschen Corporate Governance Kodex (DCGK) der Ansatz einer Legaldefinition zur Leitung und Überwachung von Unternehmen vorgestellt.9 Das Verständnis von Compliance greift hierbei die Rolle des Vorstandes auf, dieser hat nach der Präzisierung des DCGK „für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance)“.10 Die Definition des DCGK findet in der Unternehmenspraxis eine häufige Anwendung.
Aufgrund der datenschutzrechtlichen Thematik der Arbeit, wodurch gesellschaftliche Verantwortung und korrektes Verhalten gegenüber Mitarbeitern, Kunden, Geschäftspartnern etc. impliziert wird, sind die nachfolgenden Erläuterungen der Arbeit mit Blick auf die Definition des DCGK verfasst.
Ausgangspunkt für die Implementierung eines Compliance-Management-Systems ist die Entscheidung zur Verankerung einer Compliance-Kultur im Unternehmen. Zumeist ist die Befassung mit der Thematik der Compliance auf einen Auslöser zurückzuführen.11 Durch bereits bestehende Compliance-Vorfälle, inhärent hohe Sanktionen, erhoffte Haftungsausschlüsse und darüber hinaus durch den Aufstieg zu einem börsennotierten Unternehmen wird der Gedanke zur Einrichtung eines Compliance-Management-Systems (CMS) gefestigt.
Auch zu erwähnen ist, dass nicht Mitarbeitereinschüchterung und -kontrolle die Treiber für unternehmensinterne Compliance-Maßnahmen darstellen, sondern die Vermeidung von Pflichtverletzungen und Einhaltung von Bestimmungen als Gründe dafür agieren.12 Im Fokus stehen hierbei die Vermeidung von Risiken, Haftungen sowie Reputationsschäden. Zugleich wird mit Hilfe arbeitsrechtlicher Compliance die Einhaltung von Handlungs- und Organisationspflichten forciert und zudem die Aufklärung von rechtswidrigem Verhalten erleichtert.
Der Prüfungsstandard PS 980 des Instituts der Wirtschaftsprüfer (IDW) gibt eine grobe Auskunft über die Ziele, welche - basierend auf allgemeinen Unternehmenszielen und Analyse bedeutsamer Regeln - mit dem Compliance-Management-System erreicht werden sollen. Ebenso wurden mit Hilfe des 2014 veröffentlichten ISO Standards 19600 „Compliance management systems“ weltweit einheitliche Rahmenbedingungen für Compliance-Management-Systeme geschaffen.13 Der Standard enthält Empfehlungen zur Organisation, der Implementierung und dem Betrieb eines CMS. Die Planung für die Gestaltung eines CMS im Unternehmen muss daher das Optimum zwischen Risikomanagement und -begrenzung als auch die Vermeidung von effizienzreduzierenden Überregulierungen berücksichtigen.14
Die Ausgestaltung eines Compliance-Management-Systems ist abhängig von der konkreten Unternehmenslage, da die operativen Geschäftstätigkeiten hinsichtlich Größe und Umsatz als auch die Komplexität und das Risikogehalt der Geschäftstätigkeit einen wesentlichen Einfluss besitzen.
Die Möglichkeit zur Darstellung eines wertorientierten Compliance-Management- Systems kann innerhalb eines Vier-Stufen-Prozesses dargestellt werden. Zu Beginn des Prozesses werden zunächst die Unternehmenswerte und -grundsätze definiert.15 Kodifiziert werden innerhalb dieser ersten Stufe somit die Grundwerte-Erklärung, die Formulierung der Vision, Mission und des Value Statements als das Aufsetzen eines Verhaltenskodex für das Unternehmen.
In der zweiten Stufe werden - im Rahmen der Implementierung - Compliance- Regeln in die bestehenden Geschäftsprozesse des Unternehmens übernommen sowie Policies und Procedures erarbeitet. Angesichts der Ausrichtung der Geschäftsprozesse auf die nun integrierte Compliance können Due-Diligence-Prüfungen von Geschäftspartnern sowie Lieferanten-Screenings vorgenommen und ferner Geschenk-Richtlinien im Unternehmen bestimmt werden.
Neben der Erarbeitung von Compliance-Regeln werden in den folgenden Stufen drei und vier die Systematisierung und Organisation des Compliance-Management- Systems abgestimmt. Ein notwendiger Schritt ist die Abstimmung der konkret für das Unternehmen genutzten Management-Instrumente, wie Trainingsprogramme für die Mitarbeiter, Anreiz- und Sanktionssysteme, Compliance-Audits oder Com- pliance-Risikobeurteilungen.
