(PDF) | Ausgabe Februar 2008 - Compliance

compliance.plattform.de

(PDF) | Ausgabe Februar 2008 - Compliance

Ausgabe 1 | Januar/Februar 2008Interview„Gelebter Datenschutz“Nicht übers Zielhinaus…Unternehmerische Ziele werden zunehmend in nationalenund multinationalen Unternehmensverbünden verfolgt. Umvor diesem Hintergrund die Compliance mitdatenschutzrechtlichen Bestimmungen zu gewährleisten, hatdie Bayer AG 2007 sogenannte „Binding Corporate Rules“eingeführt. Wir sprachen hierüber mit Rainer Meyer, Leiterder Konzernrevision der Bayer AG undDatenschutzbeauftragter des Bayer-Konzerns, undRechtsanwalt Christoph Klug, stellvertretenderGeschäftsführer der Gesellschaft für Datenschutz undDatensicherung (GDD).Compliance Manager (COM): Herr Klug, lange fristetenDatenschutzbeauftragte ein Schattendasein. Doch inden letzten Jahren haben zahlreiche Konzerne dasThema oben auf ihre Agenda gesetzt. Wie erklären Siedas wachsende Interesse?Christoph Klug: Unternehmen müssen Compliance auchim Datenschutz gewährleisten und möchten negative PRvermeiden – dies sind aus meiner Sicht wichtigeTriebfedern. Gleichzeitig gewinnt Datenschutz als QualitätsundWettbewerbsfaktor immer mehr an Bedeutung.(Bitte lesen Sie weiter auf Seite 9.)InhaltS. 1: Interview: Datenschutz als Compliance-ThemaS. 2: Compliance-Risiko WhistleblowingS. 3: Personalien und KarriereS. 4: VeranstaltungenS. 5: Interview: IT-ComplianceS. 9: Fortsetzung des Interviews von S. 1Liebe Leserinnen und Leser,als Comliance-Verantwortlicher wollen SieKorruption, Insidergeschäfte,Rechnungslegungsdelikte undFinanzkriminalität bekämpfen? Dann ist dieEinrichtung einer Whistleblowing-Hotlineein wichtiger Schritt. DiesesKommunikationsinstrument ermöglicht denMitarbeitern, jenseits der regulärenMeldekanäle auf Missstände hinzuweisen.Doch die Waffe im Kampf für Complianceist ein zweiseitiges Schwert: Wer nichtaufpasst, verstößt schnell gegendatenschutzrechtliche Bestimmungen – einCompliance-Risiko. Auf S. 2 finden Siewichtige Hinweise für die Gestaltung einersolchen Hotline. Mit den datenschutzrechtlichenBestimmungen im Hinterkopfschießen Sie garantiert nicht übers Zielhinaus…Eine anregende Lektürewünscht IhreMitherausgeberKatharina SchlüterRedakteurinCOMPLIANCE MANAGER1


DatenschutzCompliance-Risiko WhistleblowingKontaktIn der Compliance-Organisation vieler Unternehmenspielen Whistleblowing-Hotlines inzwischen einewichtige Rolle. Da aber mit der Meldung von Verstößendie Erhebung, Übermittlung und Speicherung vonpersonenbezogenen Daten einhergehen, muss dasDatenschutzrecht beachtet werden. Die Arbeitsgruppe„Beschäftigungsdatenschutz“ des RegierungspräsidiumsDarmstadt gibt hierfür unter anderem diefolgenden Hinweise: Anonyme Anzeigen nur in Ausnahmefällenakzeptieren. Stattdessen sollte der Hinweisgeber beider ersten Kontaktaufnahme mit dem System daraufhingewiesen werden, dass seine Identität währendaller Schritte des Verfahrens vertraulich behandeltwird. Die betroffene Person ist über dieHaben Sie Anregungen, Fragen oderKritik? Über Ihr Feedback freuen wiruns. Bitte wenden Sie sich anKatharina SchlüterRedakteurinMainzer Landstraße 19960326 Frankfurt am MainTelefon: (0 30) 44 03 51 10Telefax: (0 69) 75 91-3224E-Mail:katharina.schlueter@financemagazin.dewww.finance-magazin.deDatenspeicherung- und verarbeitung zu informieren. Gefährdet dies allerdings einewirksame Untersuchung des Vorwurfes, kann die Information der beschuldigten Personsolange aufgeschoben werden. Eine dauerhafte Geheimhaltung ist dagegen nichtakzeptabel. Bestreitet die beschuldigte Person den Sachverhalt, sind die personenbezogenenDaten zu sperren. Die Daten sind zu löschen, sobald sie nicht mehr für die Erfüllung des Zweckes derSpeicherung benötigt werden. Grundsätzlich sollten Daten innerhalb von zwei Monatennach dem Abschluss der Untersuchungen gelöscht werden. Die Beauftragung einer externen Stelle (z.B. Konzernunternehmen) ist nur dann möglich,wenn der Auftragnehmer lediglich den technischen Prozess der Datenverarbeitungdurchführt (Auftragsdatenverarbeitung). Führt die externe Stelle auch dieerforderlichen Untersuchungen durch, ist in der Regel nicht von einerAuftragsverarbeitung auszugehen.Weitere Informationen unterwww.rp-darmstadt.hessen.de/irj/RPDA_Internet?cid=f8a680608c6fea87bbe406d0cc8eb0d02


