Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Datenschutz vs. Compliance - LawCamp 2013

Data protection is a part of Compliance. But sometimes there are points of friction and different views on the same topic. This prezi shows a few examples for this conflict and points to some solution ideas.
by

Joerg Steinhaus

on 3 April 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Datenschutz vs. Compliance - LawCamp 2013

@datenmafia
prezi.com/user/joergsteinhaus
datenschutzpolitik.de

Jörg Steinhaus | Fresenius SE & Co. KGaA | Else-Kröner-Straße 1 | 61352 Bad Homburg | joerg.steinhaus@fresenius.com
Datenschutz
vs.
Compliance
Jörg Steinhaus | Fresenius SE & Co. KGaA
Frankfurt | 20. April 2013
Kartellrecht
Korruption
Datenschutz
Gliederung
Grundlagen des "Konflikts" zwischen Datenschutz und Compliance
Die drei häufigsten Verstöße
Kartellrecht
Korruption
Datenschutz
Lösungsansätze
Blick in die Glaskugel - what's next?
Rechtsproblematik
Abwägung zwischen
berechtigten Interessen des Unternehmens und
schutzwürdigen Interessen des Betroffenen
§ 91 II Aktiengesetz

Corporate Governance Kodex

§ 130 OWiG
§ 91 II (Organisation): Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

§ 93 AktG (Ermessensspielraum): Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.
4.1.3: Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).

4.1.4: Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.
§ 130 I 1 OWiG: Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.
Recht auf informationelle Selbstbestimmung

§ 4 I BDSG
BVerfGE 65,1: Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.
§ 4 I BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
Zwischenfazit
Eine konkrete Rechtsgrundlage als Erlaubnisnorm zur Datenverarbeitung im Sinne des BDSG stellen aber weder § 91 II AktG noch der wesentlich unkonkretere DCGK dar.
Vgl. Simonet: Implementierung interner Whistleblowingsysteme. Berlin 2004.
Die drei häufigsten Verstöße
Kartellrecht
Korruption
Datenschutz
KPMG Compliance Benchmark-Studie 2011
http://www.kpmg.de/docs/2011_Compliance_Benchmark_Studie.pdf
Drakonische Strafen
Verstoß kann mit bis zu 10% des Jahresumsatzes bestraft werden.
§ 81 IV 2 GWB: Gegen ein Unternehmen oder eine Unternehmensvereinigung kann über Satz 1 hinaus eine höhere Geldbuße verhängt werden; die Geldbuße darf 10 vom Hundert des im der Behördenentscheidung vorausgegangenen Geschäftsjahr erzielten Gesamtumsatzes des Unternehmens oder der Unternehmensvereinigung nicht übersteigen.
Unternehmensinterner Verhaltenskodex
Keine Vereinbarungen zur Beeinträchtigung des Wettbewerbs
Keine abgestimmten Verhaltensweisen
Objektive Bewertung von Angeboten
Keine Beschränkung von Handelspartnern
Innenrevision bei Konzerntochter
Kontrolle von Vorträgen, Veröffentlichungen und durchgeführten Studien von Ärzten im Krankenhaus
Prüfung von Abrechnungen auch auf Basis der Diagnosen in Patientenakten
Datenschutzkonforme Lösung
Kontrolle als ADV der Innenrevision der Konzernmutter für die Tochtergesellschaft
Zusätzlich nicht-personenbezogene Kontrolle des IKS und der Prozesse des Krankenhauses
Weitere Erfordernisse bei IDV
E-discovery für Verfahren in den USA
Durchsicht von E-Mails im Rahmen eines Pretrial-Verfahrens
Herausforderung: erlaubte Privatnutzung und Übermittlung von Daten in die USA
Lösungsvorschlag
Einbindung eines Spezialunternehmens für data collection mit anerkanntem Prozess zu e-discovery
Löschen privater Nachrichten durch Mitarbeiter (Ausüben der Verfügungsgewalt i.S.d. TKG)
Übermittlung der Daten mit ADV an Safe-Harbor-zertifizierten Spezialisten zur Aufarbeitung der Daten
Übermittlung der Ergebnisse nach § 28 II 2 a BDSG an eigene Tochter in den USA (Safe-Harbor oder SVK der EU)
§ 28 II BDSG: Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig [...]
2. soweit es erforderlich ist,
a) zur Wahrung berechtigter Interessen eines Dritten [...]
und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat.
Beispiel Siemens
330 dubiose Projekte, 4300 illegale Zahlungen
Kosten von 2,5 Milliarden EUR für Strafen, Nachsteuern und Beratungsleistungen
Unternehmensinterner Verhaltenskodex
Keine Geschäfte mit unlauteren Methoden
Angemessene Vergütung für Berater
Festlegung von Obergrenzen für Bewirtungen, Geschenke und Einladungen
Limitierung Sponsoring von Veranstaltungen
Sonderfall Ärzte
http://www.sueddeutsche.de/wirtschaft/siemens-korruptionsaffaere-das-ist-wie-bei-der-mafia-1.1046507
Kassenärzte, die für die Verordnung von Arzneimitteln Geschenke von Pharma-Unternehmen entgegennehmen, machen sich nicht wegen Bestechlichkeit strafbar.

