Erforderlicher Umfang einer Datenschutz- und Compliance-Prüfung

Datenschutz und Schutz des Unternehmens vor Rechtsverstößen (Compliance) nehmen derzeit breiten Raum in der wirtschaftsnahen Presse ein.

Aber auch Gesetzgeber und Rechtsprechung widmen sich verschärft dem Thema. Die Anforderungen des KonTraG von 1998 allein genügen einer ordnungsgemäßen Geschäftsführung wohl nicht mehr.

Häufig hört man, Compliance macht Arbeit und ist teuer!

Was ist daran?

Datenschutz und Compliance im Sinne von „Rechtskonformität“ sind zwei Rechtsgebiete, die sich unabhängig entwickelt haben und in einem Spannungsfeld stehen. Beide sind gesetzlich zwingend zu beachten und können eine Haftung des Vorstandes auslösen.

Datenschutz wird durch §§ 9, 27 ff. BDSG geboten. Aufgrund gesetzlicher Vorgabe war bereits im Herbst 2009 ein Datenschutzbeauftragter zu bestellen bei Androhung von Ordnungsgeldern bis zu € 300.000 Euro je nach Fall. Nach den uns vorliegenden Informationen hat sich der Landesdatenschutzbeauftragte des Landes NRW dahingehend geäußert, dass er bis zum 31.12.2010 keine Maßnahmen ergreifen werde.

Compliance wird durch § 93 AktG (analog) geboten. Compliance bezeichnet im Wirtschaftsleben die Verhinderung von Rechtsverstößen, nicht nur / aber auch Straftaten, die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehensverlust bringen können (BGH St NJW 2009, 89).

Der Umfang einer Datenschutz und Compliance-Prüfung ist an diesen Anforderungen des Gesetzgebers und der sich zunehmend verschärfenden Rechtsprechung  (BGH St NJW 2009, 3173 zur Strafbarkeit des Compliance-Beauftragten bei Unterlassung) zu messen.

Da Datenschutz und Compliance trotz oder wegen des Spannungsfeldes nicht zu trennen sind, sind sie aus organisatorischen und aus Kostengründen möglichst gleichzeitig durchzuführen.

Der Leistungskatalog für Datenschutz und Compliance muss umfassen:

Es sind alle Verträge mit Datenschutzbezug, z. Bsp. Arbeitsverträge, IT-Wartungsverträge, aber auch Ausschreibungen zu erfassen und zu überprüfen, um Handlungsbedarf festzustellen, erklärt Horst Leis, Rechtsanwalt, LL.M., Fachanwalt für Informationstechnologierecht, Fachanwalt für gewerblichen Rechtschutz.