Menschen laufen aus Vogelperspektive

Wenn der Mensch zum Datenschutzrisiko wird

Wie werden Unachtsamkeit, Nachlässigkeit und mangelndes Unrechtsbewusstsein vermieden?

In einer Welt, die sich immer dynamischer entwickelt und immer mehr Möglichkeiten bietet, vielfältige technische Lösungen einzusetzen, bleibt eine Konstante gleich: Der Risikofaktor Mensch. Er wirkt intern als Leiter, Koordinator und Ausführer im Unternehmen und ist Dreh- und Angelpunkt bei Entscheidungen. Und er ist zugleich Auslöser wirtschaftskrimineller Handlungen und somit ein wesentlicher Treiber von Compliance-Risiken.

Unsere Studie „Im Spannungsfeld – Wirtschaftskriminalität in Deutschland 2020“ bestätigt, dass bei wirtschaftskriminellen Handlungen der Mensch ein wesentlicher Risikofaktor ist. Interne Täter spielen bei der Begehung von Wirtschaftsdelikten eine wesentliche Rolle. So gaben 53 Prozent der befragten Unternehmen an, dass an wirtschaftskriminellen Handlungen eine unternehmensangehörige Person beteiligt war.

Der Mensch als Risikotreiber

Neben Risikofaktoren, die sich durch organisatorische Begebenheiten, wie etwa mangelhafte Kontrollsysteme, fehlende Leitlinien und Vorgaben oder äußere Bedingungen ergeben können, kann auch der Mitarbeiter ein wesentlicher Risikotreiber für wirtschaftskriminelle Handlungen wie Datendiebstahl und Datenmissbrauch sein. Das belegt auch unsere Studie: Unachtsamkeit und Nachlässigkeit (51 Prozent) sowie mangelndes Unrechtsbewusstsein (49 Prozent) werden von den befragten Unternehmen als die schwerwiegendsten Risikofaktoren gesehen und hängen unmittelbar mit dem Verhalten des einzelnen Mitarbeitenden zusammen. Aus diesem Grund gilt es, einen ganzheitlichen Präventionsansatz für die Vermeidung wirtschaftskrimineller Handlungen umzusetzen.

Durch präventive Maßnahmen integres Handeln stärken

Der ganzheitliche Ansatz zur Vermeidung von Datendiebstahl und Datenmissbrauch sollte neben Maßnahmen, die nach außen wirken (bspw. Verstärkung technischer Maßnahmen), insbesondere auch Maßnahmen umfassen, die nach innen wirken und die Integrität der Mitarbeitenden stärken.

Die Etablierung einer Datenschutz-Kultur, die im Unternehmen gelebt wird, hat dabei eine zentrale Bedeutung. Sie legt den Grundstein für das Verhalten der Organisation und der einzelnen Mitarbeitenden und schafft die Rahmenbedingungen für den Umgang mit dem Thema. Eine angemessene Datenschutz-Kultur gibt Rahmenbedingungen für das tägliche Handeln und zeigt klare Grenzen auf. Geschäftsleitung und Führungskräfte sollten diese Kultur vorleben und angemessen dazu kommunizieren. Die Umsetzung sollte zusätzlich von entsprechenden Kampagnen begleitet werden.

Mitarbeiter sollten über Datenschutzrisiken aufgeklärt sein

Außerdem sollten im Unternehmen klare Verantwortlichkeiten und Ansprechpartner für das Thema Datenschutz verankert und kommuniziert werden. Die sichtbare Datenschutz-Organisation schafft Transparenz und ermöglicht es Mitarbeitern Rückfragen, Auffälligkeiten und Hinweise zu platzieren. Unternehmen haben in diesem Zusammenhang sicherzustellen, dass entsprechende Ressourcen und Meldekanäle verfügbar sind und die Zuständigkeiten klar verteilt und kommuniziert sind.

Als weiterer Baustein zur Vermeidung von Datendiebstahl und Datenmissbrauch sollte bei den Mitarbeitenden ein Bewusstsein für das Thema geschaffen werden. Hierzu zählt neben der Schulung zu den datenschutzrechtlichen Anforderungen und Erscheinungsformen von Datendiebstahl und Datenmissbrauch auch die Sensibilisierung dafür, was nicht-datenschutzkonformes Verhalten auslösen kann. Die Schaffung von Transparenz über die Anforderungen und entsprechenden Risiken sowohl für das Unternehmen als auch für jeden Einzelnen fördert die Integrität und das konforme Verhalten von Mitarbeitenden.

Verbesserungspotenziale erkennen und umsetzen

Unternehmen sollten die Bandbreite an präventiven Maßnahmen zur Vermeidung von Datendiebstahl und Datenmissbrauch nutzen und regelmäßig evaluieren. Nur so wird sichergestellt, dass auf sich verändernde Risiken angemessen reagiert wird und gegebenenfalls erforderliche Maßnahmen zur Vermeidung von Datendiebstahl und Datenmissbrauch ergriffen werden. Bußgelder, mögliche Reputationsschäden sowie weitere monetäre Schäden können hierdurch vermieden und die Datenschutzkonformität des Unternehmens so langfristig sichergestellt werden.