Integration zwischen Compliance-Programmen und dem Allgemeinen Datenschutzgesetz

Die zunehmende Komplexität rechtlicher und geschäftlicher Beziehungen in der heutigen Gesellschaft erfordert von Unternehmen die Einführung strukturierter interner Kontrollmechanismen und regulatorischer Compliance-Mechanismen. In diesem Zusammenhang wird die Implementierung von Compliance-Programmen zu einem unverzichtbaren Instrument zur Gewährleistung der Einhaltung von Gesetzen, Vorschriften, ethischen Standards und internen Richtlinien.

Mit der Verabschiedung des Gesetzes Nr. 13.709/2018 (Allgemeines Gesetz zum Schutz personenbezogener Daten – LGPD) verfügt das brasilianische Rechtssystem nun über ein neues System zum Schutz der Privatsphäre und personenbezogener Daten, das allen Datenverarbeitern bestimmte Verpflichtungen auferlegt.

 In diesem Zusammenhang ist die Schnittstelle zwischen Compliance und LGPD unvermeidlich. Die Einhaltung des LGPD ist nicht nur eine technische Anforderung, sondern eine echte rechtliche Verpflichtung. Die Nichteinhaltung kann zu verwaltungsrechtlichen, zivilrechtlichen und in bestimmten Situationen sogar strafrechtlichen Konsequenzen führen und dem Ruf des Unternehmens, das diese Standards nicht einhält, erheblich schaden.

Daher ist es entscheidend, dass Compliance-Programme vollständig auf die LGPD-Richtlinien abgestimmt sind, um die mit der Verarbeitung personenbezogener Daten verbundenen Risiken zu minimieren. Die Implementierung interner Kontrollen, die Etablierung einer ethischen Kultur und die Einführung bewährter Geschäftspraktiken sind wesentliche Säulen, um illegale Datenlecks zu verhindern und die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

Damit ein Unternehmen die Richtlinien der Datenschutz-Grundverordnung (DSGVO) und ein Compliance-Programm einhalten kann, sind eine Reihe grundlegender Maßnahmen erforderlich. Dazu gehören: Erfassung und Dokumentation aller vom Unternehmen verarbeiteten personenbezogenen Daten, einschließlich ihrer Erhebung, Speicherung und Entsorgung; Entwicklung klarer und zugänglicher Datenschutzrichtlinien und Nutzungsbedingungen, die genau darüber informieren, wie Daten erhoben, verwendet und geschützt werden; Einrichtung eines Kundendienstkanals für betroffene Personen, damit diese ihre Rechte wie Zugriff, Berichtigung, Löschung, Datenübertragbarkeit und Widerruf der Einwilligung ausüben können; kontinuierliche Schulung der Mitarbeiter zu Datenschutz und bewährten Sicherheitspraktiken, Förderung einer Kultur des ethischen Umgangs mit Daten und der Prävention von Sicherheitsvorfällen; Einführung effektiver Verfahren zur Reaktion auf Sicherheitsvorfälle, die ein schnelles und strukturiertes Handeln im Falle von Datenlecks oder unbefugtem Zugriff ermöglichen, einschließlich Eindämmungsmaßnahmen, Risikobewertung und Kommunikation mit Behörden und betroffenen Personen. Und schließlich Durchführung regelmäßiger interner Audits mit dem Ziel, die laufende Compliance zu bewerten und sicherzustellen, dass die gesetzlichen Richtlinien effektiv eingehalten werden.       

 Mit anderen Worten: Data Governance umfasst die Definition der Prozesse, Richtlinien und Strukturen, die für die sichere und effektive Verwaltung von Daten innerhalb der Organisation verantwortlich sind. Wenn diese Governance jedoch nicht mit der Compliance im Einklang steht, entstehen Probleme, die sowohl die Rechtssicherheit als auch den Ruf des Unternehmens gefährden können.

Daher ist die Integration von Datenverwaltung und Compliance nicht nur empfehlenswert, sondern für Unternehmen, die integer und verantwortungsbewusst sowie in Übereinstimmung mit rechtlichen und ethischen Anforderungen agieren möchten, eine Notwendigkeit.

Amanda Batista Fernandes Segala ist Anwältin bei der Anwaltskanzlei Rücker Curi Law and Legal Consulting.