Im Zuge der Compliance-Organisation wird die Zuordnung der Compliance zu einem konkreten Vorstandsressort vorgenommen als auch der Chief Compliance Officer (CCO) benannt. Von Bedeutung sind auch die Entscheidung zur Gründung eines Compliance Committee und die Bestellung eines dezentralen Compliance- Beauftragen. Berücksichtigung findet hier der „Tone at the Top“ als einheitliche Äußerungen zur Compliance durch die Unternehmensführung. Die Compliance wird als grundlegender Bestandteil des Unternehmens wahrgenommen.
Durch die alltägliche Erhebung sowie Verarbeitung von personenbezogenen Daten sind deren Schutz vor Missbrauch für Unternehmen und deren Geschäftsprozesse von zunehmender Bedeutung. Ebenso erfordert die Zunahme von Digitalisierung und Internationalisierung die Schaffung eines einheitlichen europäischen Rechtsrahmens.
Mit dem Erlass der EU-Datenschutzgrundverordnung durch das Europäische Parlament und den Europäischen Rat am 27. April 2016 wurde ein neuer rechtlicher Rahmen zum Schutz personenbezogener Daten und des freien Datenverkehrs ver- abschiedet.16 Mit dem Beschluss des neuen Gesetzes wurde die Europäische Daten- schutzrichtline (EG-DSRl) aus dem Jahr 1995 abgelöst.17 Das Inkrafttreten der Verordnung - zwei Jahre nach dem Erlass - am 25. Mai 2018 (Art. 99 Abs. 2 DSGVO) ermöglichte es den Unternehmen, ihre zu erfüllenden datenschutzrechtlichen Pflichten umzusetzen. Anzumerken ist der besondere Rechtscharakter der DS-GVO als Verordnung. Das neue Datenschutzgesetz gilt unmittelbar, die damit verbundenen Pflichten sind somit direkt anwendbar und nicht erst durch die Mitgliedstaaten umzusetzen (Art. 288 Abs. 2 AEUV).18
Im Zusammenhang mit der neuen Verordnung wird das deutsche BDSG-neu (n.F.) - welches zugleich das BDSG-alt (a.F.) ablöst - angewandt und ist damit seit der Einführung der DS-GVO gültig.19 Die neue Fassung ergänzt und konkretisiert die Vorgaben der Grundverordnung, ohne deren Regularien zu widersprechen. Weitergehend erhält die DS-GVO, aufgrund des europäischen Rechtscharakters, Vorrang gegenüber dem nationalen Recht, wobei dies generell auch bei der zuvor gültigen EG-DSRl galt.20
Nationale Regelungen wird es allerdings zukünftig ebenso geben, da mittels einer Vielzahl von Konkretisierungs- und Öffnungsklauseln den EU-Mitgliedstaaten die Möglichkeit zur Ergänzung offensteht.21
Betrachtet man den räumlichen Anwendungsbereich im Sinne des Art. 3 DSGVO, ist die EU-DSGVO von Unternehmen einzuhalten, die Ihren Sitz in der Europäischen Union innehalten, unabhängig davon, an welchem Ort die Daten auf der Welt letztendlich verarbeitet werden.22 Der sachliche Anwendungsbereich, geregelt in Art. 2 DSGVO, bezieht sich auf die ganz, teilweise aber auch nichtautomatisierte Verarbeitung persönlich Daten, welche unmittelbar oder auch zukünftig in einem Dateisystem gespeichert werden.23
Mit der Einführung der Verordnung wird eine Harmonisierung des Datenschutzrechts in den EU-Mitgliedstaaten angestrebt, wobei zugleich die Rechte der betroffenen Personen gestärkt und präzisiert werden.24 Das Ziel der DS-GVO ist weiterhin eine konforme Legitimation der Mitgliedstaaten hinsichtlich der Überwachung und Gewährleistung der Vorschriften zum Schutz personenbezogener Daten und der damit verbundenen Sanktionsfähigkeit im Fall von Zuwiderhandlungen. Allerdings lässt die DSGVO über zahlreiche Öffnungsklauseln den EU-Mitgliedstaaten Raum zur Schaffung ergänzender nationaler Regelungen. Dadurch wird es auch zukünftig nationale Besonderheiten im Datenschutzrecht geben.
Zusammenfassend stehen ein hoher Datenschutzstandard sowie der freie Fluss von personenbezogenen Daten am Binnenmarkt im Vordergrund.25 Erzielt werden soll ein Wachstum der Datensicherheit und die Erleichterung für Datenzugang und - übertragung. Die Anwendung der Verordnung stützt sich auf die Grundlage des Datenschutzes, wobei diese den Schutz des „Datensubjekts in seinem Recht auf Informationelle Selbstbestimmung“26 beschreibt.
