Tel:
+49 2224 9896843
Kontakt Email
c.taheri@ds-law.de
Öffnungszeiten
Mon - Fre : 09:00-17:00
Kostenlose Beratung

Compliance vs. Datenschutz

Begriff

Der Begriff der Compliance ist allgegenwärtig. Längst ist zumindest eine theoretische Akzeptanz der Notwendigkeit von Compliance-Maßnahmen im Unternehmen gegeben. Auch die Rechtsprechung geht mittlerweile wie selbstverständlich von der Notwendigkeit von Compliance Strukturen aus. Lediglich bezüglich der Tragweite und des Begriffs der Compliance gibt es noch Meinungsverschiedenheiten. Dabei wird häufig impliziert, dass Compliance eine Korruptions- oder Geldwäscheschwerpunkt beinhalte. Eine solche Sichtweise lässt sich jedoch nur historisch oder aufgrund einiger einschneidender Gerichtsentscheidungen erklären. Denn Compliance bedeutet viel mehr. Sämtliche Maßnahmen, die die Einhaltung sämtlicher maßgeblicher Gesetze und Normen intendieren, sind unter den Begriff zu subsumieren. Diese Definition begründet auch schon die Kernproblematik dieses Artikels. Denn demnach sind auch Maßnahmen zur Einhaltung des Datenschutzes Compliance-Maßnahmen.

Datenschutz

An dieser Stelle fängt das Problem schon an. Denn natürlich ließe sich das Aufgabenfeld des Compliance Officers einfach um die Einhaltung der DSGVO, des BDSG und anderer relevanter Normen erweitern. Doch es gibt nun mal auch den Begriff des Datenschutzbeauftragten. Wenn wir uns den englischen Begriff Data Protection Officer oder Data Security Officer genauer anschauen, wird deutlich, dass dieser nunmal vom Compliance Officer (CO) zu unterscheiden ist.

Ist also der Datenschutzbeauftragte ein spezieller CO nur für das Datenschutzrecht?

DSB

Ganz so einfach ist es nicht. Denn die DSGVO hat für den Datenschutzbeauftragten vor allen Dingen eine beratende Funktion vorgesehen. Der Compliance Officer soll aber auch investigativ tätig werden. Hierfür benötigt er naturgemäß Daten. Eine Überprüfung der Strukturen des Unternehmens hinsichtlich der Einhaltung der Compliance bedarf einer möglichst umfangreichen Sammlung von Daten. Dies kann wiederum mit dem Prinzip der Datensparsamkeit kollidieren. Sind CO und DSB also Gegner im Unternehmen?

CO vs. DSB

Auch eine solche Annahme ist verkürzt. Vergessen wir nicht, dass sowohl Compliance-Officer als auch Datenschutzbeauftragte dieselbe Zielsetzung haben: Die Einhaltung rechtlicher Vorgaben. Wie ein Blick in § 7 UWG zeigt, ist das Datenschutzrecht auch keineswegs eine isolierte Materie, sondern überschneidet sich etwa mit dem Wettbewerbsrecht, wenn es z.B. um die Thematik der Kaltaquise per Email geht.

Verhältnis von CO zu DSB

Wie also lässt sich das Verhältnis von Compliance und Datenschutz austarieren? Zu beachten ist, dass Compliance naturgemäß nur unter Beachtung des Datenschutzes möglich ist. Der Datenschutz ist quasi die Compliance-Institution der Compliance im Unternehmen, überprüft also die Compliance. Er sichert auch im Rahmen von Compliance die Beachtung der Grundrechtecharta. Dies führt naturgemäß teilweise zu doppelten Prüfungen. Außerdem kann es sein, dass CO und DSB nicht einer Meinung sind. Ein solcher Konflikt ist aufzulösen.

Dabei ist zu beachten, dass der Geltungsbereich der DSGVO bewusst nicht auf die Tätigkeit der Strafverfolgungsorgane erweitert wurde.Die unternehmensinternen Ermittlungen sind gerade nicht von der DSGVO ausgeschlossen. Also gilt die DSGVO gerade auch für Compliance Officer.

