Im Spannungsfeld zwischen Compliance und Datenschutz
Die Tätigkeit des Compliance Officers erfolgt nicht im rechtsfreien Raum. Sie ist aber leider auch nur in Ansätzen umrissen durch Rechtsprechung oder durch Aufgabenzuweisungen in den gängigen Compliance-Standards. Der Beitrag zeigt auf, wo die Arbeit des Compliance Officers und das Datenschutzrecht aufeinandertreffen.
Mit der Bestellung eines Compliance Officers verfolgt die Geschäftsleitung u.a. das Ziel, sich selbst von den operativen Aufgaben, die mit der Durchsetzung eines funktionierenden Compliance-Managements verbunden sind, zu entlasten. Folglich werden auf Compliance Officer oft weitreichende Kompetenzen übertragen, damit sie ihre Aufgaben effektiv erfüllen können. Das ist auch grundsätzlich richtig so(vgl. Ettwig, KU Gesundheitsmanagement 08/2021, Seite 81). Doch man muss Acht geben, dass die Delegation nicht so weitreichend erfolgt, dass sie selbst zum Compliance-Problem wird.
Legitimation des Compliance Officers
Deutlich zeigt sich dies beim Datenschutz. Denn selbstverständlich braucht auch die Tätigkeit des Compliance Officers eine datenschutzrechtliche Grundlage. Anders als z.B. beim Datenschutzbeauftragten gibt es keine fest definierte Rechtsgrundlage für den Compliance Officer. Seine Legitimation leitet sich aus allgemeinen Pflichten zur ordnungsgemäßen Unternehmensführung ab. Das nicht mehr in Kraft getretene Verbandssanktionengesetz formulierte erstmalig Compliance-Anforderungen im Gesetz. Von der Rechtsprechung ist das Erfordernis von Compliance inzwischen anerkannt. Und die einschlägigen Standards definieren die Aufgabe des Compliance Officers und fordern die Übertragung weitreichender Kompetenzen. Und doch braucht all dieses Handeln immer eine datenschutzrechtliche Grundlage.
Datenschutzrechtliche Grundlagen des Compliance Officers
Im Zentrum der Überlegungen steht, dass der Compliance Officer bei seiner Tätigkeit notwendig personenbezogenen Daten verarbeiten muss, wenn er z.B. Interviews im Rahmen von internen Ermittlungen führt, wenn er Einsicht in Personalakten nehmen muss usw. Der deutsche Gesetzgeber hat dafür von einer Öffnungsmöglichkeit in der DSGVO Gebrauch gemacht und in § 26 Abs. 4 BDSG bestimmt, dass die Verarbeitung personenbezogener Daten auf der Grundlage von Kollektivvereinbarungen möglich ist. Datenschutzrechtlich kann die Tätigkeit des Compliance Officers also durch eine Betriebsvereinbarung oder eine Dienstvereinbarung abgesichert werden. Im dort vereinbarten Rahmen ist die Verarbeitung personenbezogener Daten dann per se zulässig.
Aber auch wenn es nicht zu einer Betriebs- oder Dienstvereinbarung kommt oder wenn der Compliance-Beauftragte personenbezogene Daten von Externen (z.B. Leiharbeitnehmende, externe Kooperationsärzte oder -ärztinnen) verarbeiten muss, bedarf es einer Rechtsgrundlage. Die Verarbeitung dieser Daten kommt dann in Betracht, wenn für den Compliance Officer ein berechtigtes Interesse an der Verarbeitung besteht (vgl. § 26 Abs. 1 BDSG). Dieses liegt vor, wenn die Interessen des Compliance Officers an der Verarbeitung der personenbezogenen Daten die Interessen des Betroffenen an der Geheimhaltung seiner Daten überwiegt. Diese sehr abstrakte Abgrenzung ist nicht leicht in die tägliche Praxis umzusetzen. Ein überwiegendes Interesse wird man regelmäßig bejahen, wenn es Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten gibt. Gleiches gilt, wenn es Anhaltspunkte für den Eintritt erheblicher wirtschaftlicher Schäden gibt. In jedem Fall muss der Compliance Officer vor der Datenverarbeitung eine Abwägung der widerstreitenden Interessen vornehmen. Und er tut gut daran, wenn er diese Abwägungen auch für sich dokumentiert. Zum einen hilft die Dokumentation, einen klareren Blick zu bekommen, ob wirklich ausreichende Gründe vorliegen. Zum anderen ist dies seine Rechtfertigung, wenn das Vorliegen hinreichender datenschutzrechtlicher Gründe angezweifelt werden sollte.
Der erstgenannte Weg über eine Kollektivvereinbarung ist vielleicht aufwendiger, bis eine solche Vereinbarung abgeschlossen ist. Sie ist jedenfalls der sichere Weg. Aber auch der andere Weg ist gangbar. Sollte sich die nächste Bundesregierung wieder mit dem Thema Unternehmensstrafrecht befassen, täte sie gut daran, nicht nur abstrakte Anforderungen zu umschreiben. Sie sollte dann auch festlegen, welche Kompetenzen diejenigen haben sollen, die dies in den Betrieben umsetzen müssen.
Autor: Volker Ettwig, Rechtsanwalt, Certified Compliance Expert, Tsambikakis & Partner Rechtsanwälte mbB
erschienen in KU Gesundheitsmanagement 11/2021