So oder so ähnlich sind die leicht vorwurfsvollen Sätze formuliert, die wir durchaus öfters in unserer Beratungspraxis hören.
Sie haben einen wahren Kern und auch der leichte Vorwurf hat seine Berechtigung. Denn die Implementierung von Maßnahmen zum Wohle des Datenschutzes innerhalb eines Unternehmens verursacht Kosten und Herausforderungen. Wenn dann die meisten Mitbewerber („die anderen“) sich gar vor diesen Kosten und Herausforderungen scheuen und davon scheinbar Abstand nehmen, dann erwachsen dem eigenen Unternehmen, das die erforderlichen Maßnahmen nun ergreifen soll, auch wettbewerbliche Nachteile.
Aber auch der letzte Satz hat einen wahren Kern und obsiegt aufgrund seiner Gewichtigkeit den Vergleich mit dem Argument des passiven „Verhaltens“ anderer Unternehmen: das Erfordernis.
Spätestens mit Einführung der europäischen Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 dürften die meisten Unternehmen erkannt haben, dass dem Verantwortlichen (dem Unternehmen) nun verstärkt Pflichten auferlegt werden, die Daten von Betroffenen zu schützen. Der Datenschutz im Unternehmen ist erforderlich. Auch die Mitbewerber haben keine Alternative. Dafür sorgen mindestens die von der EU-DSGVO in Aussicht gestellten und von Aufsichtsbehörden und mittlerweile auch von Gerichten verhängten Bußgeldern in empfindlicher Höhe (eine Liste von Bußgeldern s. bspw. unter https://gdpr-fines.inplp.com/list/).
Aber auch ein weiterer Aspekt spielt dabei eine Rolle und wurde von Niklas Maak, Journalist bei der FAZ, trefflich formuliert: „Daten sind mittlerweile der größte Schatz unserer Gesellschaft“. Diesen gilt es zu schützen. Früher oder später wird also der Datenschutz in allen Unternehmen Einzug finden (müssen).
Der Weg dorthin muss mit einem gelungenen Change Management gar nicht so beschwerlich sein. Gehen Sie dieses so vorausschauend und durchdacht an, dass am Ende der Datenschutz von jedem Mitarbeiter gelebt wird. Dabei muss Widerstand der Mitarbeiter einkalkuliert und überwunden, aber auch alte Gewohnheiten auf Dauer durchbrochen werden.
Wenn Sie keine wettbewerblichen Nachteile riskieren wollen, dann konzentrieren Sie sich zunächst auf die Bereiche, um mit der Implementierung zu beginnen, in denen Sie solche nicht zu befürchten haben. Beobachten Sie dabei aber die branchenspezifischen Veränderungen.
Lassen Sie mich einen solchen Veränderungsprozess anhand des 8-Phasen-Modells von John P. Kotter demonstrieren:
1. Erzeugen von einem Gefühl der Dringlichkeit
Das Ziel ist es, dass die Mitarbeiter der Überzeugung sind, es sei im Interesse des Unternehmens aber auch im eigenen Interesse, schnellstmöglich Maßnahmen zu ergreifen. Warum? Weil sich dann das Unternehmen von innen heraus verändern kann und es sich nicht um bloße Instruktionen nach der Top-down-Methode handelt. Die Mitarbeiter identifizieren sich mit dem Wandel und sind gewillt Gewohnheiten aufzugeben. Wie erzeugt man diesen Willen? Das kommt darauf an, welchen Stil Sie verfolgen wollen. Sie könnten beispielsweise eine Reihe von bereits verhängten Bußgeldern präsentieren. Dabei könnten Sie nach dem konkreten Vorwurf differenzieren und der jeweiligen Fachabteilung die für „ihren“ Bereich einschlägigen Bußgelder nennen. Sie könnten das Gespräch auf eine persönliche Ebene heben und betonen, dass ein Verstoß gegen die Pflicht des Mitarbeiters zur datenschutzkonformen Datenverarbeitung gleichzeitig einen Verstoß gegen arbeitsvertragliche Pflichten darstellt, der arbeitsrechtliche Maßnahmen wie Abmahnung oder Kündigung zur Folge haben kann.
