Silo-Denken als Compliance-Problem

Die Entwicklungen in der digitalen Welt bescheren Unternehmen nicht nur neue Datenschutzrichtlinien oder IT-Betriebsvereinbarungen. Im Interview erklärt die Anwältin Nina Diercks, warum Silo-Denken ab Mai 2018 für Unternehmen richtig teuer werden kann, und warum Compliance ein Thema für die Führungskräfte-Kommunikation ist. 

Was bedeutet Compliance für Dich? Wie erklärst Du Deinen Mandanten Compliance?

Nina Diercks: Ganz ehrlich, für mich ist das Wort „Compliance“ einfach nur ein hübsches Buzzword, das in den letzten Jahren zunehmend an Bedeutung, vor allem im Hinblick auf die Wahrnehmung in Unternehmen gewonnen hat. Compliance bedeutet schließlich nichts anderes als „Regelkonformität“.

Ich bin Anwältin. Und meine Aufgabe als Anwältin ist es, mit meinen Mandanten für das Unternehmen möglichst vorteilhafte, aber natürlich regel- also rechtskonforme Arbeitsprozesse im Unternehmen zu entwickeln und zu implementieren. Anders ausgedrückt: Compliance ist für eine Anwältin natürlich alles. Aber zugleich nichts. Weil, nun ja, Anwälte machen schon immer „Compliance“.

Du bist auf IT-, Datenschutz- und Arbeitsrecht spezialisiert. Welche Bedeutung hat Corporate Compliance in der Arbeit mit Deinen Mandanten?

Nina Diercks: Theoretisch sollte Corporate Compliance schon immer einen Fokus auf diese Themen haben und damit bereits lange eine erhebliche Rolle in meiner Arbeit spielen. Praktisch wurde unter Corporate Compliance seitens der Unternehmen jedoch lange nur „Verhinderung von Schmiergeldaffären“ oder „Umweltskandalen“ (okay, das hat bei VW nicht so gut geklappt… ;) ) verstanden.

Erst nach und nach sickert so langsam in das unternehmerische Bewusstsein ein, dass insbesondere aufgrund der technologischen Fortschritte sowie des veränderten Kommunikationsverhaltens von Mitarbeitern Fragen der IT-Sicherheit, des Datenschutzes und der Unternehmens- bzw. Mitarbeiterkommunikation Kernfragen der Compliance und nicht alleiniges Problem der jeweiligen Fachabteilung sind. Allerdings ändert sich hier gerade etwas massiv.

Der Grund ist maßgeblich in der EU-Datenschutzgrundverordnung zu finden, die das Datenschutzniveau ab Mai 2018 einheitlich EU-weit regeln wird. Und damit kommen nicht nur neue Informations- und Rechenschaftspflichten auf die Unternehmen zu, sondern vor allem auch Bußgeldandrohung in Höhe von bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes bzw. bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes – je nach Art des Verstoßes. Das sind Summen für die kein Unternehmen noch „mal eben“ Rückstellungen bildet. Und von daher tauchen die Themen Datenschutz und IT spätestens jetzt auch mit leuchtenden Alarmlichtern auf den Schreibtischen von Corporate Compliance . Wer es genauer wissen will, darf sich die bislang 8-teilige Serie zur DSGVO in meinem Blog anschauen.

Welche Schwierigkeiten, Probleme oder Herausforderungen siehst Du bei Deinen Mandanten, wenn es um Compliance geht?

Nina Diercks: Neben der eben schon genannten und sehr aktuellen Herausforderung namens DSGVO sehe ich hier immer noch ein großes und leider sehr grundsätzliches Problem, nämlich das Problem der Silos oder des „Dafür bin ich jetzt aber nicht zuständig!“.

„Neben den Herausforderungen der DSGVO ist ein grundsätzliches Problem in Unternehmen die Haltung ‚Dafür bin ich jetzt aber nicht zuständig!'“

Dazu ein alltägliches Beispiel: Es soll eine neue Software im Unternehmen eingeführt werden. Diese Software muss man noch einmal „kurz“ rechtlich begutachten. In dem Zusammenhang der rechtlichen Prüfung wird zum Beispiel festgestellt, dass es dem Unternehmen an notwendigen Datenschutz- und/oder IT-Richtlinien mangelt. Der verantwortliche IT-Projektmanager, der mit der Einführung der Software betraut ist, zuckt zusammen. Denn das bedeutet, dass er die Thematik mit dem vorgesetzten IT-Leiter und dieser das Thema weiter mindestens mit der Personalleitung besprechen müsste. Ergo – das Thema muss in die oberste Führungsebene. Das ist alles mühsam. Die Vorgesetzten goutieren diese Bemühungen leider noch selten.

