Wissen Sie noch? Es ist gar nicht so lange her, dass man beim Besuch von Webseiten nicht nach einer Erlaubnis bezüglich Cookies gefragt wurde. Viele Internetnutzer:innen wussten nicht einmal, was Cookies überhaupt sind. Eine ziemlich prominente Website kassierte prompt eine ordentliche Strafe für ihr Schindluder im Umgang mit persönlichen Daten. Es gibt eine regelrechte Schlacht um Ihre persönlichen Daten – mit mehr als nur zwei Seiten. Kein Wunder, dass Forbes schon Ende 2019 Datenschutz und Datensicherheit zur drängendsten Herausforderung des kommenden Jahrzehnts erklärt hat. Und da stecken wir jetzt mittendrin.

Als Verbraucher:innen müssen Sie Ihre Rechte kennen und wissen, wie die Unternehmen, mit denen Sie zu tun haben, mit Ihren Daten umgehen. Aber es geht um viel mehr als die Gewissheit, dass persönliche Informationen nicht ohne Ihre Genehmigung für Werbezwecke verkauft werden.

Denn wer es darauf anlegt, kann Ihre persönlichen Daten als Waffe gegen Sie selbst wenden. Mit jeder zusätzlich beschafften Information steigt die Gefahr neuer und immer schärferer Angriffe. Diese können auch Menschen aus Ihrem privaten Umfeld treffen, Ihren Arbeitgeber oder Orte, zu denen Sie Zugang haben, weil Sie vielleicht das fehlende Puzzlestück geliefert haben. Selbst vor Erpressung oder körperlicher Gewalt schrecken Verbrecher nicht zurück, wenn sie bestimmte Daten für die Umsetzung eines größeren Plans brauchen. Das mag drastisch klingen, soll aber eines verdeutlichen: Gehen Sie niemals davon aus, dass Ihre Daten zu unbedeutend sind, als dass sich jemand dafür interessieren könnte, und ohnehin nichts von ihnen abhängt.

Unternehmen: Schützt Mitarbeitende und Kunden

Vertrauensverlust kann verheerende Folgen haben.

Haben Sie in Ihrem Unternehmen Maßnahmen zum Schutz Ihrer Daten ergriffen? Für die Daten Ihrer Mitarbeitenden, Ihrer Kunden und der unternehmenseigenen Daten? Als Unternehmer oder Manager sind Sie vielleicht der Meinung, dass sich mit diesen Fragen doch die Juristen beschäftigen sollen, dass bestimmte Regeln bei Ihnen sicherlich gar nicht gelten oder dass die Daten, mit denen Sie hantieren, gar nicht gemeint sind.

Vorsicht. Wenn es um Datenschutz geht, helfen Vermutungen nicht weiter. Sie müssen sorgfältig prüfen und validieren, Pflichten und Konsequenzen in den Blick nehmen. Der damit verbundene juristische Aufwand ist enorm. Deshalb bündeln manche Unternehmen die notwendigen Kompetenzen mittlerweile in der Funktion eines Chief Data Privacy Officer (CDPO), der gleichermaßen IT-Security-Know-how und juristisches Fachwissen mitbringt und sich aus Vorstandsperspektive um den Datenschutz kümmert. Wichtig: Der CDPO ersetzt selbstverständlich keinesfalls den offiziellen Datenschutzbeauftragten des Unternehmens.

In Europa und besonders in Deutschland ist Datenschutz schon seit Langem ein viel beachtetes Thema. Auf globaler Ebene kochte es hoch, als die EU ihre Datenschutzgrundverordnung (DSGVO) in Kraft setzte und damit europäische Standards auch über Europa hinaus eine Rolle zu spielen begannen. Inzwischen gibt es weltweit Hunderte von Vorschriften, fast jedes Land hat seine eigenen Regeln. In Indien arbeitet man zum Beispiel gerade daran, Social-Media-Plattformen den gleichen Status wie traditionellen Medien zu geben. In den USA gibt es (Stand heute) nur 15 Bundesstaaten, die weder eigene Datenschutzgesetze haben noch an welchen arbeiten. Da sind also allein für den Handel mit den USA ziemlich viele Regeln zu beachten – ganz zu schweigen vom globalen Business auf allen Kontinenten.

Grundsätzlich ist eines ganz wichtig: Die jeweils geltenden Datenschutzbestimmungen leiten sich aus dem Wohnsitz des Betroffenen ab und haben nicht einfach mit dem eigenen Geschäftssitz zu tun. Wenn Sie also Daten von Personen besitzen, die in Regionen mit anderen Regeln leben, dann müssen Sie das berücksichtigen. Das gilt natürlich auch für die Zusammenarbeit mit anderen Unternehmen – alle Vereinbarungen mit Lieferanten, Partnern, Logistikern etc. müssen datenschutzkonform sein.

Machen Sie internationalen Datenschutz zum Fokusthema

Die DSGVO liefert europäischen Unternehmen einen eindeutigen Rahmen über den Umgang mit personenbezogenen Daten innerhalb der EU. Knapp sechs Jahre nach Inkrafttreten des Gesetzes haben sich so gut wie alle Unternehmen damit arrangiert und erfüllen die Vorgaben.

Im Sinne eines übergeordneten Risikomanagements sollten vor allem international tätige Unternehmen aber darüber nachdenken, auch die Aspekte des Datenschutzes professionell zu behandeln, die vom Datenschutzbeauftragten im Rahmen der DSGVO nicht abgedeckt sind. Denn von der Gesetzestreue auf den internationalen Märkten hängt die Reputation jedes Unternehmens ab, von finanziellen Schäden ganz zu schweigen.

Was ist dabei zu beachten?

• Unternehmen müssen alle für sie relevanten Datenschutzregeln kennen und dokumentieren.
• Sie müssen dokumentieren, welche Geschäftsprozesse datenschutzrelevant sind, und welche Regeln wie damit zu tun haben.
• Sie müssen entsprechende Richtlinie und Prozesse erarbeiten – und kompetente Mitarbeiter mit den nötigen Befugnissen ausstatten.
• Sie sollten die Speicher- und Verwendungshistorie auch internationaler Daten ebenso akribisch dokumentieren wie in der DSGVO vorgeschrieben.

Ich weiß, das ist alles ziemlich kompliziert und nicht unbedingt das Thema, mit dem sich Unternehmen gerne beschäftigen. Aber es ist so wichtig, dass Sie es nicht vor sich herschieben sollten. Dabei kann es durchaus passieren, dass Sie sogar auf Möglichkeiten stoßen, Ihre Datenschutzprozesse zu vereinfachen und effizienter zu werden. Dafür möchte ich Ihnen den kostenlosen Avanade Data Privacy Guide ans Herz legen, der übersichtlich die fünf wichtigsten Schritte auf dem Weg hin zu optimalem Datenschutz und individuell benötigter Datensicherheit zusammenfasst. Oder nehmen Sie persönlich mit uns Kontakt auf – zum Beispiel, um darüber zu sprechen, ob wir Ihnen mit unseren Datenschutz-Workshops weiterhelfen können.