Gleich ein Disclaimer vorweg: Dies wird keine allgemeingültige Anleitung, wie man die Umsetzung der DSGVO, den Datenschutz allgemein und die angrenzenden Themen in einem Unternehmen zum Laufen bekommt.
Was ich geben will, ist ein Einblick in den Weg, den wir bei comspace gegangen sind und noch immer gehen.
Und ich möchte von Anfang an ehrlich sein: Auch bei uns war die DSGVO ein Thema welches – euphemistisch formuliert – zunächst eher mit verhaltener Begeisterung umgesetzt wurde. Das Thema glich sogar einem Wanderpokal auf den niemand sonderlich scharf war.
Geändert hat sich das, als die Umsetzung der DSGVO in die Hände von Mitarbeitern kam, die zumindest keine Abneigung gegen das Thema hatten. Die gerne organisieren und die sich von eher trockenen Texten nicht verunsichern ließen.
Solche Menschen gibt es übrigens nicht nur bei comspace, sondern vermutlich in jedem Unternehmen. Eventuell nicht an den Stellen oder in den Abteilungen, an denen das Thema logisch oder organisatorisch normalerweise gerne angegliedert wird. Hier würde es sich anbieten, einfach mal zu fragen, wer sich das vorstellen könnte. Ganz gleich ob im Accountmanagement, in der Entwicklung oder in der Kantine.
Was dem Thema dann einen ordentlichen Anschub gab, war die Tatsache, dass wir bei comspace einen unbürokratischen und schnellen Weg haben, uns fortzubilden.
So musste man niemandem groß erklären, warum man als Datenschutzkoordinator direkt eine Zertifizierung zum Datenschutzbeauftragten machen möchte. Bei uns gilt “Choose your weapons”, auch wenn es erstmal so aussieht, als sei das eine Kanone, um auf einen Spatzen zu schießen.
Man darf nicht unterschätzen, wie wichtig es ist, Mitarbeiter zu haben, die für ihre Aufgabe nicht nur befähigt sind, sondern sich auch so fühlen!
Eine vermeintliche Datenpanne brachte den Durchbruch
Einen ersten Durchbruch brachte übrigens eine vermeintliche Datenpanne: Wir hatten einen Bitcoinminer auf einem der Peripheriesysteme entdeckt! Um auszuschließen, dass dieser mehr tat, als das, was Bitcoinminer gemeinhin tun (Rechnerleistung stehlen, keine Daten), wurde die Malware quasi “seziert” und so wurde aus dem Bürokratie-Thema plötzlich ein kleiner Cyber-Krimi und viel greifbarer. Der Bitcoinminder war am Ende tatsächlich auch nur ein reiner Bitcoinminer und es waren keine personenbezogenen Daten betroffen. Wir hatten so aber die Gelegenheit, unsere Meldekette mal einem Echttest zu unterziehen.
Was dem Datenschutz dann half, Wurzeln im Unternehmen und in der Kultur zu schlagen, war der Umstand, dass den Datenschutz-Koordinator*innen nun nicht mehr nur seitens der Geschäftsführung zugehört wurde. Die Koordinatoren wurden immer wieder aktiv in den Fokus gerückt und ermuntert, über ihre Arbeit zu sprechen.
Auch hier hat sich der Spruch: “Wenn du dich selbst nicht mehr hören kannst, hören dich andere.” bewahrheitet.
Datenschutz braucht ein Gesicht
Die DSGVO hatte jetzt ein Gesicht im Unternehmen. Eine Adresse, an die man sich wenden konnte, wenn man Fragen hatte. Und dieses Gesicht gehörte keinem externen Datenschutzbeauftragten und keinem Anwalt, sondern Kolleg*innen, die man kannte, die sich verantwortlich fühlten und verständliche Antworten hatten oder besorgen konnten.
Das war vielleicht auch ein Punkt, der bei comspace dazu führte, dass Vorbehalte und Hemmungen aufgebrochen wurden: Welcher Mitarbeiter wendet sich bei Fragen zur DSGVO schon direkt an den Datenschutzbeauftragten? Der ist ja eine Mischung aus heiliger Kuh und dem Teufel höchstselbst, spricht eine unverständliche Sprache und gehört auch irgendwie nicht dazu. Bei einem Kollegen ist das was ganz anderes.
