Skip to content.

Secondary navigation

Demo anfordern

Datenschutz und Compliance

NAVEX One®

Die Bedeutung des Datenschutzes im Bereich Ethik und Compliance

Die Umsetzung von Datenschutz und Datensicherheit im Unternehmen ist besonders wichtig für Mitarbeiter im Bereich Ethik und Compliance. Die Daten, die bei einer Whistleblowing-Hotline eingehen oder durch eine Untersuchung aufgedeckt werden, müssen von Organisationen besonders vertraulich behandelt werden. Beispielsweise können Hotlines und Helplines sowohl anonyme als auch den Mitarbeiter direkt oder indirekt identifizierende Informationen aufzeichnen – wie Name, Funktion, Geschlecht oder Abteilung.

Datenschutz und Datensicherheit sind besonders wichtig für Mitarbeiter im Bereich Ethik und Compliance. Die Daten, die bei einer Whistleblowing-Hotline eingehen oder durch eine Untersuchung aufgedeckt werden, müssen von Organisationen besonders vertraulich behandelt werden. Beispielsweise können Hotlines und Helplines sowohl anonyme als auch den Mitarbeiter direkt oder indirekt identifizierende Informationen aufzeichnen – wie Name, Funktion, Geschlecht oder Abteilung.

Woman working on floor

WAS IST DATENSCHUTZ?

Datenschutz und Datensicherheit sind eng miteinander verknüpft, sodass sie oftmals synonym verwendet werden. Allerdings muss man die Unterschiede zwischen Schutz und Sicherheit kennen, um zu verstehen, wie sie sich gegenseitig ergänzen. Unter Datensicherheit versteht man den Schutz der Daten vor unerlaubtem Zugriff. Beim Datenschutz geht es um die Zugriffsberechtigung – wer hat sie und wer definiert sie. Datenschutzbedenken ergeben sich überall dort, wo personenbezogene Daten erhoben, gespeichert oder verwendet werden.

Das primäre Ziel von Datenschutzgesetzen, wie der europäischen Datenschutz-Grundverordnung (DSGVO), besteht darin, Erwartungen festzulegen, wie personenbezogene Daten erhoben und verwendet werden, wer zugriffsberechtigt ist, wie sie geschützt und vernichtet werden und welche Rechte der Einzelne in Bezug auf seine personenbezogenen Daten hat. Letztlich besteht das Ziel dieser Gesetze und Vorschriften darin, den Einzelnen vor Sicherheitslücken zu schützen, die zum Missbrauch seiner personenbezogenen Daten führen.

DIE DATENSCHUTZGRUNDSÄTZE

Begrenzte Erhebung

Personenbezogene Daten dürfen nur mit rechtmäßigen, lauteren Mitteln und mit Einwilligung der betroffenen Person erhoben werden.

Datenqualität

Personenbezogene Daten müssen ihrer Zweckbestimmung entsprechen und genau und aktuell sein.

Sicherheitsvorkehrungen

Personenbezogene Daten sind durch angemessene Sicherheitsvorkehrungen gegen Verlust sowie Zugriff, Zerstörung, Nutzung, Veränderung oder Offenlegung der Daten durch Unbefugte zu sichern.

Nutzungsbegrenzung

Personenbezogene Daten dürfen nicht offengelegt, bereitgestellt oder für andere Zwecke als den angegebenen genutzt werden, ausgenommen mit Einwilligung der betroffenen Person oder von Gesetzes wegen.

Zweckbestimmung

Personenbezogene Daten dürfen nur erhoben werden, wenn der Zweck, für den diese Daten erhoben werden, zum Zeitpunkt der Datenerhebung offengelegt wird, und die spätere Nutzung ist auf die Erfüllung dieses Zwecks bzw. eine Nutzung zu beschränken, die mit dem angegebenen Zweck nicht unvereinbar ist.

Offenheit

Bezüglich Entwicklungen, Vorgehensweisen und Richtlinien im Hinblick auf personenbezogene Daten ist eine Politik der Offenheit zu üben und dafür zu sorgen, dass die personenbezogenen Daten, der Zweck ihrer Verwendung sowie die Identität des Datenverantwortlichen festzustellen sind.

Mitspracherecht

Sie werden so aufbewahrt, dass eine Person bestätigen kann, ob ein Datenverantwortlicher über ihre personenbezogenen Daten verfügt, dass Informationen zu den personenbezogenen Daten sofort an die Person übermittelt werden, dass sie eine Begründung bei Ablehnung eines Antrags auf Informationen erhält und dass die Daten gelöscht, berichtigt, vervollständigt oder geändert werden können.

Rechenschaftspflicht

Ein Datenverantwortlicher ist für die Einhaltung der Grundsätze verantwortlich. Diese Grundsätze bauen auf den acht Grundprinzipien der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) auf.

WAS IST DIE DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) DER EUROPÄISCHEN UNION (EU)?

Die DSGVO, die am 25. Mai 2018 in Kraft trat, ist eine umfassende Reform der bestehenden EU-Datenschutzgesetze, die die Rechte der EU-Bürger erweitert und striktere Anforderungen an Unternehmen stellt, die Waren und Dienstleistungen an Bürger in der EU liefern.  

Das neue Gesetz gilt nicht nur für Organisationen mit Sitz in der EU, sondern auch für solche außerhalb der EU, die Bürgern in der EU ihre Waren und Dienstleistungen anbieten. Verstößt eine Organisation gegen die DSGVO, kann das zu einem Bußgeld in Höhe von 2 % bis 4 % ihres weltweiten Jahresumsatzes führen. Je schwerwiegender der Verstoß ist, desto höher ist erwartungsgemäß die Strafe. Andere wichtige Aspekte der DSGVO sind die folgenden:

  • Unternehmen, die laut Verordnung als „Datenverantwortliche“ angesehen werden, müssen die Behörden innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung der Sicherheit personenbezogener Daten verständigen
  • Privacy by Design (eingebauter Datenschutz) ist der Standard für Produkte und Dienstleistungen
  • Datenverantwortliche müssen Datenschutz-Folgenabschätzungen durchführen, einschließlich einer Beurteilung ihrer Händler und Lieferanten
  • Für Mitarbeiter müssen relevante Schulungen bereitgestellt werden, die ihren Zugang zu personenbezogenen Daten und ihren Verantwortungsbereich reflektieren
  • Organisationen müssen bestimmen, ob sie einen Datenschutzbeauftragten einsetzen müssen
  • Compliance muss nachweisbar sein – Organisationen müssen bestimmen, wie sie ihre Compliance mit den Anforderungen nachweisen können

Folgende Maßnahmen sind zu leisten, um Datenschutz im Unternehmen gewährleisten zu können

Maßnahme 1

Ihre Organisation sollte einen Verhaltenskodex haben, der Ihre Unternehmenskultur beschreibt und die Grundlage für sämtliche Richtlinien und Verfahren bildet.

Maßnahme 2

Nutzen Sie ein Programm zur Richtlinien- und Verfahrensverwaltung, um die Richtlinien für alle Stakeholder zugänglicher zu machen und rechtliche Risiken zu reduzieren.

Maßnahme 3

Realisieren Sie ein effektive Compliance-Schulungen, angefangen bei der Unternehmensführung, um diese ethische Kultur zu stärken.

Maßnahme 4

Machen Sie sich mit den Anforderungen der DSGVO vertraut und bestimmen Sie, ob die Verordnung Auswirkungen auf Ihr Unternehmen hat.