Compliance

Vertraulichkeit und Integrität sichern

Von Paul Trebol · 2018

Eine Gruppe Menschen legt ihre Hände in der Mitte aufeinander. Symbolbild Compliance

Die gesetzlichen Vorschriften zum Datenschutz spielen künftig bei der Ausgestaltung von Compliance-Management-Systemen eine deutlich zentralere Rolle als bislang. Wobei die praktischen Anforderungen gemäß EU-DSGVO komplexer und umfassender sind. Zum tieferen Verständnis und zur Sensibilisierung der Mitarbeiter werden intensive Weiterbildungsmaßnahmen vorgeschrieben.

Personenbezogene Daten waren schon immer ein kostbares Gut. Nun wird dieser Bedeutung explizit Rechnung getragen und durch eine der digitalisierten Welt angepassten Gesetzgebung besonders geschützt. Für alle Mitarbeiter, die in ihrem Unternehmen mit personenbezogenen Daten – beispielsweise von Kunden, Lieferanten, Kollegen oder Bewerbern – arbeiten, gelten zukünftig die strengen Vorschriften der EU-DSGVO.

Die Vorgaben berühren insbesondere die Verantwortung im Zusammenhang mit der Compliance-Funktion. Unternehmen sind verpflichtet, Betroffene von der Verarbeitung ihrer personenbezogenen Daten umfassend über die Erhebung und Verwendung der Daten zu informieren und Auskunft zu erteilen. Beispielsweise müssen Unternehmen dokumentieren, wie und mit welchen Werkzeugen sie die Vorgaben einhalten, sowie gegebenenfalls dies gegenüber den Aufsichtsbehörden nachweisen können. Die Verordnung enthält Regelungen darüber, wer für die Daten verantwortlich ist, und wie sie zu verarbeiten sind.

Quelle: Statista-Umfrage, 2017

Compliance: Datensparsamkeit ist als Prinzip im Gesetz verankert

Als Verantwortlicher gilt per Definition die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Verantwortlichen haften dafür, dass bei jedem Verarbeitungsvorgang die Vorschriften der Verordnung eingehalten werden und haben dies durch geeignete Maßnahmen zu gewährleisten. Wenn nötig müssen sie den Nachweis dafür erbringen.

Das bereits im Bundesdatenschutzgesetz BDSG verankerte Prinzip der Datensparsamkeit gilt als eines der zentralen Prinzipien des Datenschutzes. Die Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Die Erlaubnis gilt nur für den einen festgelegten, eindeutigen und legitimen Zweck. 

Richtlinien im Umgang mit persönlichen Daten sind zu definieren

Eine sogenannte Datenschutz-Folgenabschätzung wird vorgeschrieben. Diese ist vorzunehmen bei der Verwendung neuer Technologien, falls diese ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte.

Unternehmen müssen Compliance-Anforderungen nicht nur verstehen, sondern sie müssen sich ganz konkret für den besten Weg, die besten Methoden entscheiden. Dies betrifft sowohl organisatorische Prozesse als auch deren technische Umsetzung. Zu den notwendigen Maßnahmen, die innerhalb der EU-DSGVO festgeschrieben sind, gehört es beispielsweise, die Richtlinien zum Umgang mit sensiblen persönlichen Daten zu definieren und umzusetzen. Um diese Kenntnisse sicherzustellen, sind Schulungen mit entsprechenden Zertifikaten zu organisieren. Gleichzeitig muss es der Sicherheitsansatz eines jeden Unternehmens erlauben, Kompetenz-Prüfungen und Gutachten (Data Protection Impact Assessment DPIA) durchzuführen.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 1106
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1498644329
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)