Personalien und KarriereKopp wechselt von VW zu HeussenReinhold Kopp, bisher als Leiter derAußenbeziehungen des VW-Konzernsunter anderem verantwortlich für dieBereiche Staatliche Beihilfen undCorporate Social Responsibility, arbeitetseit November 2007 am Berliner Standortder Heussen RechtsanwaltsgesellschaftmbH. Mit dem Neuzuwachswill Heussen die Compliance-Beratung weiter ausbauen.Quelle: Heussen.Panalpina stärkt ComplianceMarkus Heyer, bisher Leiter BusinessProcesses and Quality derösterreichischen Panalpina Gruppe,ist seit Januar 2008 CorporateCompliance Officer. Diese Positionwurde im Zuge der Verstärkung derbestehenden Compliance-Programmeund -Strukturen des Unternehmensneu geschaffen. Zu Markus Heyers zukünftigenHauptaufgaben zählen die Weiterentwicklung der globalenCompliance-Organisation und die Implementierungzusätzlicher Compliance-Vorschriften-, Prozesse und -Schulungen.Quelle: Panalpina.Aktuelle Stellenangebote:Windkraftanlagenherstellersucht Special Projects &Compliance ManagerMünchener Softwarefirmasucht Audit & Compliance OfficerTyco Electronicssucht Compliance OfficerSchweizer Wealth & AssetManagement Gruppesucht Compliance Officer AssetManagementAllianz Global Investors AGsucht Internal AuditorSenn Chemicals AGsucht Leiter/in cGMP-ComplianceEssener Handelsunternehmensucht Leiter/in Internal AuditMetro Cash & Carry schafft Bereich Audit & ComplianceUm den steigenden Compliance-Anforderungen gerecht zuwerden, gründet Metro Cash & Carry International einenBereich Audit & Compliance. Bereichsleiter wird der bisherigeVorsitzende der Geschäftsführung von Metro Cash & CarryDeutschland, Rainer Gründwald.Quelle: Metro Cash & Carry International.Einfach aufs Angebot klicken!Weitere Stellenangebote:www.PeopleandDeals.de/jobs3


VeranstaltungenTermin/Ort Veranstaltungen Kontakt10. 11. Februar 2008 Aufbau einer Compliance-Organisation Management CircleMünchen Tel.: 06196/47 22-60513. 14. Februar 2008 Information Risk Management EconiqueBerlin CxO Dialog Teil.: 030/ 802 08 04-3114. Februar 2008 Risikokonvergenz Ernst&YoungHamburg Optimierung des Risikomanagements Tel.: 0711/98 81-14 48614. Februar 2008 CSR-Arbeitskreis Ernst&YoungMünchen CRS in der Pharma-Industrie Tel.: 0711/98 81-14 48619. 20. Februar 2008 Unternehmensjuristentage 2008 EuroforumBerlin Juristentagung für Inhouse Counsel Tel.: 0211/96 86–35 4220. Februar 2008 Datenmanagement im Mittelstand fresslé & friesSiegen Tel.: 0741/248-53826. Feburar 2008 Anti-Fraud-Management PWCWuppertal Tel.: 0211/981-240226. Februar 2008 Compliance EuroforumZürich Prävention, Kommunikation, Sanktion Tel.: 0041/43/444 78 7227. Februar 2008 Vergaberecht PWCDüsseldorf Tel.: 0211/981-146410. 11. März 2008 Aufbau einer Compliance-Organisation Management CircleFrankfurt/Main Tel.: 0 6196/47 22-6054


