Compliance Westfälische Wilhelms-Universität Münster Vorlesung zum Datenschutzrecht - WS 2010/2011 Compliance Rechtsanwalt Dr. Ulrich Wuermeling, LL.M. (London) ulrich.wuermeling@lw.com
Übersicht Compliance-System Datenschutzrecht allgemeine Pflicht Ausgestaltung Datenschutzrecht spezielle organisatorische Compliance-Pflichten Verhältnis zwischen Compliance-Officer und betrieblichem Datenschutzbeauftragten
Allgemeine Pflicht zur Schaffung eines Compliance-Systems (1) Keine allgemeine Rechtspflicht, ein Compliance-System zu schaffen Aber: Konsequenzen bei Verletzung der Aufsichtspflicht in Betrieben und Unternehmen nach § 130 OWiG Einzelfallbetrachtung je nach Kriterien wie Branche, Unternehmensgröße, Internationalisierungsgrad, Konzernstruktur oder Börsennotierung Schaffung eines Compliance-Systems dient vornehmlich der Reduzierung interner und externer Haftungsrisiken Extern: Nachweis der Einhaltung von Sorgfaltspflichten Intern: Exkulpationsmöglichkeiten der Geschäftsleitung im Falle des Vorwurfs von Pflichtverletzungen
Allgemeine Pflicht zur Schaffung eines Compliance-Systems (2) Für Vorstände und Geschäftsführer sowie für Aufsichtsräte bestehen Pflichten, die ein Compliance-Systeme zumindest ratsam erscheinen lassen: Verpflichtung zur „sorgfältigen“ Geschäftsführung (§§ 93 Abs. 1 Satz 1 AktG, 43 Abs. 1 GmbHG) Überwachungspflichten des Aufsichtsrats (§ 11 AktG) Persönliche Haftungsrisiken von Geschäftsführern, Vorständen oder Aufsichtsratsvorsitzenden bei Verletzung ihrer Pflichten (§§ 93 Abs. 2, 116 AktG, 43 Abs. 2 GmbHG) Berichtspflicht des Vorstands gegenüber dem Aufsichtsrat (§ 90 AktG) Verpflichtung des Vorstands zur Einrichtung eines Überwachungssystems, das den Fortbestand von die Gesellschaft gefährdenden Entwicklungen früh erkennt (§ 91 Abs. 2 AktG) Die Verpflichtungen für Aktiengesellschaften werden weitgehend entsprechend auf andere Rechtsformen angewandt (so ausdrücklich die Gesetzesbegründung zu § 91 Abs. 2 AktG)
Allgemeine Pflicht zur Schaffung eines Compliance-Systems (3) Branchenspezifische Organisationspflichten wie beispielsweise für Kreditinstitute oder Wertpapierhandelsunternehmen (§§ 25a KWG, 33 WpHG) Selbstverpflichtung im Rahmen von Ziffer 4.1.3 des Deutschen Corporate Governance Kodex in der Fassung vom 26. Mai 2010 (www.corporate-governance-code.de): „4.1.3 Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).“
Ausgestaltung eines Compliance-Systems (1) Ernennung eines Compliance Officers Garantenpflicht im Sinne des § 13 Abs. 1 StGB BGH Urteil vom 17. Juli 2009 (5 StR 394/08) Sicherstellung der Unabhängigkeit disziplinarisch organisatorisch finanziell Zuständigkeit im Hinblick auf das Compliance-System Implementierung Dokumentation Weiterentwicklung Überwachung
Ausgestaltung eines Compliance-Systems (2) Implementierung eines geeigneten Kontroll-, Berichts- und Informationssystems Erkennen spezifischer Situationen, die aktuellen Beratungsbedarf auslösen (beispielsweise Fragen der Kapitalerhaltung, Transaktionen auf Gesellschafterebene) Möglichkeit, gegen drohendes oder bereits existierendes vorschriftswidriges Verhalten im Unternehmen vorzugehen (beispielsweise in Bezug auf Beraterverträge und Korruption) Etablierung von Informations- und Berichtspflichten zum Zwecke der lückenlosen Informationsbeschaffung und Dokumentation Regelmäßige Kontrolle des Compliance-Systems selbst
Spezielle organisatorische Compliance-Pflichten aus dem Datenschutzrecht Unternehmen ist „verantwortliche Stelle“ im Sinne des Bundesdatenschutzgesetzes (§ 3 Abs. 7 BDSG) Datenschutz ist Verantwortlichkeit der Geschäftsleitung Verpflichtung zum Aufbau eines Datenschutz-Compliance-Systems Bestellung eines betrieblichen Datenschutzbeauftragten mit Kontrollbefugnissen Führung eines internen Verarbeitungsverzeichnisses Vorabprüfung sensibler Datenverarbeitungen Schulung der Mitarbeiter
