Datenschutz: Wettbewerbsfaktor oder doch „nur“ Hygienefaktor?

Als Berater und Datenschutzbeauftragter könnte man schnell der Annahme verfallen, Datenschutz müsse eines der wichtigsten Themen im Unternehmen überhaupt sein. Dass dem in der Mehrzahl aller Unternehmen nicht so ist, wissen die meisten – zumindest unterbewusst. Aber wie wichtig sollte Datenschutz genommen werden und welchen Stellenwert sollte er tatsächlich haben?

Stellenwert des Datenschutzes

Wenn wir uns mit der Frage der Datenschutzstrategie für unsere Kunden beschäftigen, muss es dabei nicht nur um die Vermeidung von Bußgeldrisiken gehen. Uns bei der migosens ist es in unserem Beratungsalltag jedenfalls deutlich lieber, wenn wir statt mit der Bußgeldkeule lieber durch Mehrwerte überzeugen können. Vermutlich jeder Datenschutzbeauftragter kennt die Nachfrage, „ob das wirklich sein müsse“ oder „wie hoch wäre denn das Risiko, wenn wir das nicht so machen“. Wäre es da nicht viel schöner, wenn Fachbereiche in ihren Projekten intrinsisch motiviert sind, datenschutzkonform zu arbeiten?

Wenn wir uns die heutige Welt ansehen, wird sie nach wie vor immer digitaler und die Datenerfassung unserer Daten damit allgegenwärtiger. Und seit vielen Jahren hören wir von Kritikern immer wieder, was das mit dem Datenschutz denn solle, wenn die Menschen doch alles ständig und freiwillig auf Facebook mit der Welt teilen. Hat Datenschutz also gar nicht den hohen Stellenwert bei den Bürgern, wie wir Datenschützer uns das gerne vorstellen? Deswegen haben wir uns intensiver in den letzten Monaten mit der Frage beschäftigt, ob Datenschutz in der modernen Welt eigentlich „nur“ ein Hygienefaktor oder doch ein Wettbewerbsvorteil ist.

Der amerikanische Professor Frederik Herzberg formulierte im Jahr 1959 erstmalig den Begriff „Hygienefaktor“ als Abgrenzung zum „Motivationsfaktor“. Hygienefaktor bedeutet in diesem Zusammenhang: „Alltäglichkeiten“, die, wenn sie da bzw. erfüllt sind, uns nicht weiter beeinflussen. Wenn Sie allerdings temporär oder dauerhaft nicht zur Verfügung stehen, dann erlangen sie plötzlich einen sehr hohen Stellenwert für uns. Diese Erfahrung haben wir im Frühjahr 2020 alle gemacht, als in den Supermärkten das Toilettenpapier plötzlich knapp wurde. In einer normal funktionierenden Welt beschäftigt uns die Frage, ob das Toilettenpapier vorrätig ist, eigentlich gar nicht.

Die große Frage, die sich für uns also stellt: Ist es mit dem Datenschutz genauso? Interessiert uns als Betroffene das Thema nur, wenn unsere Rechte verletzt werden oder es zu einer Datenpanne kommt? Oder hat es doch einen höheren Stellenwert, so wie es das Bundesverfassungsgericht im grundlegenden Volkszählungsurteil 1983 formuliert hat?

  • Facebook hatte vor vielen Jahren eine Regelung eingeführt, die es den Benutzern erlaubte, über Änderungen an den Datenschutzbestimmungen abzustimmen. Im Jahr 2012 stand die Abschaffung dieses Mitspracherechts zur Entscheidung an. Nur 0,04 % der User hat überhaupt darüber abgestimmt – zu wenig, um berücksichtigt zu werden.
  • Im Jahr 2018 trat die DSGVO in Kraft und wir alle hatten das Gefühl, an jeder Ecke eine (oft überflüssige) Einwilligungserklärung unterschrieben zu müssen. Für viele Menschen – aber auch Unternehmer – entstand der Eindruck, dass Datenschutz vor allen Dingen ein Bürokratiemonster ist und ohne Einwilligung gar nichts mehr zulässig ist.
  • Seit dem EuGH Urteil zu Planet 49 leiden wir tagtäglich unter den unzähligen Cookie-Bannern, ebenfalls kein positives Bild des Datenschutzes.
  • In der Pandemiebekämpfung hat man uns glauben machen wollen, dass Datenschutz ein Verhinderer einer wirksamen Pandemiebekämpfung sei- auch wenn dem bei genauerem Hinschauen natürlich nicht so war.