InterviewNavigation durch den ParagraphendschungelVom Datenschutz bis zur digitalen Rechnungslegung: Das Thema IT istin fast allen Unternehmen von großer Bedeutung. Gesetzgeber,Branchenorganisationen und Wirtschaftsprüfer haben auf diezunehmende Digitalisierung der Geschäftswelt mit zahlreichenRechtsnormen und Standards reagiert. Wir sprachen mit Thomas Pache(Foto), Leiter des Branchenteams Communications, Media &Technology der Marsh GmbH, über die Herausforderung, IT-Rahmenbedingungen zuüberblicken und die IT-Compliance sicherzustellen.Compliance Manager (COM): Herr Pache, der Ausdruck Compliance bezieht sich aufdie Einhaltung von Gesetzen und Richtlinien. Welchen gesetzlichen Anforderungenstehen Unternehmen in Bezug auf ihr IT-System gegenüber?Thomas Pache: Zunächst einmal muss man festhalten: Es gibt derzeit kein IT-Gesetz. Derfür die IT-Compliance verantwortliche Mitarbeiter muss vielerlei Rechtsnormen im Blickhaben. Beispiele sind das Bundesdatenschutzgesetz (BDSG), das Signaturgesetz oder dasTelekommunikationsgesetz (TKG). Neben Gesetzen gibt es außerdem noch zahlreicheStandards wie die ISO- und DIN-Normen.COM: In welchem Zusammenhang stehen Rechtsnormen und Standards?Pache: Die Standards operationalisieren die Rechtsnormen. So gibt zum Beispiel dasBundesamt für Sicherheit in der Informationstechnik (BSI) eigene Standards wie die IT-Grundschutz-Kataloge heraus. Diese umfassen insgesamt mehr als 3.600 Seiten undunterstützen Unternehmen bei der Realisierung ihrer IT-Sicherheit. Auch Juristen orientierensich in der Auslegung der Rechtsnormen an diesen Standards. Die technischenEntwicklungen im Bereich der IT sind so rasant – da könnte die Gesetzgebung gar nichtmithalten. Die Standards füllen in vielen Fällen diese Lücken.COM: Könnte in einem Schadensfall ein Standard zur Klärung der Frageherangezogen werden, ob ein Unternehmen seine Organisationspflichten im Bereichder IT ordnungsgemäß erfüllt hat?5


Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien (BITKOM)und des Deutschen Instituts für Normung (DIN) sind die verschiedenen Standards aufgelistetund die Relevanz der Standards nach verschiedenen Kriterien wie z.B. Branche undFunktion im Unternehmen bewertet. Eine Übersichtsmatrix ermöglicht auch technischenLaien, den für sie relevanten Standard rasch zu identifizieren. Mit Hilfe der Broschüre könnendie Verantwortlichen im Unternehmen die IT-Strukturen überprüfen und an den gängigenStandards messen. Sie kann auf der Homepage des BITKOM (www.bitcom.org) kostenlosheruntergeladen werden. In Bezug auf potentielle Risiken und entsprechendeAbsicherungsstrategien sollte ein Unternehmen allerdings mit Risikoberatern wie Marshzusammenarbeiten.COM: Apropos Verantwortliche – wer ist im Unternehmen eigentlich für die IT-Compliance verantwortlich?Pache: Grundsätzlich ist – wie bei allen Compliance-Themen – der gesamte Vorstand bzw.die Geschäftsführung verantwortlich. Dies ergibt sich aus dem Aktien- bzw. GmbH-Gesetzund dem Corporate-Governance-Kodex. Um dieser Überwachungspflicht gerecht zu werden,definiert die Unternehmensführung innerhalb der OrganisationsstrukturVerantwortungsbereiche. Viele große Unternehmen haben inzwischen einen ChiefInformation Officer (CIO). In kleineren Unternehmen bekommt häufig der Leiter IT dieAufgabe der IT-Compliance übertragen.COM: Das klingt nach einer sinnvollen Lösung – schließlich dürfte der Leiter IT überein exzellentes Verständnis für die technische IT-Infrastruktur verfügen …Pache: Das stimmt zwar, aber ihm fehlt vielleicht das betriebswirtschaftliche und juristischeVerständnis. Aufgrund der mangelnden juristischen Ausbildung wird er häufig nur einenTeilbereich aller Rechtsnormen vor Augen haben. Neuere rechtliche Entwicklungenbekommt er häufig erst zu spät mit. Auch ein betriebswirtschaftliches Verständnis ist wichtig:So kann es nicht sein, dass der Betriebsablauf aufgrund von IT-Compliance-Maßnahmenüber Gebühr gestört wird. Hier ist ein – auf wirtschaftlichen und juristischen Überlegungenfußender – Abwägungsprozess notwendig. IT, Finanzen, Recht – die Dreifaltigkeit imUnternehmen.COM: Was ist die Alternative zum Leiter IT als IT-Compliance-Verantwortlichem?Pache: Kleineren Unternehmen empfehle ich, ein Projektteam zu gründen. Mitarbeiter derBereiche IT, Finanzen und Recht sollten die IT-Compliance gemeinsam analysieren.Außerdem sollte das Projektteam einen Moderator haben – sonst reden die Expertenaneinander vorbei. Für eine erste Risikoanalyse kann auch die Zusammenarbeit mitexternen Beratern sinnvoll sein.7


