Neulich am Elternabend in der Schule wünschte sich die Klassenlehrerin von uns Eltern, die Adressliste zu überprüfen und da wurde es plötzlich tragisch-komisch: Sie verteilte nicht eine Gesamtliste, sondern deren fein säuberlich geschnittene, einzelne Adresszeilenschnipsel pro Elternpaar. Erklärung: Der Datenschutz erlaube nicht, den Eltern beim Zirkulieren Einblick in die Gesamtliste zu gewähren. Mein Gott, wie weit sind wir denn jetzt?!
«Datenschutz»! Ich kann’s nicht mehr hören. Handelt es sich dabei nicht gar um das Unwort des Jahrzehnts? Wieso nur tun die denn so kompliziert? Auch wenn ich mich - getrieben von meinen gierigsten Kaufgelüsten - durch die Webseiten von Online-Anbietern klicken möchte, werde ich ständig mit absolut nervenden Fragen in aufpoppenden Lesefeldern konfrontiert. Das führt bei mir zu chronischem Kundenschluckauf. Gerade in einer digitalisierten Welt muss es doch einfach zack-zack, resp. klick-klick gehen. Sagt mir doch ganz einfach und kurz, um was es geht!
Ich traue niemandem. Was genau machen Unternehmen eigentlich mit meinen Daten? Sind sie nur beim Unternehmen selbst gespeichert oder werden sie auch Herrn E. Macron sowie Frau B. Uhse weitergegeben? Das will ich auf keinen Fall! Ich will mitreden, informiert und für jede einzelne Datenbearbeitung meine Einwilligung geben. Man weiss ja nie.
Datenschutzthemen können ein Unternehmen von der Kantine bis in den Verwaltungsrat betreffen. Für mich als Datenschutzbeauftragter der Baloise ist das tägliche Realität. Denn überall bearbeiten wir Personendaten und die sollen geschützt werden. Aber eigentlich geht es nicht um den Schutz der Daten selbst sondern um die Personen dahinter im Sinne des Persönlichkeitsschutzes.
Als Datenschutzbeauftragter berate ich die Baloise in datenschutzrechtlichen Fragestellungen, um den Datenschutz im Unternehmen sicherzustellen. Dabei ist es zwingend notwendig, organisatorisch unabhängig zu sein. Freie Entscheidungsfindung, frei von Hierarchiestufen - direkt kommuniziert an alle Stellen des Unternehmens.
Alles wächst rasant und intensiv, vor allem die Menschen betreffenden IT-Möglichkeiten. So ist es mitunter selbst IT-Nerds nicht mehr möglich, einen vollständigen Überblick darüber zu behalten, wer wo wie Daten bearbeitet. Und genau hier setzt das Datenschutzrecht an: Der Mensch soll im Sinne der informationellen Selbstbestimmung geschützt werden. Das wichtige, datenschutzrechtliche Transparenzgebot verlangt, die Kunden möglichst genau über die mannigfaltigen Datenbearbeitungen zu informieren. Dies hat zur Folge, dass ein Unternehmen umfassende Informationen zum Datenschutz schreiben muss. Welche Daten des Kunden werden zu welchem Zweck wie bearbeitet? Seitenweise. Dies gefällt sicherlich Kundentyp B.
«Datenschutz»! Ich kann’s nicht mehr hören. Handelt es sich dabei nicht gar um das Unwort des Jahrzehnts?»
Das Datenschutzrecht wurde weltweit verschärft, für ganz Europa (DSGVO [GDPR]) vereinheitlicht. Auch das Datenschutzrecht der Schweiz wird sich aufgrund der globalen, wirtschaftlichen Zusammenhänge entsprechend anpassen müssen. Gleichwertigkeit des Schutzes ist nämlich gefragt. Sonst wird’s kompliziert, wenn z.B. deutsche Unternehmen ihre Daten in die Schweiz geben wollen.
Ein ganz schwieriges Spannungsverhältnis: Zu seinem Schutz wird der Kunde mit Unterlagen vollgemüllt. Im Sinne eines guten Service’ möchten Unternehmen den Kunden einfacher bedienen. Vereinfachungen allerdings sind kompliziert und können das Transparenzgebot verletzen.
Das Transparenzgebot aber bedeutet für Unternehmen auch eine Riesenchance: Je genauer sie informieren müssen, desto genauer müssen sie ihre Datenbearbeitungen kennen. Unternehmen, die eine gut dokumentierte Übersicht über Datenbearbeitungen besitzen, werden Kunden schlanker und gezielter bewirtschaften. Im Sinne des Data Managements ergibt sich hier ein Businessvorteil. Zudem: Je klarer Unternehmen zum Thema Datenschutz kommunizieren, desto grösser das Vertrauen seitens der Kundschaft.
Allgemein besteht bei Unternehmen heute die starke Tendenz, einzelne Bereiche outzusourcen, um Geld zu sparen oder allgemein flexibler zu werden – auch prozessökonomischer, um mithin für den Kunden kostengünstiger arbeiten zu können. Die beauftragten Unternehmen gilt es, mit entsprechenden, aufwändigen Datenschutzverträgen (sog. Auftragsdatenbearbeitungsverträgen) zu verpflichten, sich an genaue Regeln zu halten. Daten sind nur derart zu bearbeiten, wie das beauftragende Unternehmen es selbst dürfte. Solche Vertragsverhandlungen können sich, gerade mit marktmächtigen IT-Dienstleistern jenseits des Atlantiks, zuweilen sehr schwierig darstellen. Dies aufgrund der Tatsache, dass sich dort die Materie Datenschutz der gleichen Beliebtheit erfreut wie in Europa ein Tweet des amerikanischen Präsidenten.
Die Kunst für Unternehmen und uns als Datenschutzbeauftragte wird es also in Zukunft noch mehr sein, den Doppelspagat zwischen den unterschiedlichen Wünschen von Kundentyp A und B sowie den Gesetzesanforderungen zu meistern.