Wenn wir uns die heutige Kommunikation vieler Unternehmen zum Thema Datenschutz ansehen, dann finden wir sehr häufig Plattitüden wie „Der Schutz ihrer Daten ist uns wichtig“ oder auch „Wir nehmen den Schutz ihrer Daten sehr ernst“. Das sind Phrasen, die bei Google über 135 Millionen Mal auf deutschen Webseiten gefunden werden. Auch wenn der Kern dieser Aussage vielleicht bei einigen Unternehmen so gemeint ist, zeigt unsere Beratungspraxis am Ende doch, dass die Realität anders aussieht: Wer schon mal eine Auskunftsanfrage nach Artikel 15 der Datenschutzgrundverordnung (DSGVO) gestellt hat oder wer sich schon mal kritisch mit den Informationspflichten über die Datenerhebung auseinandergesetzt hat, der stellt sehr schnell fest, dass es sich bei vielen Unternehmen eher um Lippenbekenntnisse handeln muss: Lange, nichtssagende Texte, Verweise und Zirkelschlüsse, bestenfalls noch eine Wiederholung der gesetzlichen Definitionen. Aber vieles würde einer kritischen Prüfung nicht Stand halten.

Umfragen belegen die zunehmende Wichtigkeit von Datenschutz und Vertrauen

Also haben wir uns auf die Suche gemacht: Kann Datenschutz im Unternehmen einen Mehrwert bieten oder ist es am Ende doch nur die lästige Pflicht, die viele Unternehmen und Mitarbeitende verspüren?

Das Cap Gemini Research Institute hat im Jahr 2019 eine Studie mit über tausend Unternehmen gemacht. Befragt wurden Führungskräfte, inwieweit sich die Umsetzung der DSGVO in ihrem Unternehmen auf verschiedene Bereiche ausgewirkt hat. Dabei wurde in den Auswertungen zwischen den Unternehmen, die die Implementierung der DSGVO noch nicht abgeschlossen hatten, und jenen, die die DSGVO nach eigenen Aussagen bereits komplett umgesetzt hatten, unterschieden.

Interessanterweise fallen die Antworten in der Regel 20 bis 30 Prozent positiver bei den Unternehmen aus, die die DSGVO bereits umgesetzt hatten. Sowohl in den Bereichen Kundenbewertungen, Kundenzufriedenheit und Kundenvertrauen, als auch in den Bereichen Marketing, Umsatz, Arbeitsmoral der Mitarbeiter und im Bereich Image/Reputation fallen die Werte deutlich positiver aus als bei den Unternehmen, die die DSGVO noch nicht umgesetzt hatten.

Darüber hinaus hat man auch sogenannte Auswirkungen zweiter Ordnung untersucht. Dort sind die Unterschiede noch deutlicher:

Rund 90 Prozent der Unternehmen, die die DSGVO bereits umgesetzt hatten, sagten, dass dies positive Auswirkungen auf ihre IT-Infrastruktur, Cybersecurity und die Organisation sowie ihre Prozesse hat. Hingegen fallen die Antworten bei den Unternehmen, die die DSGVO noch nicht komplett umgesetzt hatten, mit durchschnittlich 50 bis 60 Prozent deutlich weniger positiv aus.

Die Studie zeigt damit recht deutlich, dass eine Umsetzung der datenschutzrechtlichen Vorschriften positive Effekte in verschiedenen Bereichen im Unternehmen haben kann. Der positive Effekt kann einerseits durch die Datenschutz-Compliance selbst entstehen (z.B. bei Kundenvertrauen, Arbeitsmoral der Mitarbeiter oder Reputation/Image), oder aber indirekt durch die zwangsläufige Überprüfung und Anpassung von Systemen und Prozessen.