Ab Mai 2018 kann Silo-Denken in Unternehmen dank #DSGVO richtig teuer werden. #Compliance Share on X

Denn anstatt die Software einfach mal erfolgreich ins Unternehmen einzuführen, kommt der IT-Projektverantwortliche jetzt mit lauter Grundsatzproblemen! – so zu meist die Attitüde der jeweiligen Führungskraft. Und diese Attitüde hilft natürlich nicht, wenn einzelne ,Manager für solche Themen an sich Verantwortung übernehmen und die Themen weiter in das Unternehmen reintragen wollen, aber aufgrund dieser „Grundstimmung“ im Unternehmen ausgebremst werden.

Und im Ergebnis implementieren sie die Software und denken „Gut, ich hab das Thema jetzt einmal kurz dokumentiert, aber wenn da nichts weiter kommt…ich bin dafür ja nicht verantwortlich“.
Man könnte auch sagen: Ein klarer Fall für Compliance und die Führungskräfte-Kommunikation. ;)

Wie siehst Du im Hinblick auf Unternehmenskommunikation und IT die zukünftige Entwicklung von Compliance?

Nina Diercks: IT, Datenschutz und Unternehmenskommunikation sowie das damit verbundene Arbeitsrecht müssen in den Fokus von Compliance rutschen. Es geht schon lange nicht mehr um ferne „zukünftige Entwicklungen“, sondern um die Frage jetzt, oder aber in sehr, sehr naher Zukunft (Mai 2018) compliant zu sein.

Werden die Vorschriften zunehmen? Oder werden in Zukunft Produkte so entwickelt, dass sie compliant sind, der Aufwand für den Nutzer also geringer wird?

Nina Diercks: Da die technologische Entwicklung fortschreitet, ändert sich natürlich auch die Rechtswirklichkeit. Also, ja, es wird insoweit ein noch „mehr“ Regelungen geben, bzw. werden alte Regelungen ersetzt. So wird im Mai 2018 neben der DSGVO auch die E-Privacy-Verordnung in Kraft treten, die den Umgang mit jeglichen Daten, die aus elektronischer Kommunikation herrühren, regelt. Also z.B. den Einsatz von Tracking-Diensten, Daten im Zusammenhang mit dem „Internet of Things“ oder aber die Auswertung von GPS-Daten im Fernverkehr. Die E-Privacy-VO sieht dabei die gleichen Bußgeldandrohungen vor wie die DSGVO, bzw. sie verweist auf diese.

Die hier mitschwingende zweite Frage ist an sich keine „Oder“-Frage. Die neuen Regelungen werden mittelfristig dazu führen, dass mehr Produkte, wie z. B. Software, angeboten werden, die den gesetzlichen Anforderungen entsprechen und somit compliant sind.

Welche Maßnahmen müssten ergriffen werden, damit Du bei deinen Mandanten den größten Effekt bei der Einhaltung von Regeln erzielen kannst?

Nina Diercks: Im Ernst, tatsächlich, ein ganz großer Faktor ist die interne Unternehmenskommunikation. Die besten Datenschutz-, IT-, BYOD- und Social-Media-Richtlinien nützen nichts, wenn diese nur einmal vom Mitarbeiter unterschrieben bzw. einmal in eine Betriebsvereinbarung gegossen wurden, aber eigentlich keiner versteht, was der „Tinnef“ (hamburgerisch für: unnützer Kram) denn nun soll.

Ich rate nicht nur dazu, die Implementierungen in einer gut verständlichen Broschüre einmal zu erklären, sondern z. B. auch eine Betriebsversammlung durchzuführen, in dem die neuen Richtlinien und die Gründe dafür vorgestellt werden. Und klar, hier helfen Kommunikationsexperten, die noch weitere Ideen und Ansätze haben.