Deshalb werden unsere regelmäßigen Pflichtschulungen mittlerweile auch durch die fachlich befähigten Mitarbeiter durchgeführt. Die kennen das Unternehmen und können die verschiedenen Artikel des nicht gerade pageturnermäßigen Gesetzestextes auf Beispiele im Alltag runterbrechen, wohingegen die Präsentation eines Datenschutzanwaltes selbst einen Volljuristen zuverlässig einschläfert.
Die DSGVO muss die Mitarbeiter nicht nur nicht einschläfern, sondern darf es auch nicht! Datenschutz ist keine One-Man-, oder One-Woman-Show. Man braucht die Augen, Ohren und Köpfe aller Mitarbeiter. Ohne sie ist man blind, taub und dumm.
Kaum ein Datenschutzbeauftragter oder Datenschutz-Koordinator ist Entwickler, Accountmanager, Projektleiter und Systemadministrator in einer Person und kann alle im Arbeitsalltag anfallenden Risiken aus allen Richtungen im Blick haben. Und unter Garantie hat keiner 200 Augen. Aber 100 Mitarbeiter zusammen haben die.
Es reicht auch nicht, die Mitarbeiter nur wach zu halten. Sie müssen auch befähigt werden zu verstehen, was hinter dem Juristendeutsch steckt. Dass die DSGVO eben nicht ausschließlich Bürokraten-Blabla ist, sondern dem Betroffenen, dem Verbraucher, also jedem von uns, ein Stück Selbstbestimmung zurückgeben kann.
Das Begreifen der Verantwortung als Unternehmen
Und jetzt, wo das Thema Wurzeln hat und atmet, kann es auch wachsen. Zunächst in Bereichen mit einer natürlichen Schnittmenge, aber – sehr schnell – getrieben durch unseren Alltag, auch um Themen wie “Was darf KI und was darf sie nicht?”. Nämlich dann, wenn wir feststellen, dass die Technik einfach weiter und schneller ist als das Gesetz. Und wir uns dessen bewusst werden. Gesetze brauchen schließlich mitunter Jahre vom Entwurf bis zum Inkrafttreten. Der Verantwortung, die sich daraus ergibt, müssen wir uns stellen.
Bei comspace ist die Verantwortung gegenüber der Gesellschaft immer ein großes Thema. Unterstützt durch die Geschäftsführung nehmen wir an Klimademos teil und vertreten laut und eindeutig unsere politische Einstellung, machen uns stark für Diversität und für ein Miteinander auf Augenhöhe. Für uns fühlt es sich ganz natürlich an, dass wir uns fragen, wie wir sicherstellen können, dass das, was wir erschaffen, niemandem schadet. Und nicht nur kurzfristig, sondern nachhaltig.
Wir kamen nun an den Punkt, an dem wir so weit über den Punkt der “bloßer Umsetzung der DSGVO” hinausgekommen sind, dass wir dem Thema durch eine eigene Position auch nach außen Relevanz einräumen wollten und der Bereich “Corporate Digital Responsibility” geschaffen wurde.
Und wer jetzt schon halb weggenickt ist, für den mache ich es kurz: Zwischen dem Wanderpokal und diesem neuen Bereich liegen keine 10 Jahre. Sondern 10 Monate.
Nein, wir sind natürlich noch nicht “fertig”. Und wir werden es nie sein. Aber wir haben ganz gewaltig Bock auf das Thema und darauf, möglichst viele Menschen an unserem Weg teilhaben zu lassen. Fühlen Sie sich also herzlich eingeladen.
Welche Erfahrungen haben Sie mit der Umsetzung der DSGVO in Ihrem Unternehmen gemacht? Und sind ethische Themen in Bezug auf Technik bei Ihnen auch schon ein aktuelles Thema? Schreiben Sie uns gerne.
Themen: #Datenschutz #DigitaleEthik #DSGVO und #Nachhaltigkeit #TeamDatenschutz
Wirklich ein nützlicher Beitrag. Ich denke dass alle Leute drauf achten müssen. Vielen Dank Ihnen für Ihre Mühe!