COM: Ich vermute, dass Sie als Versicherungsmakler solch eine Risikoanalyse mitdem Ziel durchführen, dem Kunden eine passende Versicherung zu empfehlen. Wogenau besteht der Zusammenhang zwischen IT-Compliance und Versicherungen?Pache: Wie in anderen Bereichen führen wir auch im Bereich IT eine Risikoanalyse durch, inder Risiken nach ihrer Eintrittswahrscheinlichkeit und ihrem Schadenspotential bewertetwerden. Ziel ist es, die Risiken entweder über organisatorische Maßnahmen zu minimierenoder – über eine entsprechende Versicherung – an Dritte zu transferieren.COM: Können Sie ein Beispiel nennen?Pache: Zum Beispiel das Risiko Betriebsunterbrechnung: Wie groß wäre der Schaden, wennz.B. drei Tage lang die IT-Infrastruktur ausfiele? Je nach Schadensausmaß kann überorganisatorische Maßnahmen die Eintrittswahrscheinlichkeit minimiert oder eine spezielleVersicherung abgeschlossen werden.„IT-Risiken sind in Versicherungspolicen oft nicht ausreichendabgedeckt.“COM: Aber wäre ein solches Risiko nicht über die klassischeBetriebsunterbrechnungsversicherung abgedeckt?Pache: In vielen Fällen nicht. IT-Risiken sind relativ jung und über viele herkömmlichePolicen nicht abgedeckt. Denken sie nur an IT-Ausfälle wegen Viren, Hacking oder Denial-of-Service (DOS)-Attacken. Das gleiche gilt im Übrigen auch für Haftpflichtversicherungen.Bisher gibt es nur wenige Versicherungsunternehmen, deren Policen IT-Risiken inausreichendem Maße einschließen. Für Unternehmen ist es daher wichtig, ihre bestehendenVersicherungen auf die Schadensdeckung in diesen Fällen zu überprüfen. Außerdem solltegeprüft werden, unter welchen Voraussetzungen die Versicherung einspringt. Viele Anbietermachen dies von der Einhaltung bestimmter Standards wie der schon erwähnten BSI-Standards oder CobiT abhängig. Hier kommen wir mit Risikoanalysen, Risikomanagementund Risikotransferoptimierung ins Spiel.COM: Herr Pache, vielen Dank für das Gespräch!Das Gespräch führte Katharina Schlüter.8


