Datenschutz & Compliance

Die Bedeutung des Datenschutzes im Bereich Ethik und Compliance

In den vergangenen Jahren wurden neue Datenschutzgesetze verabschiedet, aber die riesigen Mengen an personenbezogenen Daten und die Leichtigkeit des Zugriffs konnten damit Schritt halten. Allein im Vereinigten Königreich gingen im letzten Jahr mehr Meldungen von Vorfällen und Bedenken bei der Datenschutzbehörde ein als in anderen Jahren. Auch bei den Datenschutzberichten wurde ein Zuwachs von 31,5 Prozent verzeichnet. Die Datenschutzbehörde bearbeitet diese Berichte und verhängt gegebenenfalls Strafen, allerdings ist ein proaktiver Ansatz zum Schutz der Kunden- und Mitarbeiterdaten viel besser für Unternehmen, die als vertrauenswürdiger Partner, Lieferant und Händler angesehen werden wollen.

Datenschutz und Datensicherheit sind besonders wichtig für Mitarbeiter im Bereich Ethik und Compliance. Die Daten, die bei einer Whistleblowing-Hotline eingehen oder durch eine Untersuchung aufgedeckt werden, müssen von Organisationen besonders vertraulich behandelt werden. Beispielsweise können Hotlines und Helplines sowohl anonyme als auch den Mitarbeiter identifizierende Informationen aufzeichnen – wie Name, Funktion, Geschlecht oder Abteilung – durch die eine Person entweder direkt oder indirekt identifiziert werden kann.

Erfahren Sie, wie NAVEX Global Ihre Daten schützt

Datenschutz und Datensicherheit sind eng miteinander verknüpft, sodass sie oftmals synonym verwendet werden. Allerdings muss man die Unterschiede zwischen Schutz und Sicherheit kennen, um zu verstehen, wie sie sich gegenseitig ergänzen. Unter Datensicherheit versteht man den Schutz der Daten vor unerlaubtem Zugriff. Beim Datenschutz geht es um die Zugriffsberechtigung – wer hat sie und wer definiert sie. Datenschutzbedenken ergeben sich überall dort, wo personenbezogene Daten erhoben, gespeichert oder verwendet werden.

Das primäre Ziel von Datenschutzgesetzen, wie der europäischen Datenschutz-Grundverordnung (DSGVO), besteht darin, Erwartungen festzulegen, wie personenbezogene Daten erhoben und verwendet werden, wer zugriffsberechtigt ist, wie sie geschützt und vernichtet werden und welche Rechte der Einzelne in Bezug auf seine personenbezogenen Daten hat. Letztlich besteht das Ziel dieser Gesetze und Vorschriften darin, den Einzelnen vor Sicherheitslücken zu schützen, die zum Missbrauch seiner personenbezogenen Daten führen.

DIE DATENSCHUTZGRUNDSÄTZE

Begrenzte Erhebung

Personenbezogene Daten dürfen nur mit rechtmäßigen, lauteren Mitteln und mit Einwilligung der betroffenen Person erhoben werden.

Datenqualität

Personenbezogene Daten müssen ihrer Zweckbestimmung entsprechen und genau und aktuell sein.

Sicherheitsvorkehrungen

Personenbezogene Daten sind durch angemessene Sicherheitsvorkehrungen gegen Verlust sowie Zugriff, Zerstörung, Nutzung, Veränderung oder Offenlegung der Daten durch Unbefugte zu sichern.

Nutzungsbegrenzung

Personenbezogene Daten dürfen nicht offengelegt, bereitgestellt oder für andere Zwecke als den angegebenen genutzt werden, ausgenommen mit Einwilligung der betroffenen Person oder von Gesetzes wegen.

Zweckbestimmung

Personenbezogene Daten dürfen nur erhoben werden, wenn der Zweck, für den diese Daten erhoben werden, zum Zeitpunkt der Datenerhebung offengelegt wird, und die spätere Nutzung ist auf die Erfüllung dieses Zwecks bzw. eine Nutzung zu beschränken, die mit dem angegebenen Zweck nicht unvereinbar ist.

Offenheit

Bezüglich Entwicklungen, Vorgehensweisen und Richtlinien im Hinblick auf personenbezogene Daten ist eine Politik der Offenheit zu üben und dafür zu sorgen, dass die personenbezogenen Daten, der Zweck ihrer Verwendung sowie die Identität des Datenverantwortlichen festzustellen sind.

Mitspracherecht

Sie werden so aufbewahrt, dass eine Person bestätigen kann, ob ein Datenverantwortlicher über ihre personenbezogenen Daten verfügt, dass Informationen zu den personenbezogenen Daten sofort an die Person übermittelt werden, dass sie eine Begründung bei Ablehnung eines Antrags auf Informationen erhält und dass die Daten gelöscht, berichtigt, vervollständigt oder geändert werden können.

Rechenschaftspflicht

Ein Datenverantwortlicher ist für die Einhaltung der Grundsätze verantwortlich. Diese Grundsätze bauen auf den acht Grundprinzipien der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) auf.

Die DSGVO, die am 25. Mai 2018 in Kraft trat, ist eine umfassende Reform der bestehenden EU-Datenschutzgesetze, die die Rechte der EU-Bürger erweitert und striktere Anforderungen an Unternehmen stellt, die Waren und Dienstleistungen an Bürger in der EU liefern.

Das neue Gesetz gilt nicht nur für Organisationen mit Sitz in der EU, sondern auch für solche außerhalb der EU, die Bürgern in der EU ihre Waren und Dienstleistungen anbieten. Verstößt eine Organisation gegen die DSGVO, kann das zu einem Bußgeld in Höhe von 2 % bis 4 % ihres weltweiten Jahresumsatzes führen. Umso schwerwiegender der Verstoß ist, desto höher ist erwartungsgemäß die Strafe. Andere wichtige Aspekte der DSGVO sind:

Unternehmen, die laut Verordnung als „Datenverantwortliche“ angesehen werden, müssen die Behörden innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung der Sicherheit personenbezogener Daten verständigen
Privacy by Design (eingebauter Datenschutz) ist der Standard für Produkte und Dienstleistungen
Datenverantwortliche müssen Datenschutz-Folgenabschätzungen durchführen, einschließlich einer Beurteilung ihrer Händler und Lieferanten
Für Mitarbeiter muss relevantes Training bereitgestellt werden, das ihren Zugang zu personenbezogenen Daten und ihren Verantwortungsbereich reflektiert
Organisationen müssen bestimmen, ob sie einen Datenschutzbeauftragten einsetzen müssen
Compliance muss nachweisbar sein – Organisationen müssen bestimmen, wie sie ihre Compliance mit den Anforderungen nachweisen können

WAS IST DATENSCHUTZ?

WAS IST DIE DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) DER EUROPÄISCHEN UNION (EU)?