Ferner ist der Schutz personenbezogener Daten als Sinn und Zweck angeführt, wobei eine konkrete Begriffsbestimmung personenbezogener Daten innerhalb des Art. 4 Nr. 1 DSGVO vorgenommen wird.27 Geschützt werden gemäß des Artikel Informationen, welche sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Die im Jahr 2018 verabschiedete Datenschutzgrundverordnung setzt sich aus elf Kapiteln mit insgesamt 99 Artikeln zusammen.28 Den Kapiteln vorangestellt sind dabei 173 Erwägungsgründe, welche den Sinn und Zweck der DS-GVO konstituieren. Gestaltet ist das neue Datenschutzrecht als „Verbotsregelung mit Ergebnis- tatbeständen“.29 Ein Verbot gilt nur dann als zulässig, wenn der genannte Ergebnistatbestand vorliegt.
In den Art. 1 - 4 DSGVO - Kapitel 1 der Grundverordnung - sind die allgemeinen Bestimmungen festgelegt. Thematisiert werden der grundsätzliche Gegenstand, die Ziele, grundlegende Begriffsbestimmungen als auch der sachliche und räumliche Anwendungsbereich der Verordnung. Dem ersten Kapitel folgend werden die Grundsätze der Datenverarbeitung definiert. Neben den Regelungen zur Rechtmäßigkeit und zu den Erlaubnisvorbehalten finden sich in Art. 5 - 11 DSGVO Regelungen zur Datensparsamkeit, Transparenz und Einwilligung. Darauffolgend sind alle Rechte der betroffenen Person in den Art. 12 - 23 DSGVO zusammengefasst. Eingegangen wird besonders auf die Informationspflicht sowie das Recht auf Auskunft zu personenbezogenen Daten. Zusätzlich sind die Berichtigung und Löschung von Daten sowie die Beschränkungen durch Rechtvorschriften hinsichtlich notwendiger und verhältnismäßiger Maßnahmen definiert.
Im vierten Kapitel (Art. 24-43 DSGVO) sind die Rechte und Pflichten der Unternehmen hinsichtlich der Verarbeitung personenbezogener Daten geregelt. Hervorzuheben sind die Abschnitte bezüglich des Verantwortlichen und Auftragsverarbeiters, des Datenschutzbeauftragten sowie die Sicherheit personenbezogener Daten.
[...]
1 Vgl. hierzu und zu folgenden Sätzen Kahlen-Pappa (2020).
2 Vgl. hierzu und zu folgenden Sätzen Hamann (2020).
3 Vgl. Rieß (2019); Jandt (2017).
4 Vgl. hierzu und zu folgenden Sätzen Zenke et al. (2015), S. 85 f.
5 Vgl. hierzu und zu folgenden Sätzen Zenke et al. (2015), S. 90 ff.
6 Vgl. Langenscheidt Wörterbuch; Oxford Standardwörterbuch Englisch (2020).
7 Duden (2020).
8 Hauschka et al. (2020), §1 Rn 2.
9 Vgl. hierzu und zu folgendem Satz Hauschka et al. (2020), §1 Rn. 1.
10 DCGK, Zif. 4.1.3.
11 Vgl. hierzu und zu folgenden Sätzen Hauschka et al. (2020), §13 Rn. 3-23.
12 Vgl. hierzu und zu folgenden Sätzen Behringer et al. (2018), S. 53.
13 Vgl. hierzu und zu folgendem Satz Hauschka et al. (2020), §9 Rn. 23, PS 980 Rn. 23, 6.
14 Vgl. hierzu und zu folgenden Sätzen Zenke et al. (2015), S. 114.
15 Vgl. hierzu und zu folgenden Absätzen Wieland et al. (2020), S. 63 ff.
16 Vgl. hierzu und zum folgenden Satz Paal und Pauly (2018), Kap. A Rn. 1.
17 Vgl. Voigt und Bussche (2018), S. 2.
18 Vgl. Moos et al. (2018), S. 2; Schröder (2016), S. 204.
19 Vgl. hier zu und zu folgendem Satz Voigt und Bussche (2018), S. 4.
20 Vgl. Däubler et al. (2018), S. 37.
21 Vgl. Voigt und Bussche (2018); Paal und Pauly (2018), Kap. A Rn. 1-4.
22 Vgl. Art. 3 DSGVO.
23 Vgl. Art. 2 DSGVO.
24 Vgl. hierzu und zu folgenden Sätzen Schröder (2016), S. 203 ff.
25 Vgl. hierzu und zu folgendem Satz Däubler et al. (2018), S. 36.
26 Schröder (2016), S. 9.
27 Vgl. Voigt und Bussche (2018), S. 13.
28 Vgl. hierzu und zu folgendem Satz Paal und Pauly (2018), Kap. B II Rn. 8.
29 Wedde et al. (2019), S. 114.
