Datenschutz durch Privacy-Compliance
In Erwägungsgrund 1, Satz 1, der Datenschutz-Grundverordnung der EU (DSGVO) ist zum Datenschutz als Grundrecht ausführlicher festgehalten: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht.“ Das prominenteste Regelwerk im Datenschutz-Bereich stellt die DSGVO dar. Diese Verordnung, wie auch andere Instrumente in dem Bereich, enthält Vorschriften, die Datenschutz sicherstellen sollen.
Compliance bedeutet die Einhaltung von Gesetzen, Regeln und Normen. Teilweise wird der Begriff Compliance bereichsspezifisch erweitert. Privacy-Compliance (Datenschutz-Compliance) bezieht sich demnach auf die Einhaltung von Gesetzen, Regeln und Normen im Datenschutz-Bereich. In einem weiten Verständnis von Compliance umfasst es auch Prozesse, Maßnahmen und Strukturen in einer Organisation.[1]
Gewisse Normen haben also zum Ziel, den Datenschutz sicherzustellen. Das Befolgen ebendieser Normen dient also dem Datenschutz – und somit auch Privacy-Compliance.
Privacy-Compliance durch IT-Compliance
Die oben genannte Compliance-Definition lässt sich auch auf den IT-Bereich anwenden. Dementsprechend handelt es sich bei IT-Compliance um die Einhaltung von Gesetzen, Regeln und Normen im IT-Bereich.
Heutzutage findet Datenverarbeitung und damit auch die Verarbeitung personenbezogener Daten[2] hauptsächlich durch IT-Systeme statt. Eine Überschneidung der Bereiche liegt daher nahe und wird im Folgenden an einem Beispiel verdeutlicht:
In einem Unternehmen gibt es eine Richtlinie zum Austausch von Dateien. Die Unternehmensvorgaben sehen vor, dass Dateien nur über ganz bestimmte Wege ausgetauscht werden dürfen. Einige Mitarbeitende möchten sich aber die Arbeitsabläufe vereinfachen und zusätzlich auch von privaten Geräten aus auf Firmen-Dateien zugreifen. Dazu richten sie sich ein Austauschlaufwerk[3] ein, auf dem sie Daten speichern; mittels Link kann man über den Browser auf die Dateien zugreifen. Ein Passwort wird nicht eingerichtet, um einen Arbeitsschritt zu sparen. Als Folge kann jede Person, die den Link kennt, auch auf die Dateien zugreifen – in den Dateien enthaltene personenbezogene Daten wären demnach ebenso einsehbar. In unserem Beispiel sei es nun der Betriebsrat, der auf diese Weise Dateien austauscht: Ein Ex-Mitarbeiter und vormaliges Betriebsratsmitglied kann durch Nutzung der Links weiterhin ungehindert auf die sensiblen personenbezogenen Daten zugreifen – eine gravierende Datenpanne ist eingetreten.
Es zeigt sich hier, dass IT-Compliance und Datenschutz in der Praxis Hand in Hand gehen. Die Einführung spezieller IT-Compliance-Richtlinien (Policies) ist unvermeidlich – diese müssen aber auch von allen Mitarbeitenden „gelebt“, ihre Einhaltung von den Verantwortlichen kontrolliert und ihre Aktualität und Wirksamkeit überprüft werden. Dieses Policy-Management kann intern durch IT-Administratoren oder IT-Manager, aber auch durch externe Dienstleister übernommen werden.
Darüber hinaus sollten regelmäßig Mitarbeiterschulungen veranstaltet werden, um das gesamte Unternehmensumfeld für das Thema der IT-Compliance sowie die rechtlichen Risiken zu sensibilisieren.
Quellen / Links:
- DSGVO: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679 (Zugriff am 15.04.2021).
- ePrivacy-Richtlinie: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32002L0058 (Zugriff am 15.04.2021):
- Definition Compliance: https://wirtschaftslexikon.gabler.de/definition/compliance-27721 (Zugriff am 15.04.).
- Wikipedia-Eintrag zu Compliance im Rechts-Bereich: https://de.wikipedia.org/wiki/Compliance_(Recht) (Zugriff am 15.04.2021)
[1] In diesem Zusammenhang wird auch der Begriff Compliance-Management-System (CMS) genutzt.
[2] Definition von personenbezogenen Daten: Artikel 4 Nummer 1 DSGVO.
[3] Zum Beispiel Google Drive.