Wir bei der migosens haben daneben auch gemeinsam mit unserem Partner HPP eine Blitzumfrage unter 165 Automobilkunden in Deutschland gemacht. 72 Prozent der Teilnehmenden haben sich geäußert, dass ihnen der Schutz der eigenen Daten wichtig bis sehr wichtig ist. Ähnliche Ergebnisse haben auch frühere Umfragen von verschiedenen Unternehmen in Deutschland ergeben: Der Schutz der eigenen Daten wird von den meisten Betroffenen als sehr wichtig angegeben. 63 Prozent der von uns befragten Automobilkunden wussten, dass die gesammelten Daten auch genutzt werden, um individuelle Angebote zu erstellen. Allerdings – und das ist einer der wichtigen Erkenntnisse dieser Umfrage – 96 Prozent der befragten Gruppe sind sich unsicher darüber, welche Daten die Automobilhersteller von ihnen erfassen! erfassen!

In Zeiten der DSGVO, wo man als Betroffener basierend auf den Informationen nach Artikel 13 und 14 DSGVO doch ein sehr klares Bild bekommen können müsste, ist das sehr ernüchternd. Daher ist es auch nicht so überraschend, dass 74 Prozent der Befragten gesagt haben, dass sie ein Misstrauen vor allen Dingen in der fehlenden Transparenz bezüglich der Datenhaltung und Verwendung sehen. Damit können wir feststellen, dass Vertrauen und Transparenz Hand in Hand gehen.

Eine der größten Bedrohungen für Unternehmen geht heute nicht von der Konkurrenz aus, sondern von der Fähigkeit, Vertrauen der Kunden zu gewinnen und zu erhalten.“

(Manish Bahl, Associate Vice President, Cognizant’s Center for the Future of Work, Asien-Pazifik)

Dies belegt auch eine Studie zum Thema Vertrauen des Cognizant’s Center for the Future of Work aus dem Jahr 2016.
Die Autoren dort kommen ebenfalls zu dem Ergebnis, dass das Vertrauen der Kunden (und unserer Auffassung gilt das heute mehr denn je auch für Mitarbeiter und Bewerber) heutzutage der wichtigste Faktor für erfolgreiche Kundenbeziehungen ist. Das heißt, das Vertrauen der Kunden in die Leistungen und damit auch in die Datenverarbeitung hat – laut Einschätzung der Autoren – eine höhere Kritikalität als die Leistungen und Angebote des Wettbewerbs. In dieser Studie wurde auch betrachtet, was alles zum Vertrauen beiträgt: 9 von 10 Befragten waren in Sorge um ihre Privatsphäre. Dreiviertel der Befragten hatten Diebstahl oder Missbrauch ihrer persönlichen Daten als Sorgenpunkt und mit knapp 70 Prozent Transparenz als Top Faktor der Vertrauenswürdigkeit genannt.rdigkeit genannt.

Wie so oft: es kommt darauf an

Die Studien erlauben uns den Schluss, dass je datenintensiver ein Unternehmen arbeitet, desto eher wird Datenschutz vom Hygienefaktor zum Wettbewerbsfaktor.

Unternehmen, die viele oder sehr sensible Daten benötigen – zum Beispiel ein Betreiber eines sozialen Netzwerks oder Anbieter datenintensiver Produkte wie Sprachassistenten – werden eher über den Datenschutz ein zusätzliches Abgrenzungsmerkmal finden als der lokale Handwerker oder Einzelhändler vor Ort. Das heißt, je datenintensiver ein Produkt ist und je datenintensiver die Datenverarbeitung durch ein Unternehmen ist, desto höher ist nicht nur das Risiko, dass ein Vorfall zu einem Vertrauensverlust führt, sondern auch die mangelnde Transparenz eine echte Vertrauensbildung durch den Kunden verhindert oder zumindest schwächt.