Fortsetzung des Interviews von Seite 1„Gelebter Datenschutz“Klug (Fortsetzung): Gelebter Datenschutz kann als vertrauensbildende Maßnahme einenwesentlichen Beitrag zur Kunden- und Mitarbeiterzufriedenarbeit leisten. Unternehmenbewegen sich aufgrund der globalen Verflechtung von Informationsströmen in einemzunehmend komplexen Rechtsumfeld. Risiko und Schadenspotential sind insofern in denletzten Jahren deutlich gestiegen. Vor diesem Hintergrund ist der Datenschutzbeauftragte imUnternehmen zunehmend eine Schlüsselfigur, wenn es darum geht, Risiken zu minimierenund Wettbewerbsvorteile zu realisieren.„Im Datenschutz gibt es bislang kein Konzernprivileg.“COM: Was für Daten stehen im Mittelpunkt des Interesses?Klug: Für die meisten Konzerne ist die unternehmensübergreifende Verwendung vonKunden- und Mitarbeiterdaten das heikelste Thema.Meyer: Das kann ich bestätigen. Als Datenschutzbeauftragterbewegen mich derzeit insbesondere die Veränderungen imPersonalbereich, etwa die Implementierung eines globalenPersonalsystems, die Schaffung einheitlicher Prozesse und dieNutzung zentraler Serviceeinheiten sowie der dafür notwendigeländerübergreifende Austausch personenbezogener Dateninnerhalb des Konzerns.Reiner MeyerBayer AGCOM: Warum ist der Austausch von Daten im Konzern eindatenschutzrechtliches Problem? Solange die Daten nichtnach außen gelangen, dürfte dies doch kein Fall für denDatenschutz sein, oder?Klug: Dieses Missverständnis ist leider weitverbreitet. Im Datenschutz gibt es keinKonzernprivileg. Das heißt, eine Übermittlung personenbezogener Daten an ein juristischeigenständiges Konzernunternehmen wird rechtlich wie ein Transfer an Dritte gewertet undist somit grundsätzlich verboten.9


COM: Aber fast alle Konzerne haben doch zum Beispiel eine konzernübergreifendePersonalabteilung. Dies wäre doch ohne Datenaustausch gar nicht möglich …Klug: Dass der Datentransfer grundsätzlich verboten ist, heißt nicht, dass er nicht legitimiertwerden kann. Aber es bedarf einer Rechtsvorschrift, welche die Verbreitung in demspeziellen Fall – also z.B. für die Lohn- und Gehaltsabrechnung – gestattet. Hier finden sichim Bundesdatenschutzgesetz (BDSG) und in der EU-Datenschutzrichtlinie verschiedeneAnsatzpunkte. So kann sich eine Befugnis zum Datentransfer zum Beispiel aus demArbeitsvertrag, einer freiwilligen Einwilligung oder überwiegenden Unternehmensinteressenergeben. Daneben kann die Datenweitergabe im Rahmen von Auslagerungsprozessen alsweisungsgebundene Auftragsdatenverarbeitung ausgestaltet werden – dies muss dann aberin einem Datenschutzvertrag geregelt sein. Die zentrale Verarbeitung von Daten, etwa inShared Service Centern, ist also möglich – muss aber datenschutzrechtlich flankiert werden.Aus der Arbeit der GDDDie GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbarenDatenschutz ein. Sie hat zum Ziel, die Daten verarbeitenden Stellen – insbesondere auch dieDatenschutzbeauftragten – bei der Umsetzung der vielfältigen mit Datenschutz und Datensicherheitverbundenen rechtlichen, technischen und organisatorischen Anforderungen zu unterstützen. Hierzubietet der Verband u. a. Schulungen zur Aus- und Fortbildung von Datenschutzverantwortlichen,Arbeits- und Praxishilfen wie zum Beispiel „Praxishilfe V – Mitarbeiterdaten imUnternehmensverbund“ und „Datenschutz im Unternehmen“ sowie regelmäßige Veranstaltungen zumErfahrungsaustausch und zum Networking im gesamten Bundesgebiet an.Weitere Informationen unter www.gdd.de.COM: Gilt dies auch für einen Datenaustausch innerhalb der EU?Klug: Ja. Zwar macht es aufgrund des durch die EU- Datenschutzrichtlinie vereinheitlichtenDatenschutzstandards keinen Unterschied, ob man Daten von Köln nach Frankfurt odernach Paris übermittelt. Trotzdem muss eine Datenweitergabe an Dritte – und das sindrechtlich selbstständige Konzerntöchter – immer durch eine Erlaubnisvorschrift gedeckt sein.Bei einem Datentransfer in Länder außerhalb der EU bzw. des EWR sind die Vorschriftennoch strenger. Hier müssen in der Regel besondere Schutzgarantien geschaffen werden.Dies kann z.B. über Standardvertragsklauseln, welche die EU-Kommission verabschiedethat, oder sogenannten verbindliche Unternehmensregelungen (Binding Corporate Rules)geschehen.COM: Herr Meyer, ich stelle es mir ja ziemlich kompliziert und extrem aufwendig vor,wenn jeder Datentransfer von einer Tochtergesellschaft zu einer Konzernfunktion erst10