 Andererseits befindet sich der CO in einer misslichen Lage. Er ist verpflichtet, Rechtsverstöße im Unternehmen zu verhindern, soweit ihm dies möglich ist. Zu verweisen ist hier auf das Urteil

BGH 5 StR 394/08 – Urteil vom 17. Juli 2009 (LG Berlin). In der Rn 27 heiss es:

„Eine solche, neuerdings in Großunternehmen als “Compliance” bezeichnete Ausrichtung, wird im Wirtschaftsleben mittlerweile dadurch umgesetzt, dass so genannte “Compliance Officers” geschaffen werden (vgl. BGHSt 52, 323, 335; Hauschka, Corporate Compliance 2007 S. 2 ff.). Deren Aufgabengebiet ist die Verhinderung von Rechtsverstößen, insbesondere auch von Straftaten, die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehensverlust bringen können (vgl. Bürkle in Hauschka aaO S. 128 ff.). Derartige Beauftragte wird regelmäßig strafrechtlich eine Garantenpflicht im Sinne des § 13 Abs. 1 StGB treffen, solche im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern. Dies ist die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu unterbinden (vgl. Kraft/Winkler CCZ 2009, 29, 32).“

Tut er dies nicht, macht er sich strafbar. Dem Urteil liegt ein Betrugsfall zugrunde. Wesentlich ist jedoch die Pflicht des CO, Rechtsverstöße zu verhindern. Diese Pflicht wird aus der Garantenpflicht aus § 13 StGB hergeleitet. In der Rn 31 wird festgestellt:

„(3) Der Angeklagte war deshalb im Sinne des § 13 Abs. 1 StGB verpflichtet, von ihm erkannte Fehler der Tarifberechnung zu beanstanden. Dies gilt unabhängig davon, ob sich diese zu Lasten seines Dienstherrn oder zu Lasten Dritter ausgewirkt haben. Sein pflichtwidriges Unterlassen führt dazu, dass ihm der Erfolg, den er hätte verhindern sollen, strafrechtlich zugerechnet wird (vgl. BGH NJW 1987, 199). Insofern liegt – wie das Landgericht rechtsfehlerfrei ausgeführt hat – Beihilfe gemäß § 27 Abs. 1 StGB vor, weil der Angeklagte lediglich mit Gehilfenvorsatz gehandelt und sich dem Haupttäter G. ersichtlich untergeordnet hat. Da der Angeklagte die betrügerische Handlung des Vorstands G. ohne weiteres durch die Unterrichtung des Vorstandsvorsitzenden oder des Aufsichtsratsvorsitzenden hätte unterbinden können und ihm dies auch zumutbar war, hat sich der Angeklagte einer Beihilfe zum Betrug durch Unterlassen strafbar gemacht. Da er alle Umstände kannte, ist hier auch die subjektive Tatseite zweifelsfrei gegeben (vgl. BGHSt 19, 295, 299). Dies hat das Landgericht in den Urteilsgründen zutreffend dargelegt.“

Fazit

Als Fazit lassen sich vor allen Dingen organisatorische Schlussfolgerungen ziehen. Überlegungen, den CO und den DSB unter einem Dach zu vereinigen ist eine klare Absage zu erteilen. Andernfalls drohen Interessenkonflikte. Trotz teilweise gleicher Zielsetzung sollten CO und DSB von unterschiedlichen Standpunkten agieren. Dies führt zweifelsohne zu Konflikten, die hinzunehmen sind. Sollten CO und DSB in einem Sachverhalt zu unterschiedlichen Ansichten gelangen, sollte dies gegenüber der Unternehmensleitung kommuniziert werden. Diese muss eine Entscheidung treffen und gegebenenfalls ein Gutachten in Auftrag geben. Dabei ist dem Vorrang des DSB jedenfalls im Datenschutzrecht Geltung zu verschaffen.

Schließlich ist auch darauf zu achten, dass eine Strafbarkeit des CO ausscheidet. Relevant ist hier vor allem eine Strafbarkeit durch Unterlassen, etwa auch weil notwendige Informationen/Daten nicht gesammelt werden. Anders als beim DSB ist die persönliche Haftung des CO höchstrichterlich festgestellt. Er hat also ein elementares Interesse, sich zu exkulpieren und nachzuweisen, dass er die notwendigen Recherchen durchgeführt hat. 

Previous PostNext Post

Related Posts

ISO 27001: Abschnitte 13 & 14

ISO 27001: Abschnitte 11 & 12

Leave a Reply

Neueste Beiträge

ISO 27001: Abschnitte 13 & 14
March 24, 2023
ISO 27001: Abschnitte 11 & 12
March 23, 2023
ISO 27001: Abschnitte 9 & 10
March 22, 2023