DSGVO & Co: Compliance-Overkill oder Grundlage für Wertschöpfung mit Daten?

Share on facebook
Share on twitter
Share on linkedin

„Das ist doch sowieso nicht erlaubt“ ist eine häufige Reaktion, wenn erarbeitet wird, wie Daten genutzt werden können, um für die Unternehmen Mehrwert zu schaffen. Sind die gesetzlichen Vorgaben der DSVGO und des BDSG also nur Beschränkungen des Handlungsspielraums von Unternehmen oder können sie vielleicht sogar für einen positiven Schub genutzt werden? Diese Frage diskutieren Rechtsanwalt Dr. Knut Karnapp, Experte für Datenschutz und IT-Recht und Thomas Balgheim, Management Coach und einer der Initiatoren von DataValueThinking.

Derzeit entdecken immer mehr Unternehmen, welcher Wert Daten für ihre Wertschöpfung haben. Bei der Auseinandersetzung mit neuen Technologien wie künstlicher Intelligenz (KI), dem Internet der Dinge (IoT) oder modernen Auswertungswerkzeugen stellen immer mehr Unternehmen fest, dass Daten der gemeinsame Rohstoff sind, den diese Technologien und Werkzeuge nutzen. Die Qualität des Rohstoffs Daten entscheidet, ob und wie neue Technologien im Rahmen der Digitalisierung von Unternehmen sinnvoll genutzt werden können. Welche Rolle Daten für die Wertschöpfung spielen, wie Daten be- und (v)erarbeitet werden und wie Daten sinnvoll genutzt werden können, wird immer mehr zur strategischen Aufgabe für Unternehmen. Im Rahmen der Initiative DataValueThinking (DVT) werden Ansätze, Methoden und Vorgehensweisen für diese strategischen Aufgaben zusammengefasst, zugeordnet und angeboten.

Thomas Balgheim (TB): In unseren Workshops schauen wir auf die verschiedenen Bereiche, die sich mit Daten auseinandersetzen. Dabei kommen wir auch zum Thema Compliance. Wir arbeiten gerne mit Analogien, um das Datenmeer zu erforschen. Für DSGVO & Co wird dann oft das Bild einer Küstenwache, die das Datenmeer beobachtet, genutzt. Passt das für Sie?

Dr. Knut Karnapp (KK): Im Grunde sind wir da schon in der richtigen Metapher, wobei die Küstenwache dann eher von den Aufsichtsbehörden betrieben wird und die DSGVO dem seerechtlichen Rahmen bildet. Natürlich steht bei der DSGVO der Schutz der personenbezogenen Daten des Einzelnen – zu Recht – im Vordergrund. Aber wenn ich es mir als Unternehmen zur Aufgabe mache auf diesen Datenschatz auch ohne die Küstenwache ausreichend Acht zu geben, handeln Unternehmen nicht zuletzt auch und vor allem im eigenen Interesse. Der Gesetzgeber hat erkannt, dass Daten einen erheblichen Wert haben – und zwar sowohl auf individueller als auch auf kollektiver Ebene. Wer diesen Wert – im sich auch weiterhin stetig wandelnden rechtlichen Rahmen – am besten nutzbar machen kann, hat die Möglichkeit erhebliche Wettbewerbsvorteile zu generieren.

TB: Ein weiterer Bereich in unseren Workshops ist der Bereich der Datenethik, also eigene Werte und Regeln zum Umgang mit Daten in einem Unternehmen. Gibt es da für Sie Zusammenhänge?

KK: Ich glaube eine auch nach außen verständlich kommunizierte Unternehmensstrategie, die den Umgang mit dem „Rohstoff Daten“ und insbesondere mit Kundendaten beschreibt, ist in der heutigen Zeit unerlässlich. Die Betroffenen stellen hier – zu Recht – immer mehr die Frage nach der Verarbeitung ihrer Daten. Unabhängig von den gesetzlichen Vorgaben, sollte es jedem Unternehmen wichtig sein, sorgfältig mit seinen und vor allem den Daten seiner Kunden umzugehen.

TB: Sind diese Aufgaben wichtig für bestimmte Bereiche oder betrifft es das ganze Unternehmen?

