Abteilungen wie Verkauf, Marketing, Finanzen, Einkauf und HR nutzen Daten für unterschiedliche Zwecke und Interessen. Während die Sensibilität hinsichtlich Datenschutz in der Personalabteilung und den Finanzen als eher hoch eingestuft werden kann, ist die Verkaufs- und Marketingabteilung tendenziell interessiert, die vorhandenen Daten sowohl umfangreich als auch mit möglichst wenig Restriktionen zu verwenden.
Datensensibilität
Daten sollen das neue Gold sein. Dies trifft auch auf bestimmte Abteilungen in Unternehmen zu. Für die Verkaufsabteilung sind Kundendaten für die Akquise von Neugeschäften oder die Erhöhung des Umsatzes eines bestehenden Kunden unerlässlich. In Abteilungen wie bspw. dem HR sind andere Ziele massgebend. Dort werden die Daten der Mitarbeitenden aufbewahrt und bearbeitet, und selbstverständlich wird versucht, diese entsprechend zu schützen. Wer möchte schon seine eigene Lohnabrechnung oder das Arztzeugnis auf der betriebsinternen Share Drive abgespeichert sehen?
Datenschutz
Der Schutz der Daten muss für alle Abteilungen innerhalb eines Unternehmens gleichermassen gelten und verbindlich sein. Gemäss Art. 4 Abs. 3 DSG dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen oder gesetzlich vorgesehen ist. Als Konsequenz sind alle Abteilungen gleichermassen betroffen. Selbstverständlich muss die Sensitivität der Daten berücksichtigt werden. Der Schutz von besonders schützenswerten Personendaten gemäss Art. 3 lit. c DSG wie bspw. Daten zu Religion, Gesundheit, strafrechtliche Verfolgungen müssen mit höherer Priorität gewichtet werden. Nun, wie seriös nehmen die Abteilungen das Datenschutzgesetz? Wie ausgeprägt ist die Unwissenheit betreffend Schutz der Daten, gibt es absichtliche Fehlinterpretationen oder absichtliche Nichteinhaltung des Datenschutzgesetzes, damit die Unternehmensziele mit letzter Konsequenz erreicht werden? Die absichtliche Nichteinhaltung kann als eher unwahrscheinlich eingestuft werden, weil Unternehmen ihre Mitarbeitenden anweist, die Richtlinien zu Code of Conduct oder auch Corporate Governance zwingend einzuhalten. In diesen wird auch oft der Umgang mit Daten definiert und die Konsequenzen bei einer allfälligen Nichteinhaltung aufgezeigt.
Verkaufsabteilung
Verkaufsabteilungen haben klare Ziele. Verkaufen! Nicht selten sind Provisionsvereinbarungen und Bonusreglemente wesentliche Treiber für die Zielerreichung. Unter diesem Druck sind die Angestellten der Verkaufsabteilungen oft angehalten, die vorhandenen Daten mit einer maximalen Ausnutzung zu verwenden. Oft bewegen sich die Verkäuferinnen und Verkäufer in einer Grauzone, wie beispielsweise bei der Kontaktaufnahme von Neukunden. Im Bewusstsein, dass wohlmöglich nicht alles hundertprozentig datenschutzkonform abläuft, werden die Risiken und Konsequenzen abgewogen. Bekannt ist, dass nach Schweizer Recht mit geringen Konsequenzen gerechnet werden kann, solange es keine wesentliche Datenschutzverletzung gibt, oder noch schlimmer, dass der Fall öffentlich wird. Dies ist jedoch eher selten der Fall. Unter diesen Umständen kann es den Verkäuferinnen und Verkäufer nicht übel genommen werden, dass sie aufgrund des Verkaufsdruckes bestimmte Ziele wie Umsatzsteigerung höher gewichten. Und solange es keinen Kläger, so gibt es auch keinen Richter.
Personalabteilung
Personalabteilungen haben nicht selten per se eine hohe Affinität betreffend Datenschutz. Auch betreffend den Aufbewahrungsfristen sind sie oft geschult und versuchen diese entsprechend einzuhalten. Der Schutz von Daten ist öfters auch Selbstzweck, weil eine Personalabteilung, welche zu wenig restriktiv mit den Daten der Mitarbeitenden umgehen würde, verlöre an Glaubwürdigkeit und Vertrauen. Insbesondere werden in der Personalabteilung viele Personendaten und auch besonders schützenswerte Daten, wie bspw. Arztbescheinigungen resp. Gesundheitsdaten, aufbewahrt.
Fazit
Datenschutz betrifft alle Abteilungen. Das Datenschutzgesetz macht diesbezüglich keine Differenzierung. Es ist wichtig, dass alle Abteilungen, unter Berücksichtigung der Sensibilität (z.B. besonders schützenswerten Personendaten) der verarbeitenden Daten, darauf hinzuweisen, dass die hiesigen Gesetze einzuhalten sind. Dabei können Schulungen helfen, aber auch Verantwortliche zu bestimmen, welche sich der Datenschutzthematik annehmen.