mal datenschutzrechtlich unter die Lupe genommen werden muss. Wie geht Bayer mitdieser Situation um?Meyer: Um den weltweiten Datentransfer zu erleichtern, hat Bayer 2006 eine weltweitverbindliche Datenschutzrichtlinie eingeführt. 2007 wurde diese von den Aufsichtsbehördenals „Binding Corporate Rule“ akzeptiert. So stellen wir sicher, dass wir weltweit eineinheitliches Schutzniveau gewährleisten.COM: Und damit können Sie Daten weltweit frei transferieren?„Die Binding Corporate Rule erleichtert meine Arbeit maßgeblich.“Meyer: Nein. Aber es bedeutet, dass weltweit die EU-Grundsätze zur Prüfung desDatentransfers zugrunde gelegt werden. Dies erleichtert meine Arbeit maßgeblich, entbindetuns allerdings nicht davon, die Zulässigkeitsvoraussetzungen des Datentransfers zuüberprüfen.COM: Woran haben Sie sich bei der Erstellung der Datenschutzrichtlinie orientiert?Gibt es gesetzliche Vorgaben?Grundsätzliche Maßnahmen im Bereich Mitarbeiterdatenschutz Sensibilisierung der Personal- und IT-Verantwortlichen Datenschutzgerechte Gestaltung der Arbeitsverträge Rechtzeitige Involvierung des Datenschutzbeauftragten in die Datenverarbeitungsprozesse Veröffentlichung von Richtlinien zur Nutzung der technischen Infrastruktur Mitbestimmungsrechte des Betriebsrates beachten Berechtigungskonzept für Personaldaten erstellen Implementierung von „Binding Corporate Rules“Quelle: GDDMeyer: Zwar ist vom Grundsatz her vorgeschrieben, wie die „Binding Corporate Rule“ zugestalten ist – ein allgemeines Muster gibt es aber nicht. Wir haben uns daher an denErfahrungen der Industrie orientiert. Außerdem haben wir von Anfang an intensiv mit derAufsichtsbehörde zusammengearbeitet und deren Anregungen einbezogen.COM: Die Veröffentlichung einer Datenschutzrichtlinie alleine bringt aber nichtautomatisch ein einheitliches Schutzniveau mit sich. Wie sorgen Sie dafür, dass dieVorgaben von Ihren Töchtern weltweit tatsächlich umgesetzt werden?11


Meyer: Die Entwicklung der Datenschutzrichtlinie haben wir organisatorisch flankiert: Wirhaben eine – unserer Compliance-Organisation vergleichbare – Datenschutzstrukturimplementiert. So gibt es in jeder Legal Entity einen Datenschutzverantwortlichen. Dieserbearbeitet datenschutzrechtliche Aspekte eigenverantwortlich – aber in enger Abstimmungmit mir als Konzern-Datenschutzbeauftragtem. Er wird zwar vom Geschäftsführer der LegalEntity ernannt, in allen Datenschutzfragen ist er aber weisungsfrei. Bei allen übergreifendenFragestellungen liegt die endgültige Entscheidungskompetenz bei mir. Derzeit sind wir dabei,die Datenschutzverantwortlichen in ihren Ländern bekanntzumachen und sie ausreichendauf ihre Aufgaben vorzubereiten. In vielen Ländern ist das Bewusstsein für Datenschutzlange nicht so stark ausgeprägt wie in Deutschland – hier schaffen wir über Schulungen eineausreichende Awareness.„In jeder Legal Entity gibt es einen Datenschutzverantwortlichen.“COM: Herr Klug, wie finden Sie die Vorgehensweise von Bayer?Klug: Die Initiative zur Etablierung einheitlicher Datenschutzstandards im internationalenKonzern ist vorbildlich. Auch die organisatorische Eingliederung von Herrn Meyer alsKonzern-Datenschutzverantwortlichen ist gut gelöst.COM: Inwiefern?„Die gesetzlichen Anforderungen an die Person desDatenschutzbeauftragten sind vage.“Klug: Die gesetzlichen Anforderungen an die Person des Datenschutzbeauftragten sind sehrvage: Das BDSG verlangt die erforderliche „Zuverlässigkeit“ und „Fachkunde“. Zunächstliegt es auf der Hand, dass nur ein fachkundiger Datenschutzbeauftragter auf die Einhaltungder Datenschutzvorschriften hinwirken und so Risiken vom Unternehmen abwenden kann.Im Rahmen der Entwicklung ihres Aus- und Weiterbildungskonzeptes hat die GDDinsbesondere Kenntnisse in folgenden Bereichen als notwendig identifiziert:• Datenschutzrecht12