Überlegen Sie, was in Ihrem Unternehmen ein wirksames Vorgehen ist. Der Fantasie sind hier keine Grenzen gesetzt.
2. Aufbau einer Führungskoalition
Holen Sie sich die Abteilungsleiter oder Personen mit Personalverantwortung ins Boot, aber auch solche Mitarbeiter, von denen Sie wissen, dass Sie einen starken sozialen Einfluss auf die anderen Mitarbeiter oder für gewöhnlich gute bzw. kreative Ideen bei der Umsetzung von Maßnahmen haben. Wir reden hier – je nach Größe des Unternehmens – von 10-20 Personen.
Schieben Sie den Datenschutz nicht an den Rand des Unternehmens, sondern rücken Sie ihn in den Fokus. Es ist aufwendiger und teurer, wenn Sie es nicht tun. Also: Wenn Sie es anpacken, dann richtig!
3. Entwickeln Sie eine Vision und Strategie
Wecken Sie den Kampfgeist in Ihrer Führungskoalition. Motivieren Sie aber auch Ihre weiteren Mitarbeiter. Zeigen Sie Ihnen auf, wofür sich der ganze Aufwand lohnt. Der einfache Verweis auf die EU-DSGVO, wird wohl die wenigstens Mitarbeiterherzen höherschlagen lassen. Tränken Sie ihre Rede mit etwas „die Welt ein wenig besser machen“ – und dies sollten Sie überzeugend kommunizieren können. Das bedeutet: schulen Sie sich selbst und führen Sie gezielte Schulungen der Führungskoalition durch. Hier greift das Motto „Leading by Example“. Wenn Sie den Datenschutz verinnerlicht haben und dies auch durch Ihr Verhalten ersichtlich wird, motivieren Sie gleichzeitig Ihre Mitarbeiter. Bedenken Sie dies auch bei Mitarbeitergesprächen, dem „Kaffeeschnack“, bei Strategievorstellungen, Meetings und Rundmails und stellen Sie dabei immer eine Verbindung zu Ihrer Vision her.
4. „Communication Is Key“
Wenn wir eins in dieser aktuellen Corona-Krise sehen konnten, ist, dass Transparenz ausgelöst von weitreichender Kommunikation, dazu führt, dass Menschen für ein größeres Ziel ihre Bedürfnisse vorerst zurückstellen und für ein Gesamtwohl agieren.
Handhaben Sie es auch so in Ihrem Unternehmen. Zeigen Sie auf. Erklären Sie. Begründen Sie und hören Sie zu. Erreichen Sie jeden Mitarbeiter. Nicht nur auf dem Papier.
5. Hindernisse aus dem Weg räumen – Empowerment auf breiter Basis
Innerhalb eines Unternehmens gibt es von Seiten der Mitarbeiter oft Skepsis bzw. Vorurteile oder gar Desinteresse bei dem Thema Datenschutz. Auch spielen Software und Anwendungen bei der Umsetzung der Datenschutzgrundsätze häufiger nicht mit.
Wirken Sie dem entgegen, indem Sie zum Beispiel eine wöchentliche Datenschutzsprechstunde anbieten: jeder kann und soll sich einbringen, Fragen stellen, Kritik äußern oder Vorschläge machen. Bevollmächtigen Sie Ihre Mitarbeiter, neue Wege zu finden. Treffen Sie und lassen Sie Entscheidungen auf dem `kurzen Dienstweg´ treffen.
6. Kurzfristige Erfolge anstreben
Wenn man lediglich das Endziel im Blick hat, kann es schnell passieren, dass dieses nicht erreicht wird, weil man in der Menge an durchzuführenden Maßnahmen – denn Datenschutz betrifft jeden Bereich im Unternehmen – verloren gegangen ist. Deswegen sollten Sie kurzfristige Ziele anstreben und schnelle Erfolge ´einheimsen`.
Feiern Sie beispielsweise, dass in allen erforderlichen Bereichen die Informationspflichten nach Art. 13 EU-DSGVO ausgerollt wurden. Außerdem, dass Sie die Schulung von Mitarbeitern erfolgreich durchgeführt haben.
