Noch immer betrachten viele Führungskräfte die Umsetzung datenschutzrechtlicher Vorgaben als lästige Pflicht, für deren Erfüllung – ausschließlich – der Datenschutzbeauftragte zuständig ist. Ein solches Verständnis führt ziemlich sicher früher oder später zu folgenschweren Verstößen, und es widerspricht den Vorgaben der Datenschutz-Grundverordnung (DSGVO). In dessen Art. 5 Abs. 2 steht unmissverständlich, dass Datenschutz in den Zuständigkeitsbereich der Führungsebene fällt, dass der Verantwortliche die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten sicherstellen muss.
Zudem muss diese Einhaltung nachweisbar sein, die DSGVO spricht von der „Rechenschaftspflicht“ des Verantwortlichen. Management und Top-Management können also die Umsetzung der Vorgaben nicht einfach nach unten delegieren, sondern sie müssen die DSGVO-Compliance selbst sicherstellen. Der Datenschutzbeauftragte nimmt dagegen eine beratende Funktion wahr und überprüft die Einhaltung des Datenschutzes.
Datenschutz: Entscheidend ist die richtige Haltung
Um die Vielzahl der Betroffenenrechte angemessen im Blick zu behalten, benötigen Unternehmen zudem zwingend ein exakt justiertes Datenschutz-Managementsystem. Es regelt Zuständigkeiten, strukturiert Prozesse und Maßnahmen einschließlich ihrer Evaluation und ermöglicht erforderliche Anpassungen. Außerdem definiert dieses System auch die Datenschutz-Ziele, will sagen den Umgang mit unternehmensspezifischen Datenschutz-Risiken.
Bei der Umsetzung kommt es nicht nur auf die richtigen Schritte, sondern vor allem auf die Haltung an: Führungskräfte dürfen den Schutz von Daten nicht als starren, einmalig umzusetzenden Anforderungskatalog verstehen, sondern sollten die Einhaltung der Regeln nachhaltig vorleben.
Das Kulturthema ist nur scheinbar soft
Der „Tone from the Top“, also das von der Unternehmensführung gelebte und kommunizierte Leitbild, ist von herausragender Bedeutung. Dies unterstreicht auch die beschriebene Rechenschaftspflicht. Nur, wenn sich das Management klar zur Datenschutz-Compliance bekennt, kommt dieses Verständnis auch in den Köpfen der Mitarbeiter an. Brüstet sich dagegen der eigentlich zur Verschwiegenheit verpflichtete Chef mit Anekdoten über seine Kunden, kommuniziert er über betriebliche Belange via WhatsApp – weil das ja so einfach ist –, gibt er das Passwort seines PC auch mal an die Assistentin weiter, dann nehmen es vermutlich auch seine Mitarbeiter mit dem Datenschutz nicht mehr so genau.
Auf diese Weise etabliert sich schnell eine Kultur der Nachlässigkeiten, die mit enormen Risiken für das gesamte Unternehmen verbunden ist. Denn das Kulturthema ist nur scheinbar „soft“. Vor allem wer die Bedeutung für die Funktionsfähigkeit eines Unternehmens als Ganzes betrachtet, erkennt schnell seine „harte“ Durchschlagskraft: Beim Datenschutz ist nicht nur das Risiko, dass Fehltritte auffallen, größer geworden, sondern auch die Fallhöhe. So können Sanktionen bei Verstößen bis zu vier Prozent des weltweit erzielten Konzernvorjahresumsatzes ausmachen.
Gestärktes Vertrauen ist ein Wettbewerbsvorteil
Eine gelebte Datenschutz-Kultur bildet also das Fundament jedes Datenschutz-Managementsystems. Dessen Funktionsfähigkeit muss regelmäßig auf Angemessenheit und Wirksamkeit überprüft und bei Bedarf nachgebessert werden. Ebenso wichtig ist die regelmäßige Schulung und Sensibilisierung der mit dem operativen Datenschutz betrauten Mitarbeiter aller Fachbereiche.
All diese Schritte dienen gegenüber Aufsichtsbehörden, Dienstleistern, Betroffenen, Aufsichtsgremien und sonstigen Stakeholdern als Nachweis der Erfüllung der Rechenschaftspflicht. Und sie stärken das Vertrauen von Kunden und Öffentlichkeit und verschaffen dem Unternehmen so Wettbewerbsvorteile.