Nicht nur aus Sicht der Nutzerinnen und Nutzer ist das Thema Datenschutz ein wichtiges. Auch für Unternehmen bekam Datenschutz aus Sicherheitsaspekten und nicht auch zuletzt durch Verabschiedung der Datenschutzgrundverordnung (DSGVO) immer mehr Importanz. In einer Studie des Ponemon Institutes aus 2017 wurden die durchschnittlichen Kosten eines Datenlecks – sprich nach Definition der EU Kommission einer „Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zu Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten“ führt – mit 3,62 Millionen US-Dollar beziffert.
Es scheint daher unumgänglich, sich mit dem Thema Datenschutz zu befassen. Die Implementierung der DSGVO verursacht Kosten in Millionenhöhe für größere Unternehmen, was diesen Gesetzgebungsakt nach einer Umfrage der Financial Times zu einem der teuersten macht, der je den Technologiesektor betraf. Hierbei wird von vielen Unternehmen die Dimension besagter Verordnung unterschätzt – handelt es sich doch um einen Gesetzesakt, welcher das gesamte Unternehmen mit sämtlichen internen und externen Prozessen betrifft. Vor allem in Hinblick auf Tätigkeiten und Funktionen müssen Unternehmen überlegen, wie sie Anforderungen der DSGVO hinsichtlich der Aufbau- und Ablauforganisation in bestehende Governance-Strukturen aufnehmen können. Anzumerken ist hierzu, dass derzeit keine Best-Practice zur Implementierung von Governance-Strukturen in Konzernunternehmen existiert.
Der vorliegende Beitrag behandelt sich aus der Datenschutzgrundverordnung ergebende Aspekte der Aufbau- und Ablauforganisation und deren Eingliederung in Konzernstrukturen im Sinne einer „Good Corporate Governance“ anhand des Europäischen Three Lines of Defense Modells.