Gratis-Download

Das aktuelle Gesetz BDSG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

Wer unter wem? Darf der Compliance-Officer Ihr Chef sein?

0 Beurteilungen
Bundesdatenschutzgesetz
Urheber: psdesign1 | Fotolia

Von Andreas Würtz,

Gerade in größeren Unternehmen wird im Zusammenhang mit der Umsetzung der ab 25.5.2018 verbindlichen Datenschutz-Grundverordnung (DS-GVO) vieles auf den Prüfstand gestellt. Das betrifft nicht nur die Verfahren zur Verarbeitung personenbezogener Daten. Auch in Sachen Organisation von Compliance und Datenschutz stellt man vielleicht Überlegungen an. In einem entsprechenden Gespräch sollten Sie die folgenden Aspekte einbringen:

1. Aspekt: Sie unterliegen grundsätzlich keinen Weisungen

Wenn Sie in das Bundesdatenschutzgesetz (BDSG) schauen, wird schnell klar: § 4f Abs. 3 Satz 2 BDSG bringt zum Ausdruck, dass Sie in Ausübung Ihrer Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei sind. Das heißt konkret, dass niemand Ihnen vorschreiben darf, ...

  • ... wie Sie einen Sachverhalt datenschutzrechtlich bewerten: Wie Sie die Rahmenbedingungen der Zulässigkeit einer Verarbeitung personenbezogener Daten bewerten, bleibt Ihnen überlassen. Sie wenden Ihr Fachwissen an, idealerweise orientiert am Persönlichkeitsrecht und einschlägiger Rechtsprechung. Auch die Sichtweisen von Datenschutzaufsichtsbehörden, Datenschutzverbänden oder einschlägige Fachliteratur und -meinungen können Orientierung bieten. An Vorgaben, wie Sie einen Sachverhalt zu bewerten haben, sind Sie nicht gebunden. Dabei kommt es nicht darauf an, von wem eine solche Vorgabe oder „Weisung“ im Unternehmen kommt.
  • ... wie Sie Ihre Arbeit organisieren: 
Grundsätzlich können Sie selbst bestimmen, wie Sie organisatorisch Ihren Aufgaben nachkommen. Sie können beispielsweise Prüfungen standardisieren, Checklisten entwerfen oder Schulungsunterlagen erstellen, wie Sie dies für richtig und erforderlich halten.
  • ... welche Schwerpunkte Sie setzen: Wann Sie welche Verarbeitung personenbezogener Daten prüfen, welche Prüffragen Sie stellen, in welcher Tiefe Sie prüfen und welche Schlussfolgerungen Sie aus einer Prüfung ziehen, 1 bleibt Ihre Entscheidung. Auch wenn es darum geht zu bewerten, welche Datenverarbeitungen ein Risiko darstellen, brauchen Sie grundsätzlich nicht auf andere hören. Dabei gilt: Trägt man einen Wunsch an Sie heran, können Sie dem entsprechen, wenn Sie es für sinnvoll halten. Sie müssen aber nicht.

Wichtig: Auch mit Geltungsbeginn der DS-GVO wird sich hieran kaum etwas ändern. Nach Art. 38 Abs. 3 Satz 1 DS-GVO ist sicherzustellen, dass Sie bei der Erfüllung Ihrer Aufgaben keine Anweisungen bezüglich der Ausübung Ihrer Aufgaben erhalten. 2

2. Aspekt: Direkter Zugang zur Unternehmensleitung muss sein

Es muss auf jeden Fall gewährleistet sein, dass Sie in Fragen des Datenschutzes direkten Zugang zur Unternehmensleitung n haben. Dadurch wird beispielsweise vermieden, dass wichtige Informationen zum Datenschutz nur „gefiltert“ oder gar nicht bei den Verantwortlichen ankommen. Auch das Zwischenschalten eines Compliance-Officers dürfte unzulässig sein. Schließlich wäre man dann „incompliant“. Es wäre ein Verstoß gegen § 4f Abs. 3 Satz 1 BDSG und zukünftig gegen Art. 38 Abs. 3 Satz 3 DS-GVO gegeben.

Rechtsinfo: Grundsätzlich machbar ist, dass man Sie disziplinarisch einer anderen Stelle zuordnet, etwa dem Compliance-Officer. Dieser kann dann beispielsweise die Budgetverantwortung tragen und etwa über die Gewährung von Urlaub oder Dienstreisen entscheiden. Fachlich einmischen darf er sich nicht. Er kann allenfalls seine Sicht der Dinge darstellen. Diese Sicht müssen Sie jedoch nicht übernehmen.

Anzeige

 

3. Aspekt: Es darf zu keinem Interessenskonflikt kommen

Wenn man sich zur Organisation der Aufgabengebiete Compliance und Datenschutz Gedanken macht, muss man einem Punkt »Ihre fachliche Unabhängigkeit muss gewahrt sein« besondere Beachtung schenken. Durch die Ausgestaltung der Organisation darf es einerseits nicht zu einer negativen Beeinflussung der Arbeit des Datenschutzbeauftragten kommen. Dies könnte beispielsweise auch bei rein disziplinarischen Fragen der Fall sein, wenn der vorgesetzte Compliance-Officer eine notwendige Reise zur Durchführung eines Datenschutzaudits an einem anderen Unternehmensstandort blockiert.

Andererseits muss bedacht werden, dass etwa Vergütungs- und Karriereentscheidungen den Datenschutzbeauftragten in einen Interessenskonflikt bringen können, wenn der vorgesetzte Compliance-Officer über diese „personellen“ Fragen entscheiden darf. Hier muss die Entscheidung bei der Unternehmensleitung bleiben.

Verschiedene Organisationsmodelle: Es kommt auf den Einzelfall an


Generell lassen sich Vorteile (z. B. Synergien, mehr Bedeutung für das Thema) und Nachteile (z. B. Einschränkung der Unabhängigkeit, organisatorischer Zusatzaufwand, höhere Kosten) für alle denkbaren Organisationsmodelle finden. Wichtig ist, dass diese im konkreten Fall analysiert werden. Stellt man bei einem favorisierten Modell Nachteile fest, muss versucht werden, diese auszugleichen. Dabei ist besonders wichtig: Beispielsweise Aufgaben, Zuständigkeiten, Organisation, Zuordnung, Berichtswege, Entscheidungskompetenzen sollten schrftlich festgelegt und von der Unternehmensleitung verabschiedet werden.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!

Jobs