• Funktionsweisen der IT• Betriebswirtschaftliches Grundverständnis• Eigene UnternehmensspezifikaDer Rechtsbegriff „Zuverlässigkeit“ zielt insbesondere auf die Vermeidung vonInteressenkonflikten ab. Da der Datenschutzbeauftragte vielfach noch andere Funktioneninnehat, muss sichergestellt werden, dass er sich nicht selbst überwacht. Ungünstig wärez.B., wenn er gleichzeitig Leiter der Personal- oder IT-Abteilung wäre. Die Funktion – wie beiBayer – auf die Leitung der Revision zu übertragen ist aufgrund der damit verbundenenSynergieeffekte eine gute Lösung.Meyer: Auch noch aus einem anderen Grund halte ich die Ansiedelung der Funktion imBereich der Revision für sinnvoll: Die Revision führt das ganze Jahr über Prüfungen durch,die Berichte gehen direkt an den Vorstand. Da ich für den Datenschutz verantwortlich bin,hat dieses Thema in der Arbeit der Revision einen relativ hohen Stellenwert. Der Vorstanderfährt so von eventuellen Missständen zeitnah und kann kurzfristig Abhilfe schaffen.COM: Arbeiten Sie auch mit anderen Abteilungen wie der Compliance- oderRechtsabteilung zusammen?„Ich arbeite sehr eng mit der Rechtsabteilung zusammen.“Meyer: Insbesondere mit der Rechtsabteilung ist die Zusammenarbeit sehr eng. Ich vertraueauf die Kompetenz der Juristen in der Beurteilung datenschutzrechtlicher Sachverhalte.Trotzdem liegt die letzte Entscheidung immer bei mir. Auch mit der Compliance-Organisationfindet eine enge Kooperation statt.„Der Betriebsrat hat häufig ein Mitbestimmungsrecht und isteinzubinden.“Klug: Ich würde im Hinblick auf den Umgang mit Personaldaten noch gerne auf dieBedeutung des Betriebsrates hinweisen. Bei der Verarbeitung von Mitarbeiterdaten hatdieser häufig ein Mitbestimmungsrecht. Dies betrifft insbesondere automatisierteVerarbeitungen, die Leistungs- und Verhaltenskontrollen ermöglichen, was z.B. im Rahmen13


der Nutzung von Internet und E-Mail am Arbeitsplatz der Fall ist. Die Verarbeitung vonMitarbeiterdaten mittels technischer Einrichtungen sollte aus Gründen der Transparenz undder Rechtssicherheit möglichst in spezifischen Betriebsvereinbarungen festgelegt werden –schon aus Fairness gegenüber den Mitarbeitern: Viele wissen gar nicht, was etwa anProtokolldateien anfällt und welche nachteiligen arbeitsrechtlichen Konsequenzen sichhieraus ergeben können.Meyer: Ich halte Transparenz für sehr wichtig. Wir erzielen diese in vielen Fällen dadurch,dass Mitarbeiter ihre Daten selbst eingeben. Dadurch haben sie immer eine genaueÜbersicht darüber, welche Daten wo gespeichert sind. Gleichzeitig stellen wir dieCompliance mit datenschutzrechtlichen Anforderungen sicher: Geben die Mitarbeiter ihreDaten selbst ein, stimmen sie der Speicherung automatisch zu.COM: Herr Klug, Herr Meyer, vielen Dank für das Gespräch!Das Gespräch führte Katharina Schlüter.14

Weitere Magazine dieses Users
Ähnliche Magazine