BGH GSSt 2/11 vom 29.3.2012:
Ein niedergelassener, für die vertragsärztliche Versorgung zugelassener Arzt handelt bei der Wahrnehmung der ihm in diesem Rahmen übertragenen Aufgaben (§ 73 Abs. 2 SGB V, hier: Verordnung von Arzneimitteln) weder als Amtsträger im Sinne des § 11 Abs. 1 Nr. 2 Buchst. c StGB noch als Beauftragter der gesetzlichen Krankenkassen im Sinne des § 299 StGB.
http://www.n-tv.de/politik/Aerzte-Bestechung-ist-voellig-legal-article6562536.html
Aufdeckung Datenschutzverstöße
Einführung von Whistleblowing
Insidergeschäfte
Privatnutzung dienstlicher E-Mail-Konten
Herausforderung
§ 32 BDSG Beschäftigtendatenschutz
§ 32 I 1 BDSG: Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhält-nisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

§ 32 I 2 BDSG: Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Whistleblowing
Düsseldorfer Kreis / WP 29:
Beschränkung der aufzuklärenden Verstöße (Katalog)
Einschränkung Kreis der meldeberechtigten Personen
Einschränkung Kreis der meldbaren Personen
Mögliche Lösung: externer Anbieter?
Mitarbeiter des Unternehmens sind keine Beschäftigten des externen Anbieters
Dennoch sind die Abwägungen nach § 28 I 2 Nr. 2 BDSG analog zum Beschäftigtendatenschutz
Klare Regelungen / Workflows erforderlich
Nur berechtigte Personen dürfen Daten verarbeiten
"Ausweichverhalten"
Einschalten von "Privatermittlern", die Daten nach § 28 statt nach § 32 BDSG verarbeiten
Prüfen von beschäftigungsfernen Vorgängen, etwa bei Terrorlisten der EU
Konfrontation mit Mitarbeitern
Auskunftsverweigerung nicht im Zivilrecht (BGHZ 41, 318 von 1964)
Keine uneingeschränkte Geltung, da sonst als verhaltensbedingte Kündigung durch den Arbeitgeber sanktionierbar
Was nun?
Etablierung eines internen Kontrollsystems durch § 91 II AktG gefordert
PS 980 der IDW gibt zwar einen Rahmen vor, bietet aber keine konkrete Lösung
http://www.pwc.de/de/compliance/neuer-pruefungsstandard-gibt-compliance-verantwortlichen-sicherere-orientierung.jhtml
Lösungsansatz
Verhaltenskodex / Code of Conduct
Entwicklung gefahrenanpasster Verfahren zur Kontrolle der Einhaltung der unternehmens-internen Richtlinien
Maßnahmen des § 9 BDSG und Anlage
What's next? Der Blick in die Glaskugel
Bring Your Own Device:
Lizenzen bei eigenen / privaten Apps
Mitarbeiter als Dritter in Bezug auf Daten-speicherung (Eigentum vs. Information)

Bring Your Own Biometrics:
Authentifikation jenseits des Passworts

Big Data:
De-Anonymisierung von Daten durch Profilbildung, Verknüpfung, Geolokalisierung
Offene Fragen und Themen
Subventionsbetrug
Einhaltung von EU-Vorgaben
Produkthaftung
z.B. gesetzliche Vorgaben für Arzneimittel / GMP plus Aufsicht EMA, FDA
Umweltschutz und Arbeitssicherheit
M&A Due Diligence
Prüfung von Beschäftigten zu akquirierender Unternehmen
Daher im Allgemeinen Rückgriff auf die Rege-lungen des BDSG, insbesondere §§ 28 und 32.
Bei der Erstellung dieser Präsentation wurde die größtmögliche Sorgfalt angewendet. Dennoch bleiben Änderungen, Irrtümer und Auslassungen vorbehalten. Alle Aussagen sind private Äußerungen des Referenten, nicht des Unternehmens.
Datenschutz vs. Compliance
Bildnachweise: texelart/123RF, United Artists/MGM, Arthur Abraham/WBO
Full transcript