Stoßen Sie mit Ihren Mitarbeitern darauf an, dass eine Phishing Simulation einen Erfolg zu verzeichnen hat, weil kein oder nur ein geringer Prozentsatz der Mitarbeiter auf die Täuschung hereingefallen sind (Phishing – Was? Schauen Sie bei unserer Abteilung für Informationssicherheit vorbei, um mehr zu erfahren). Lassen Sie Ihr Unternehmen bei der Umsetzung der Anforderungen der EU-DSGVO auditieren und belohnen Sie sich und Ihre Mitarbeiter bei erfolgreichem Abschluss (hier finden Sie mehr zu DSGVO-Audits). Oder setzen Sie sich das Erreichen einer Zertifizierung gemäß ISO/IEC 27001 in Hinblick auf die Informationssicherheit des Unternehmens als kurzfristiges Ziel (siehe hier).
Nehmen Sie dabei alle Ihre Mitarbeiter mit; feiern Sie mit ihnen. Zeigen Sie die Veränderungen und damit einhergehenden Erfolge auf. Haben Mitarbeiter das Gefühl „da tut sich was“, wollen Sie schnell ´mit von der Partie` sein. Wege um die Mitarbeiter zu erreichen, könnten zum Beispiel der monatliche Newsletter sein, das morgendliche Meeting (über ein Videokonferenztool – zu deren datenschutzrechtlichen Anforderungen informieren wir u.a. hier), die Landing Page im Intranet oder das Bekanntgeben via Email.
7. Veränderung weiter antreiben – hartnäckig bleiben
Was leider auch diese Tage deutlich wird, ist, dass Veränderung einiges an Durchhaltevermögen erfordert. Um wieder einen Corona-Vergleich zu ziehen: Noch in der ´ersten Welle`, der ersten Veränderungsphase, waren wir deutlich disziplinierter, als wir es nun Monate später in der ´zweiten Welle` sind. Man könnte meinen, wir sind der Disziplin müde.
Das gilt für jede Veränderung, die sich über einen längeren Zeitraum hinzieht. Nach dem die ersten Erfolgen gefeiert wurden, verliert das Thema Datenschutz an Priorität und an gefühlter Brisanz. Dem entgegnen Sie, wenn Sie durch Schulungen (Präsenz und online) das Wissen und Interesse am Thema Datenschutz regelmäßig auffrischen.
Aber auch eine Awarnesskampagne kann sinnvoll sein, das Interesse und die zuvor erzeugte Dringlichkeit und Wichtigkeit in den Köpfen der Mitarbeiter wachzuhalten. Durch Flyer, Handouts, Poster, Plakate, Lesezeichen o.ä. rund um das Thema Datenschutz und IT-Sicherheit wird den Mitarbeitern ganz nebenbei das Thema Datenschutz nähergebracht.
8. Verankerung in der Unternehmenskultur
Ein Problem, dem wir immer wieder begegnen, ist, dass viele Unternehmen, die den Datenschutz in Angriff genommen haben, in dem Moment glauben das Thema ad acta legen zu können, in dem sie ein Datenschutzmanagementsystem eingerichtet und eine Datenschutzerklärung auf der Webseite hochgeladen haben. Dem ist aber leider nicht so. Denn angekommen ist der Datenschutz erst, wenn er nicht nur in das Emailpostfach des Mitarbeiters gelangt ist, sondern, wenn er im Sichtfeld und damit im Kopf des Mitarbeiters Platz gefunden hat. Datenschutz sollte von jedem einzelnen Mitarbeiter gelebt werden und das bedeutet eine tägliche Befassung in wie auch immer gearteter Weise. Die Möglichkeiten sind endlos: Erstellen sie hierzu eine Balanced Scorecard, nehmen Sie das Thema bei Zielvereinbarungen auf und passen Sie Systeme, Prozesse und Tools an, damit es einfach ist dem Thema die richtige und wichtige Aufmerksamkeit zu schenken.
Nutzen Sie die erneut verordnete Ruhe über die Weihnachtstage und Neujahr, um zu evaluieren, wie Sie das Thema Datenschutz im Jahr 2021 angehen möchten.
Wenn Sie fragen rundum um das Thema Datenschutz – Change Management im Unternehmen haben, kontaktieren Sie uns gerne.