Ausgestaltung des datenschutzrechtlichen Compliance-Systems (1) Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (§ 4f Abs. 1 BDSG) manuelle Verarbeitung: ab 20 Mitarbeiter automatisierte Verarbeitung: ab 10 Mitarbeiter besondere Fälle (Vorabkontrolle, Datenhändler sowie Markt- und Meinungsforschung) Schriftliche Bestellung (§ 4f Abs. 1 BDSG) Eignung (§ 4f Abs. 2 Satz 1 BDSG) Fachkunde Zuverlässigkeit Externer betrieblicher Datenschutzbeauftragter (§ 4f Abs. 2 Satz 3 BDSG)
Ausgestaltung des datenschutzrechtlichen Compliance-Systems (2) Strafrechtliche Verantwortlichkeit Entsprechende Anwendung des BGH-Urteils vom 17. Juli 2009 (5 StR 394/08) zum Compliance-Officer? „Deren Aufgabengebiet ist die Verhinderung von Rechtsverstößen“ (RdNr. 27) ≠ „wirkt .. hin“ (§ 4g Abs. 1 Satz 1 BDSG) Zivilrechtliche Haftung Arbeitsvertrag Delikt
Ausgestaltung des datenschutzrechtlichen Compliance-Systems (3) Sicherstellung der Unabhängigkeit des betrieblichen Datenschutzbeauftragten (§ 4f Abs. 3 BDSG) unmittelbar der Geschäftsleitung unterstellt Weisungsfreiheit Benachteiligungsverbot Kündigungsschutz Schulungsanspruch Recht zur Anrufung der Datenschutzaufsicht (§ 4g Abs. 1 Sätze 1 und 2 BDSG)
Ausgestaltung des datenschutzrechtlichen Compliance-Systems (4) Zuständigkeit des betrieblichen Datenschutzbeauftragten (§ 4g BDSG) „wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin“ ordnungsgemäße Anwendung der Datenverarbeitungsprogramme Mitarbeiterschulung Verarbeitungsübersicht vom Unternehmen „zu Verfügung zu stellen“ Umsetzung „Jedermann“ Einsichtsrecht Vorabkontrolle sensibler Verarbeitungen
Ausgestaltung des datenschutzrechtlichen Compliance-Systems (5) Dokumentation Meldepflicht und Ausnahmen (§ 4d Abs. 1 – 4 BDSG) Interne Verfahrensübersicht (§ 4g BDSG) Vorabkontrolle (§ 4d Abs. 5-6 BDSG) Dokumentationspflichten des Unternehmens Dokumentation der Prüfung von Auftragsdatenverarbeitern (§ 11 Abs. Abs. 2 Satz 3) Werbewidersprüche (§ 28 Abs. 4 BDSG) Datenübermittlung (34 Abs. 1 a BDSG) […]
Verhältnis zwischen Compliance-Officer und betrieblichem Datenschutzbeauftragten Personalunion von Compliance-Officer und betrieblichem Datenschutzbeauftragten naheliegend wegen der sich stark überschneidenden Aufgaben und der in der Regel ähnlichen direkten Unterstellung unter die Geschäftsführung (§ 4f Abs. 3 Satz 1 BDSG) problematisch wegen der widerstreitenden Interessen bei der Entscheidung über Maßnahmen zur Überwachung von Arbeitnehmern und der daraus folgenden Zweifel an der Unabhängigkeit und Zuverlässigkeit (§ 4f Abs. 2 Satz 1 BDSG) Personalunion von Compliance-Officer und betrieblichem Datenschutzbeauftragten durch einen Mitarbeiter innerhalb der Compliance-Abteilung denkbar, wenn Verantwortungsbereiche klar aufgeteilt sind
Warum ist Datenschutz-Compliance sonst noch wichtig? Nach dem Skandal: Telekom verstärkt Datenschutz Datenschutzskandal: Sparkasse KölnBonn beschuldigt ehemaligen Berater Bewerbungsunterlagen auf Ebay versteigert Datenschutz-Skandal: Ihr Platz filmt Kunden und Mitarbeiter Neuer Datenschutzskandal: Datenschutzskandal: Deutsche Bahn blockiert Aufklärung von Spitzelaffäre Lidl entlässt Deutschland-Chef Mros Datenschutz-Skandal beim Discounter Hat Facebook ein Universal-Passwort? Gerüchte: Datenschutz-skandal auch bei der Deutschen Post Daten von 60 000 Verträgen öffentlich AWD spielt Skandal herunter Datenschutz-Skandal Mediziner wirft Patientenakten in Supermarkt-Mülleimer
18:00 Uhr Eigelstein Dorpatweg 10