Datenschutz und Compliance nicht nur als Bürde und Aufwand sehen: Interview mit Gerhard Donner
Gerhard Donner ist Pionier für Governance, Risk und Compliance und hat mitten in der Krise den Schritt in die Selbstständigkeit gewagt. Wir sprechen mit ihm über Schrems, Data Privacy und Make or buy von Datenschutz-Expertise.
Business Circle: Sehr geehrter Herr Ing. Mag. Donner, eingangs etwas Persönliches: Nach Jahren als Compliance Officer in einem großen Industrieunternehmen haben Sie jetzt den Schritt in die Selbstständigkeit gewagt, was hat Sie dazu bewogen?
Gerhard Donner: Manchmal werde ich gefragt, warum ich diesen Schritt ausgerechnet im Corona-Jahr gewagt habe, aber jede Krise beinhaltet auch eine Fülle neuer Chancen. Mit rund 35 Jahren Berufserfahrung in verschiedenen Branchen und Positionen konnte ich eine Menge Erfahrung sammeln, die ich gerne mit anderen teilen möchte und ich glaube, dass Unternehmen gerade jetzt rasche und kompetente Unterstützung gebrauchen können. Unser Angebot ist auf die Bereiche Governance, Risk & Compliance, Performance Optimierung und Digitalisierung spezialisiert und zeichnet sich nicht nur durch das Fachwissen und die langjährige Praxiserfahrung unserer Partner aus, sondern auch durch die hohe Flexibilität und Kundenorientierung, die wir als „Boutique Firm“ bieten können.
Business Circle: Große Konzerne bewirtschaften Kundendaten und dann kommt ein Graswurzel-Rebell wie Max Schrems und bringt alles durcheinander, hätten da nicht eigentlich vorher die Compliance- und Rechtsabteilungen in den Konzernen einschreiten müssen?
Donner: Die Schwächen des Safe Harbor Abkommen und auch des Privacy Shield waren hinlänglich bekannt, schon bevor Max Schrems vor den EuGH zog. So wie ich das wahrgenommen habe, war das auch den Kolleginnen und Kollegen in den Rechts- und Compliance-Abteilungen der Unternehmen stets bewusst. Viele haben auch schon Vorsorge getroffen und entsprechende Auftragsdatenverarbeitungsvereinbarungen und teilweise auch Binding Corporate Rules erarbeitet. Aber natürlich ist die Durchsetzung nicht immer ganz einfach, insbesondere wenn man einem großen Cloud-Anbieter oder sonstigen Dienstleister mit entsprechender Marktmacht gegenübersteht. Letzten Endes ist hier die Politik gefordert, eine tragfähige Vereinbarung auszuhandeln, um den Druck auf die einzelnen Unternehmen wieder zu reduzieren.
Business Circle: Was werden Ihres Erachtens die wichtigsten Auswirkungen der EuGH-Schrems-Urteile auf österreichische Unternehmen ein?
Donner: Wie schon gesagt, ganz oben auf der Prioritätenliste steht die Anpassung der vertraglichen Grundlagen und natürlich die Umsetzung angemessener technischer und organisatorischer Maßnahmen, sowohl im Konzern als auch mit externen Auftragsverarbeitern. Dort wo das noch nicht erfolgt ist, kann ich nur empfehlen, das rasch nachzuholen. Auf der anderen Seite sollte man sich aber auch genau ansehen, mit welchen Partnern man zusammenarbeitet, zumindest dort, wo Wahlmöglichkeiten bestehen.
Die Zweckbindung der Datenverarbeitung im Auge behalten
Business Circle: Bei der Data Privacy: Gibt es so etwas wie eine Faustregel, ab wann man den legalen Bereich verlässt?
Donner: Den Rahmen der Legalität geben die DSGVO und das DSG vor. In manchen Bereichen ist das recht klar, etwa wenn es um die Zweckbindung der Datenverarbeitung geht. Dort, wo Unsicherheit besteht, weil Regelungen fehlen oder nicht hinreichend konkret sind und bislang auch seitens der Rechtsprechung noch Präzisierungen ausständig sind, ist professional judgement gefragt. Zunächst muss man sich also fragen, was denn Sinn und Zweck der Regelung ist, was der Gesetzgeber damit erreichen wollte. Dann gilt es, eine nachvollziehbare Interessensabwägung nach objektiv prüfbaren Kriterien durchzuführen und die Entscheidungsfindung auch zu dokumentieren. Das lässt sich am besten anhand eines Beispiels konkretisieren. Datenschutzrecht verlangt ja grundsätzlich eine Löschung personenbezogener Daten, wenn die Grundlage der Verarbeitung wegfällt. Wenn also zum Beispiel ein Vertrag mit einem Kunden endet, werde ich zwar rechnungslegungsrelevante Daten weiterhin aufbewahren müssen, andere Informationen aber löschen müssen. Wenn ich hingegen damit rechnen muss, dass es noch zu Streitigkeiten oder Haftungsfragen kommen könnte, werde ich natürlich ein berechtigtes Interesse haben, die entsprechenden Daten länger aufzubewahren. Im Bedarfsfall muss ich aber in der Lage sein, dieses Interesse glaubhaft zu machen. Daher ist eben eine nachvollziehbare Entscheidungsfindung und Begründung so wesentlich.