Aber auch im B2B-Umfeld dürfen wir die „Vertrauensfrage“ nicht unterschätzen. Beispielsweise können Unternehmen, deren Leistungen z.B. in Form von Auftragsverarbeitungen für ihre Kunden erbringen, durch eine gute Implementierung der datenschutzrechtlichen Anforderungen nicht nur die Wahrscheinlichkeit für Datenschutzvorfälle, sondern auch die Anzahl der Kundenaudits reduzieren. Sowohl gegenüber Geschäftskunden als auch gegenüber Verbrauchern sind Transparenz und Vertrauen die Zutaten für erfolgreiche Kunden- und Mitarbeiterbeziehungen.

Die Grenzen, wann wir vom Hygiene- zum Wettbewerbsfaktor kommen, sind dabei sicherlich fließend und der Erfolg eines Unternehmens hängt auch von weiteren Faktoren ab. Denn neben einem guten Datenschutzniveau bedarf es selbstverständlich auch immer eines guten Produkts. Anders wäre der Erfolg der großen, amerikanischen Tech-Giganten sicherlich nicht zu erklären. Apple ist allerdings auch ein gutes Beispiel dafür, wie sich die Erkenntnis auch in den USA langsam entwickelt und wie sich Datenschutz aktiv und positiv in die Vermarktung einbauen lässt.ung einbauen lässt.

Datenschutzmanagement als wichtiger Grundstein

Wie man nun in einem Unternehmen diese Vorteile und Mehrwerte für sich heben kann, sind neben einer umfassenden Umsetzung der rechtlichen Anforderungen (bspw. der DSGVO) vor allen Dingen die dahinterliegenden Strukturen. Diese müssen es den Mitarbeitenden im Unternehmen nicht nur erlauben, sondern oft auch notwendig machen, die Datenschutzkonformität der Leistungen und Produkte einzuhalten. Hier lautet das Stichwort „DatenschWie man nun in einem Unternehmen diese Vorteile und Mehrwerte für sich heben kann, sind neben einer umfassenden Umsetzung der rechtlichen Anforderungen (bspw. der DSGVO) vor allen Dingen die dahinterliegenden Strukturen. Diese müssen es den Mitarbeitenden im Unternehmen nicht nur erlauben, sondern oft auch notwendig machen, die Datenschutzkonformität der Leistungen und Produkte einzuhalten. Hier lautet das Stichwort „Datenschutzmanagementsystem“ (DSM). Ein solches DSM sorgt auf einer organisatorischen und strukturellen Ebene in Unternehmen dafür, dass Datenschutz so umgesetzt wird, dass es sowohl in den Produkten als auch in den Köpfen der Mitarbeitenden fest verankert wird. Ein fest verankerter Datenschutz führt zu besseren Strukturen in den Systemen, in den Unternehmensabläufen und auf lange Sicht damit auch zu einer höheren Zufriedenheit der Kunden.

Zertifizierungen können das Ganze unterstützen. Dort bietet sich eine Umsetzung der Norm ISO 27701 an. Sie beschreibt eine wirkungsvolle und sinnvolle Vorgehensweise, um Datenschutz im Unternehmen nachhaltig zu implementieren. Dabei stehen Risikogesichtspunkte und auch Chancen im Unternehmen im Vordergrund. Somit lässt sich Datenschutz auf einem für das Unternehmen vertretbaren und sinnvollen Level implementieren und eine strategische Positionierung dieses Compliance-Themas gut steuern.

Zum Autor

Heiko Gossen ist Geschäftsführer der migosens und verantwortet die Bereiche Datenschutz und Managementsysteme. Seine praktischen Erfahrungen im Datenschutz sammelte er sowohl als interner Datenschutzbeauftragter (Telefónica Deutschland) und Datenschutzauditor (Telefónica O2) sowie später als externer Datenschutzbeauf­tragter (u.a. Postbank Systems und Amprion). Seit 2012 auditiert er außerdem als Lead Auditor i.A. des TÜV Rheinland u.a. in den Standards ISO 27001 und ISO 27018. Ferner ist er stellvertretender Vorsitzender des Arbeitskreises Datenschutz im Bitkom e. V..