6. Juli 2009 - Dem Skandal die Spitze nehmen

Strategien zur Krisenbewältigung

Zwar heißt es, schlechte Publicity sei besser als gar keine. Doch Unternehmen, die gerade in Sachen Datenschutz ungeahnte Aufmerksamkeit erlangen, werden sich kaum darüber freuen. Ein schöner Datenschutz-Skandal ist den Medien heute sogar einen Leitartikel wert. Unternehmen sind daher gut beraten, ihre Krisenmanagementsysteme kritisch zu prüfen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Die Öffentlichkeit differenziert in der Regel nicht, ob der von den Medien aufgedeckte Datenschutz-Skandal durch kriminelle Handlungen Einzelner oder durch Unzulänglichkeiten im Unternehmen entstanden ist. Das Unternehmen steht am Pranger, verliert sowohl bei Geschäftspartnern als auch bei Kunden an Vertrauen und Image.

Daneben sind die Datenschutz-Aufsichtsbehörden alarmiert, was regelmäßig zu Kontrollen führt. Auch Sanktionen in Form hoher Bußgelder können die Konsequenz sein.

Die Krisensituation ist da – und nun?

In der Regel ist es zu spät, mit dem Krisenmanagement zu beginnen, wenn der Skandal publik geworden ist.

Entweder die Geschäftsführung hat bereits ein funktionierendes System eingerichtet. Dann kann sie sich angemessen verhalten. Oder sie hat kein Konzept: Dann können die Reaktionen panisch ausfallen, da die Verantwortlichen ein datenschutzrechtliches Krisenszenario nicht im Blickfeld hatten.

Kommunikation ist wichtig

Wesentlich ist in jedem Fall die Kommunikation: Das Unternehmen kann die Krise schweigend aussitzen und darauf hoffen, dass die Öffentlichkeit den Skandal schnell vergisst, oder es geht proaktiv auf alle Beteiligten zu.

Und die Kommunikation sollte Chefsache sein

Aufrichtigkeit empfiehlt sich insbesondere, wenn die Krise durch kriminelle Handlungen von Mitarbeitern oder Dritten ausgelöst wurde. Eine offene Kommunikation kann dann zumindest einen Imageverlust wettmachen sowie Geschäftspartner und Betroffene in Grenzen beruhigen.

Dabei empfiehlt sich als vertrauensbildende Maßnahme eine direkte Kommunikation durch die Geschäftsführung. Dies gilt sowohl für persönliche Gespräche mit den Betroffenen als auch für Interviews, Pressekonferenzen oder Pressemitteilungen.

Besser keine PR-Agentur einschalten

Wer über eine professionelle PR-Agentur kommuniziert, erweckt leicht den Eindruck, das Unternehmen habe etwas zu verbergen und verstecke sich hinter den Profis.

Informieren Sie die Aufsichtsbehörden

Parallel dazu sollte das betroffene Unternehmen die Behörden einschalten.

Informationspflicht in der Krise

Künftig werden Unternehmen keine Wahl mehr haben, ob und wie sie kommunizieren möchten: Der Gesetzgeber plant als Reaktion auf die jüngsten Skandale die gesetzliche Verankerung einer Informationspflicht.

Voraussichtlich ab 2010 soll die verantwortliche Stelle verpflichtet sein, die zuständigen Datenschutz-Aufsichtsbehörden und die Betroffenen über Verstöße zu informieren.

Erfordert die Unterrichtung der Betroffenen einen unverhältnismäßigen Aufwand, kann die Information auch durch Anzeigen in zwei bundesweit erscheinenden Tageszeitungen erfolgen (vgl. BR-Drs. 4/09, abrufbar unter: http://dip21.bundestag.de/dip21/brd/2009/0004-09.pdf).

Offene Kommunikation nach innen verhindert weitere Schäden

In der akuten Krisenphase empfiehlt sich auch die offene, zeitnahe und korrekte Information innerhalb des Unternehmens: Die relevanten Ansprechpartner müssen über die Verstöße und deren absehbare Auswirkungen auf dem Laufenden gehalten werden.

Dabei sind neben der Geschäftsführung insbesondere der Datenschutzbeauftragte (DSB) und die involvierten Fachabteilungen gefragt. Ansonsten kommt es zu Kommunikationsdefiziten nach außen und damit zu weiteren Schäden für das Unternehmen.

Identifizieren Sie die Schwachstellen

Nach der Krise folgt das Aufräumen. Statt einfach zum Alltag zurückzukehren und zu hoffen, dass künftig alles besser wird, müssen die Schwachstellen identifiziert werden. Es gilt, die erforderlichen Maßnahmen einzuleiten und umzusetzen. Abhängig von der Schwere des Vorfalls werden die Datenschutz-Aufsichtsbehörden Forderungen stellen.

Wehren Sie Haftungsfolgen für Geschäftsführer ab

Auch unter Compliance-Gesichtspunkten empfehlen sich Maßnahmen: Organisationsdefizite und fehlende Überwachungssysteme können nicht nur zu Sanktionen von Unternehmen führen, sondern auch Haftungsfolgen für Geschäftsführer nach sich ziehen.