Business Circle: Make or buy: Ab wann sollte ein Unternehmen externe Berater hinzuziehen, bzw. was wäre ein typisches Problem, mit dem man gerade zu BoardMatters kommen sollte?
Donner: Ein externer Berater kann in vielerlei Hinsicht sehr hilfreich sein. Zunächst ist ein Einsatz immer dann sinnvoll, wenn entweder spezifisches Fachwissen oder auch einfach die benötigen Kapazitäten fehlen. Darüber hinaus kann ein Berater natürlich auch viel aus seinem Erfahrungsschatz beisteuern, sodass nicht alles von Grund auf neu entwickelt werden muss. Viele Dinge wie zum Beispiel Richtlinien und Schulungen, aber auch die Gestaltung von Prozessen lassen sich in der Regel mit begrenztem Anpassungsaufwand auf andere Unternehmen übertragen. Das spart Zeit und Geld. Ein anderer Grund, warum Berater geholt werden, liegt oft auch darin, eine Entscheidung durch eine Expertenmeinung abzusichern. Es gibt aber noch mehr Gründe, warum sich der Einsatz lohnt. Viele unserer Kunden wünschen sich beispielsweise eine unabhängige Überprüfung ihrer bereits ergriffenen Maßnahmen. Wir führen dann ein Review oder auch ein Audit der Datenschutz- und Compliance-Prozesse durch, identifizieren allfällige Schwachstellen und Verbesserungspotentiale und unterstützen auch Wunsch auf bei der Umsetzung. Speziell für kleinere und mittlere Unternehmen, die meist nicht über die erforderlichen Personalkapazitäten im Haus verfügen, bieten wir auch „Compliance as a Service“ an. Die Kunden können dabei aus verschiedenen Paketen wählen und wir übernehmen dann die Umsetzung der erforderlichen Maßnahmen. Der Bogen reicht dabei von den grundlegenden Elementen eines Compliance-Programms über Unterstützung in verschiedenen Fachbereichen, etwa der Exportkontrolle bis hin zu Whistle Blowing und Fraud Prevention.
Business Circle: In Ihrer Beratertätigkeit: Welches Mindset, welche Philosophie wünschen Sie bei Ihren Klienten zu implementieren, um optimale Ergebnisse zu erzielen?
Donner: Im Wesentlichen wären das zwei Dinge. Zunächst einmal ist mir viel daran gelegen, dass Datenschutz und Compliance nicht nur als Bürde und Aufwand verstanden werden, sondern dass daraus auch ein vielfältiger Nutzen entstehen kann, beispielsweise Wettbewerbsvorteile durch die Positionierung als „Compliant Supplier“ oder die Reduktion von Transaktionskosten. Auf der anderen Seite erfordert ein wirksames Compliance-Programm mehr als bloß das Erstellen von ein paar Richtlinien. Wenn Unternehmen wirklich etwas bewegen wollen und eben auch die Vorteile ausschöpfen möchten, sollten Datenschutz- und Compliance als Teil der Unternehmenskultur verankert werden. Das erfordert einiges an Umdenken, aber viele Unternehmen sind bereits in diese Richtung unterwegs und erzielen damit sehr gute Ergebnisse.
Business Circle: Abschließend: Sie begleiten Business Circle ja jetzt schon sehr lange als Teilnehmer und Vortragender. Darf ich fragen, welchen Eindruck Sie von uns – insbesondere von der PriSec – gewonnen haben?
Donner: Ja, tatsächlich arbeite ich schon seit vielen Jahren mit Business Circle zusammen, sowohl vorne am Podium als auch immer wieder in den Reihen der Teilnehmer. Das Angebot umfasst viele spannende Konferenzen und Ausbildungen. Dabei erhält man nicht nur erstklassige Inhalte, sondern auch die Gelegenheit, sich mit den Top-ExpertInnen zum jeweiligen Thema auszutauschen und zu vernetzen. Das gilt ganz besonders auch für die PriSec, die in ihrer Konzeption – Privacy und Security mit Vertretern aus Unternehmen, Wissenschaft und Behörden – schon eine gewisse Alleinstellung aufweist.
Ing. Mag. Gerhard R. Donner, CFE, CISA, CFSA ist Managing Partner bei Board Matters Advisory. Er gilt als Pionier für Governance, Risk und Compliance und begleitet Führungskräfte und Experten als systemischer Coach und Berater bei Veränderungs- und Entwicklungsprozessen sowie Digitalisierungsprojekten. Davor war er Chief Compliance Officer eines mehrfach börsegelisteten, globalen Konzerns sowie Partner und Geschäftsführer bei führenden Audit und Consulting Firms. Er spricht regelmäßig zu Datenschutz- und Compliancethemen, unter anderem am 5. Oktober auf der PriSec zum Thema „Privacy im globalen Konzern“.