Blogpost

Ein Blick hinter die Kulissen des Whitepapers „Das Ende der Karenz: Datenschutz nutzen“

CORE Konversation

In unserem White Paper „Das Ende der Karenz: Datenschutz nutzen“ zeigen wir, wie Datenschutz Innovation und technologische Weiterentwicklung bedingen kann. Unsere White Paper Autoren erzählen, was sie an dem Thema fasziniert und welche Erkenntnisse auch bei ihnen für Überraschungen gesorgt haben.

Warum habt ihr euch entschlossen, ein White Paper zum Thema Datenschutz zu schreiben?

Dr. Waldemar Grudzien: Mich fasziniert geradezu die Verbindung zwischen Datenschutz und Informationssicherheit. Beide Themen sind meiner Meinung nach nicht voneinander zu trennen und müssen gemeinsam bearbeitet werden, wenn Datenschutz erfolgreich im Unternehmen umgesetzt werden soll.

Guter Datenschutz bedingt eine gute Informationssicherheit und beide bedingen wiederum eine gute wie moderne IT. Mit Legacy kommt man nicht weit ‒ weder im Business noch in der Abwehr von Cyberangriffen und auch nicht in der Umsetzung von Datenschutzanforderungen.

Der zweite Grund, warum ich dieses Thema eingehender untersuche, ist, dass Datenschutz immer noch ein Forschungsthema ist. Das Gesetz hat noch viele Schwächen, was auch verständlich ist, denn es ist das erste so umfassende. Das bedeutet aber auch, dass sich die herrschende Meinung noch herausbilden muss. Zudem sind viele Vorgaben in der Praxis noch nicht erprobt, was viele Fragen offen lässt. Zum Beispiel: Wie lösche ich in allen Infrastrukturkomponenten? Wann muss ich löschen? Wie führe ich eine Datenschutz-Folgenabklärung inkl. Vorabprüfung durch?

Magdalena Buski: Schon bei meinem ersten Projekt zu Informationssicherheit und Datenschutz habe ich gemerkt: Das ist ein Bereich, über den ich noch viel mehr erfahren möchte. Je mehr ich mich mit dem Thema auseinandersetzte und je detaillierter das Projekt wurde, desto mehr fiel mir auf, wie facettenreich Datensicherheit und -schutz eigentlich ist – und wie unterschätzt. Denn die meisten Unternehmen sehen Datenschutz und -sicherheit als reine gesetzliche Pflicht an, die sie erfüllen müssen und nicht als strategischen Hebel. Diese Betrachtungsweise ist meiner Meinung nach eines der Grundprobleme, wieso so viele Unternehmen Datenschutz als Herausforderung sehen. Umso interessanter war es für mich, das Thema strategisch anders, vor allem aber aus einer positiven Perspektive heraus zu bewerten. Je mehr ich Datenschutz als strategischen Bestandteil der Unternehmensstrategie betrachtete, umso einfacher fiel es mir, Zusammenhänge zu verstehen und mögliche Lösungskonzepte auszuarbeiten.

Marc-André Dymala: In den letzten zwei Jahren hat mich das Thema dauerhaft auf verschiedensten Projektsituationen begleitet. Im Zeitalter datengetriebener Geschäftsmodelle ist es wichtig, neue Anforderungen für neue Verhaltensweisen und Geschäftsmodelle zum Schutz der Nutzer zu entwickeln. Spannend ist dabei, dass die Meinungsbildung zum Datenschutz heute noch nicht abgeschlossen ist. Im Gegenteil: In Bereichen wie z.B. dem pseudonymen Tracking, besteht weiter ein aktiver Bedarf zur gemeinsamen Diskussion zwischen Experten, Unternehmen und dem Regulator, um technische Möglichkeiten, unternehmerische Bedürfnisse sowie regulatorische Anforderungen in einem harmonisierten Gesamtkonstrukt zusammenzubringen.

Welche Erkenntnisse haben dich in der Forschungsphase des White Papers am meisten überrascht?

Dr. Waldemar Grudzien: Ich weiß aus meiner Tätigkeit, wie wenig die Wirtschaft allgemein Datenschutz umsetzt, aber das sich sogar nach Selbsteinschätzung nur ein Viertel der Unternehmen für konform halten, war doch überraschend für mich. Zudem bin ich positiv überrascht, dass Datenschutz, wenn man ihn mit Informationssicherheit und moderner IT betreibt, zu einem „geschlossenen“ System im Sinne seiner Lösbarkeit wird.

Magdalena Buski: Die negative Konnotation um das gesamte Thema hat mich sehr überrascht. Vor allem die Vielzahl an diversen Schwierigkeiten die Unternehmen bei der Umsetzung der DSGVO haben. Es gab und gibt nur sehr wenige Anhaltspunkte dafür, dass Datenschutz von Unternehmen als vorteilhaft gesehen wird.

Marc-André Dymala: Mir ist aus der Praxis bewusst, dass Datenschutz häufig nur als Pflichtenheft betrachtet wird und verfügbare Interpretationsräume dieser noch jungen regulatorischen Disziplin aktiv ausgedehnt werden. Konkret werden unternehmerische Interessen häufig über die der Nutzer gestellt. Überraschend war für mich, dass die Mehrheit der Marktteilnehmer trotz verfügbarer Beispiele noch immer nicht das wirtschaftliche und wettbewerbsdifferenzierende Potential von Datenschutz auf strategischer Ebene erkannt hat. Wenn wir es schaffen, die Transparenz dieses Potentials im Markt zu steigern, dann kann dies mittelfristig zu einem Perspektivwechsel und einem nutzerzentrierten Ansatz in der Umsetzung regulatorischer Anforderungen führen.

Das White Paper zeigt, dass es bei vielen Unternehmen eine Diskrepanz zwischen Selbsteinschätzung zur Datenschutzkonformität und der tatsächlichen Konformität gibt. Woran liegt das?

Dr. Waldemar Grudzien: Datenschutz verlangt, wie alles, was komplex ist, die eingehende Befassung mit dem Thema, d.h. Expertise, Erfahrung und Ausdauer. Wenn ein Unternehmen aber keinen Mehrwert bis auf die Vermeidung von Sanktionen sieht, wird das Thema stiefmütterlich mit wenig Zeit und Ressourcen behandelt, was letztlich zu Unwissen führt.

Magdalena Buski: Auch hier spielt der Blickwinkel eine dominante Rolle. Oft wird Datenschutz in Unternehmen eine geringe Relevanz zugerechnet. Leider herrscht mehrheitlich die Betrachtungsweise, Datenschutz als regulatorische Mindestanforderung umzusetzen, statt die Gelegenheit zu nutzen, Datenschutz als strategisches Bestandteil in der Unternehmensstrategie zu veranken. Die ungenügende Freiräumung monetärer wie personeller Ressourcen erschweren zunehmend einen möglichen Perspektivwechsel. Dabei reicht die ausschließliche Bennenung eines Datenschutzbeauftragen nicht aus. Im Gegenteil: Die Auseinandersetzung mit datenschutzrechtlichen Mindestanforderungen und Aspekten umfasst weitaus mehr. Um die Identifikation und Mitigation von möglichen Datenschutzfehlern früh zu ermöglichen, insbesondere aber eine Datenschutzkonformität langfristig sicherzustellen, ist die Berücksichtigung von Datenschutz aus einer unternehmensübergreifenden Perspektive heraus eine wesentliche Grundlage hierfür.

Marc-André Dymala: Für mich ist diese Diskrepanz auf die sich entwickelnde fachliche Expertise zurückzuführen, die im Vergleich zu anderen Bereichen, wie z.B. Risk oder IT, aktuell in vielen Unternehmen noch nicht umfassend ausgereift ist. Ein weiterer Aspekt ist für mich die Ausdehnung verfügbarer Interpretationsspielräume der regulatorischen Anforderungen. Abhängig von der Perspektive kommt eine für Unternehmen vermeintlich rechtskonforme Umsetzung einer tatsächlich rechtskonformen Umsetzung nicht zwingend gleich. Ich bin jedoch optimistisch, dass sich diese Diskrepanz mit der Zunahme von Erfahrungswerten und dem Schließen regulatorischer Interpretationsspielräume künftig abnehmen wird.

Wenn du einem Unternehmen nur einen Rat zum Datenschutz geben könntest, was wäre das?

Dr. Waldemar Grudzien: Als Berliner erlaube ich mir eine leichte Abwandlung eines der berühmtesten Berliner Zitate: „Ihr Unternehmen der Welt, schaut auf dieses Thema“. Denn es bietet weit mehr als das Gesetz fordert. Neben der reinen Vermeidung von Sanktionen bietet die datenschutzkonforme Nutzung der Daten enorme Gewinnpotenziale. Das sollten europäische Unternehmen nicht nur den bekannten Plattformriesen aus Ost und West überlassen.

Magdalena Buski: Man sollte Datenschutz positiv bewerten und Datenschutzregularien wie die DSGVO als Rahmenbedingungen nutzen, um Kunden wahrhaftig von sich als „vertrauenswürdiger Partner“ zu überzeugen. Eine Kundenbindung, die auf Vertrauen und nicht z.B. auf reinen Kostenaspekten beruht, ist ein „echter“ langfristiger Wettbewerbsvorteil. Dieses Potential gilt es zu erkennen und zu nutzen. Kunden werden immer sensibler und weil es aktuell noch recht wenige Unternehmen gibt, die tatsächlich datenschutzkonform sind, ist es ein Distinktionsmerkmal.

Marc-André Dymala: Im Alltag sind Unternehmen dazu gezwungen, ihren Kurs sich ändernden Situationen anzupassen und einen Perspektivwechsel vorzunehmen, um neue Potentiale zu erschließen. Diesen Perspektivwechsel empfehle ich Unternehmen in Bezug auf Datenschutz, um mögliche durch Datenschutz bedingte Potentiale auf strategischer Ebene zu bewerten und abgeleitete Ziele im Rahmen einer Datenschutzvision langfristig zu verfolgen.

Unsere Autoren