KK: Natürlich betrifft es am Ende das ganze Unternehmen. Jeder Mitarbeiter nutzt und generiert im Rahmen seiner täglichen Arbeit eine schier unermessliche Menge an Daten. Und das wird auch in Zukunft tendenziell eher noch mehr werden. Eine Verletzung des Schutzes personenbezogener und auch sonstiger Daten entsteht dabei sehr oft durch fehlerhaftes Handeln Einzelner. Je besser ich das Bewusstsein für Daten und deren Wert im Unternehmen verankere, umso besser kann das Unternehmen diese Werte im Interesse der Kunden und Geschäftspartner und auch im eigenen Interesse schützen. So wie ich den Ansatz des DataValueThinking verstehe, schafft er die Grundlage, um genau eine solche Datenkultur im Unternehmen zu verankern.

TB: Unsere Arbeit zeigt immer wieder, dass es nicht nur Personendaten gibt, sondern auch Prozess- und Maschinendaten. Was bedeutet das eigentlich aus rechtlicher Sicht?

KK: Das bedeutet zuallererst, dass ich mir als Unternehmen erst einmal bewusst werden muss, über welche Daten ich denn in welcher Form überhaupt verfüge, welche Daten ich fortlaufend erhebe und was damit – bis hin zur Löschung – passiert. Denn wo kein Personenbezug besteht, der Einzelne also nicht identifizierbar ist, dort ist auch die Compliance-Schwelle deutlich niedriger. Damit hat das Unternehmen dann auch mehr Möglichkeiten in der Datennutzung z. B. durch die Verwendung und Nutzbarmachung aggregierter Daten. Nichtsdestotrotz sollte unbedingt der Umkehrschluss vermieden werden, dass ein fehlender Personenbezug ein „Freifahrtsschein“ im Umgang mit den Unternehmensdaten darstellen würde.

TB: Manchmal hat man den Eindruck, rechtlicher Rahmen und neue Technologien sind wie ein Wettrennen. Ich nutze als Unternehmen Innovationen und muss diese dann schrittweise anpassen, formalisieren etc. Dadurch entstehen nachträglich Aufwände und Einschränkungen. Wie soll ich als Unternehmen dem begegnen?

KK: „Move fast and break things“ – dieses Herangehen, das man heutzutage z. B. mit Uber & Co. verbindet, stellt die Gesetzgebung vor immer neue Herausforderungen im Spannungsfeld zwischen Innovationsförderung und Schutz des Einzelnen. Zweifelsohne sind viele der Vorgaben, die im datenschutzrechtlichen Kontext in den letzten Jahren den Weg ins Gesetzbuch gefunden haben, gerade für den Mittelstand nur noch schwer zu überblicken. Hinzukommt, dass sich nicht selten auch die innerdeutschen Aufsichtsbehörden in der Auslegung der Normen nicht einig sind. Von unseren Partnern in den übrigen EU-Mitgliedstaaten ganz zu schweigen. Aber: wenn man die Compliance in diesem Bereich nicht nur als hinderlich, sondern als Chance für das eigene Unternehmen aufgreifen kann, z. B. eben durch die Nutzbarmachung versteckter Potentiale der ohnehin vorhandenen Daten, kann man sich – ich habe das Glück es sozusagen an „lebenden Beispielen“ mitzubekommen – einen ungeahnten Wettbewerbsvorteil verschaffen. Wenn Unternehmen diesen Ansatz mit einer sich entwickelnden Datenethik und Datenkultur kombinieren, sollten sie für die gesetzlichen Anforderungen der nächsten Jahre gut gewappnet sein.

TB: Sie haben sich mit dem Kreativansatz und Methodenrahmen DVT beschäftigt. Was ist Ihr Eindruck?

KK: DVT bietet dem Management Orientierung und schafft eine Grundlage für Datenethik und –kultur, um genau den Wettbewerbsvorteil nutzbar zu machen, den ich hier versucht habe zu umschreiben.

Herrn Rechtsanwalt Dr. Karnapp können Sie z. B. über sein LinkedIn-Profil erreichen.