Gleiches gilt für einen DSB, der die Missstände ignoriert.

Klären Sie die Ursachen

Dabei kann es von Vorteil sein, neutrale externe Berater einzubeziehen. Je nach Art des Verstoßes kann es sich z.B. empfehlen,

  • Befragungen der Mitarbeiter und des DSB durchzuführen,
  • die Datenschutzrichtlinien und andere relevante Dokumente zu sichten, um Verstöße dagegen oder Lücken aufzudecken,
  • die Umsetzung der technisch-organisatorischen Maßnahmen, insbesondere der Sicherheitskonzepte, zu überprüfen oder auch
  • E-Mail-Screenings (im gesetzlich zulässigen Rahmen) durchzuführen.

Verhindern Sie den Skandal durch ein Datenschutzaudit

Um die Schwachstellen, die in die Krise geführt haben, aufzudecken, bietet sich ein Datenschutzaudit an. Auch wenn die gesetzliche Umsetzung des Datenschutzauditgesetzes auf sich warten lässt, kann das Unternehmen freiwillig ein Audit durchführen oder beauftragen.

In der Regel erfolgt dabei eine Bestandsaufnahme des „Ist-Zustands“, der sich eine Gegenüberstellung mit dem „Soll-Zustand“ anschließt. Diese Gegenüberstellung mündet in eine Darstellung des im Unternehmen festgestellten Verbesserungsbedarfs nebst anschließender Umsetzung der Verbesserungsvorschläge.

Mehr zum Datenschutzaudit

Räumen Sie Organisationsdefizite aus

Sind die Schwachstellen aufgedeckt und die Täter identifiziert, wird die Reaktion von der Schwere der Verstöße abhängen: Kriminelle Handlungen durch Mitarbeiter oder Dritte ziehen arbeits-, zivil- und strafrechtliche Sanktionen nach sich.

Bei einem aufgedeckten Organisa-tionsdefizit im Unternehmen sind eher weichere Maßnahmen zu ergreifen.

Datenschutz-Organisation aufbauen

Das Unternehmen sollte auf Grundlage eines Datenschutz-Konzepts eine Datenschutz-Organisation einrichten. Ziel ist es, Mitarbeiter für die Belange des Datenschutzes zu sensibilisieren, zu schulen sowie explizit zur Einhaltung der gesetzlichen Bestimmungen und zur Umsetzung der erforderlichen Maßnahmen zu verpflichten.

Die Maßnahmen sind abteilungsspezifisch zu bestimmen. Das Marketing wird beispielsweise im Umgang mit Kundendaten sensibilisiert, die Personalabteilung benötigt Informationen über den konzernweiten Austausch von Mitarbeiterdaten.

Die Fachabteilungen erhalten Anleitungen, wie sie in der Krise reagieren sollen. So schaffen Sie präventiv eine Infrastruktur für den Ernstfall.

Etablieren Sie ein Frühwarnsystem

Teil der Datenschutz-Organisation sollte auch ein Frühwarnsystem sein. Damit wird die Geschäftsführung frühzeitig vor der Krise gewarnt und kann ihr im Idealfall mit adäquaten organisatorischen und kommunikativen Mitteln entgegenwirken.

So bauen Unternehmen ein Frühwarnsystem auf
  • Durchführung von regelmäßigen Datenschutzaudits und Kontrolle der Umsetzung der dort festgelegten Maßnahmen
  • Benennung von abteilungsinternen Ansprechpartnern für Datenschutzbelange, die zum regelmäßigen Reporting gegenüber der Geschäftsführung verpflichtet sind
  • Einrichtung von Meldestellen (z.B. Whistleblowing-Hotlines)
    Vier-Augen-Regelungen bei der Durchführung kritischer Prozesse
  • Einführung klarer Kommunikationsstrukturen
  • Verpflichtung zur Einbindung des Datenschutzbeauftragten

In der Regel kündigen sich Krisen bereits durch schwache Signale im Vorfeld an: Werden Sicherheitsmaßnahmen zu lasch gehandhabt oder wird bewusst in Kauf genommen, dass Mitarbeiterdaten ohne rechtliche Grundlage in die USA versendet werden, kann der Skandal schon vor der Tür stehen.

Prävention ist besser als Krisenmanagement

Das Risiko eines Datenschutzskandals kann zumindest minimiert werden, wenn Unternehmen eine Datenschutz-Organisation etablieren und die Mitarbeiter diese leben.

Dazu gehört auch, frühzeitig von einem drohenden Rechtsverstoß Kenntnis zu nehmen – sei es im Rahmen eines Audits oder direkt durch die Mitarbeiter – um ihn noch abwenden zu können.

Kommt es trotzdem zum Fall der Fälle, sind die Unternehmen im Vorteil, die ein funktionierendes Krisenmanagementsystem eingerichtet haben.

RAin Silvia C. Bauer
Silvia C. Bauer ist Rechtsanwältin bei der Luther Rechtsanwaltsgesellschaft mbH, Köln.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln