Thought Leadership
Kundenvertrauen – das ist für viele Unternehmen das wichtigste Asset in ihrem Geschäftsmodell. Datenschutz sollte daher nicht als lästige Pflicht verstanden und aus Furcht vor Strafzahlungen infolge von Verstößen gegen die EU-Datenschutzgrundverordnung (DSGVO) betrieben werden, sondern aus ureigenem Geschäftsinteresse.
Im “Daily Business” kommt es allerdings häufig zu Reibereien mit dem Datenschutzbeauftragten, die für Projektverzug und Ärger sorgen sowie Zeit und Geld kosten. Denn: Einzelne Mitarbeiter verfolgen bei ihren Projekten vor allem ihre operativen Ziele ohne die datenschutzstrategische Agenda ihres Unternehmens im Hinterkopf. Für Björn Wenninger, Manager bei der Managementberatung Berg Lund & Company, haben sich in der Praxis drei Grundsätze als nützlich erwiesen, um solche Konflikte zu vermeiden.
1. Andere Perspektive einnehmen
Wie in allen Bereichen des Lebens hilft es auch im Umgang mit Datenschutzbeauftragten, sich in die Position des Gegenübers hineinzuversetzen. Der Datenschutzbeauftragte trägt kein leichtes Los: Geht etwas bei der Handhabung personenbezogener Daten schief, muss er sich dafür verantworten.
Jeder Schaden für sein Unternehmen – zum Beispiel für den Ruf des Hauses -, der sich aus dem unsachgemäßen Umgang mit personenbezogenen Daten ergibt, fällt direkt auf ihn zurück. Und dies ungeachtet der Tatsache, ob dieser Schaden auf einen Fehler oder ein unmittelbares Versäumnis seinerseits zurückzuführen ist oder nicht. Gleichzeitig beteiligt das Unternehmen ihn, um Interessenskonflikte im Spanungsfeld zwischen ökonomischen Potenzialen und datenschutzrechtlichen Beschränkungen zu vermeiden, aus gutem Grunde nicht am wirtschaftlichen Erfolg. Gerade im Bankenumfeld, in dem Vertrauen das höchste Gute ist, stellen Verstöße gegen den Datenschutz eine Gefahr dar, die sogar die Existenz des Institutes bedrohen kann. Aus Sicht des Datenschützers gilt daher: Vorsicht steht über allem.
Jeder, der sich über ein vermeintlich kurzsichtiges Veto des verantwortlichen Datenschutzbeauftragten ärgert, sollte sich daher zunächst die Frage stellen, ob er unter diesen Voraussetzungen anders handeln würde. Die Antwort wird nicht selten ein “Nein” sein. Ein solches Verständnis für den Anderen hilft bereits dabei, Grabenkämpfe zu vermeiden und stattdessen gemeinsam nach Lösungen zu suchen, die pragmatisch und für beide Seiten zufriedenstellend sind.
2. Datenschutzbeauftragten früh einbinden
Stellen Sie sich folgende Situation vor: Für ein Projekt hat ihr Unternehmen viel Geld in die Hand genommen und die Mitarbeiter haben Überstunden gemacht. Kurz vor dem Ende der Konzeptionsphase beziehen sie den Datenschutzbeauftragten mit ein und erbitten seine fachliche Meinung. Aus meiner Praxiserfahrung weiß ich, dass es bei der absoluten Mehrheit der Fälle Anpassungswünsche seinerseits gibt. Meist sind seine Hinweise auch wohl begründet und die Projektbeteiligten nehmen sie als hilfreich und richtig an. Im besten Fall geht es nur um ein paar kleinere Anpassungen oder organisatorische Maßnahmen. Es kann jedoch auch zum GAU kommen und der Erfolg des Projekts steht gänzlich infrage. Das Ergebnis: Langwierige und teure Anpassungen am ursprünglichen Konzept sind vonnöten.
Sollte das Projekt einen Berührungspunkt mit der Verarbeitung personenbezogener Daten haben, führt früher oder später ohnehin kein Weg an einer Abstimmung mit dem Datenschutzbeauftragten vorbei. Binden die Projektmitarbeiter ihn bereits zu Beginn der Konzeptionsphase ein, lassen sich mögliche Schwierigkeiten rechtzeitig identifizieren und gemeinsam wesentliche Leitlinien für einen erfolgreichen Projektverlauf abstecken. Das spart mittelfristig viel Arbeit und schont das Budget.
3. Gemeinsam Lösungen ausloten
Wird der Datenschutzbeauftragte früh in ein Projekt eingebunden, können die übrigen Beteiligten von seiner Expertise im Datenschutzdschungel profitieren. Anstatt den obersten Datenschützer im Unternehmen als binären “Abnicker” für mehr oder weniger fertige Konzepte zu betrachten, kann er in vielen Fällen zu einem essenziellen Teil des Projektteams werden. Wie das? Nun, zum einen fördert der Austausch von Fach- und Datenschutzexpertise im Team ein gemeinsames Verständnis für die vorhandenen Spielräume, die die datenschutzrechtlichen Vorgaben bieten. Zum anderen zeigt die Erfahrung, dass durch Diskussionen zwischen den Mitarbeitern oft kreative Lösungen für zunächst vermeintlich unlösbar erscheinende Probleme entstehen.
So ist es uns in einem Projekt im Schulterschluss zwischen Fachseite und Datenschutzbeauftragtem nach anfänglichen Differenzen beispielsweise gelungen, eine pragmatische Lösung für den Umgang mit dem Prinzip der minimalen Rechtevergabe gemäß MaRisk im Kontext einer aus datenschutzrechtlicher Sicht kritischen IT-Anwendung zur elektronischen Kreditaktenverwaltung zu erarbeiten. Durch das gemeinsame Ausloten und Bewerten der Lösungsoptionen entsteht im Idealfall ganz nebenbei eine aussagekräftige Dokumentation. Sie zeigt zum Beispiel, in welchem Umfang sich die Mitarbeiter mit Fragen des Datenschutzes auseinandergesetzt haben: Welche möglichen Folgen können die Projektergebnisse aus datenschutzrechtlicher Sicht haben? Wie bewertet das Projektteam vorhandene Ansätze bezüglich ihrer datenschutzspezifischen, betrieblichen, IT-technischen und kostenseitigen Implikationen?
Zusammengefasst: Die Anforderungen an eine DSGVO-konforme Datenschutz-Folgenabschätzung, die bei Anpassungen mit einem voraussichtlich hohen Risiko explizit gefordert wird, werden somit bereits zu großen Teilen erfüllt.
berg-lund.de
