Compliance ist super (blöd).

Regeln sind wichtig. Regeleinhaltung („Compliance“) natürlich auch. Wo kämen wir denn hin, wenn jeder täte, was er will. Da sind wir uns doch einig, oder? Also ist es sicher kein Problem, wenn wir ein paar Regeln einführen oder schärfen. Zum Beispiel im Datenschutz.
Wie, das geht zu weit? Hat ohnehin keinen Sinn? Ist in Zeiten von Google und facebook überholt? Schluss mit der Diskussion – das muss sein, sonst hagelt es Strafen!

Regeln anpassen und durchsetzen ist Alltag, zuhause wie in der Arbeit. Warum also gibt es Diskussionen wie eingangs dargestellt? Warum bilden manche Unternehmen immer mächtigere Kontrollinstrumente aus, um Compliance sicherzustellen, während andere das Thema weitgehend ignorieren?

Die Antwort ist einfach: weil Unternehmen sich einerseits manchmal zu wenig Mühe geben, das Mitdenken und Mithandeln anzuregen. Andererseits, weil wir keine Veränderung mögen. Denn Veränderung erfordert Denken, was wiederum mit erhöhtem Energieverbrauch einher geht. Da der sorgsame Umgang mit den eigenen Energieressourcen eine Überlebensstrategie in unserer Evolution war, sind wir Menschen in puncto Gehirntätigkeit zu wahren Meistern im Energiesparen geworden. Festgelegte und eingeübte Muster erfordern vergleichsweise wenig Energie. Also halten wir gerne an bekannten und vertrauten Verhaltensweisen fest. Hinzu kommt eine innere Ablehnung von jeglicher Art der Einschränkung gewohnter Freiheiten. Einmal akzeptierte und eingeführte Regeln zu ändern, ist also doppelt schwer.

Um im Beispiel Datenschutz zu bleiben: Die Novellierung der europäischen Datenschutzregeln erfordert genau dies. Wobei es in der Praxis weniger um die die Änderung und Einführung neuer Vorgaben geht, als um die Umsetzung längst bekannter Gesetze. Und hier stoßen wir auf ein weiteres Phänomen: Compliance hängt auch davon ab, ob Verstöße gegen Vorschriften angesprochen und geahndet werden. Die europäischen Datenschutzgesetze sind seit etwa 20 Jahren in nahezu gleichlautender Form bekannt; sie standen bis vor wenigen Monaten aber schlicht nicht im Fokus der meisten Unternehmen, was angesichts einer relativ dünnen Überwachung und überschaubarer Strafen nachvollziehbar ist.

Die Erhöhung des Bußgeldrahmens ist daher sicher auch als Signal der Ernsthaftigkeit zu werten. Dass aber mittlerweile in nahezu jedem Beitrag oder Vortrag zum Datenschutz auf die Höhe der Bußgelder („empfindlich“, „schmerzhaft“, „Risiko“) verwiesen wird, ist weder sinnvoll noch hilfreich. Nicht selten trifft man auf Verantwortliche, denen Anlass und Ziel gesetzlicher Regelungen unklar ist. Zudem sind sie der höchst unterschiedlichen juristischen Auslegungen überdrüssig, die in vielen Fällen auch keine konkrete Hilfe bieten. Ist dann noch die Abwesenheit von Strafzahlungen das wesentliche Argument, werden selbst gut gewillte Führungskräfte „Compliance-müde“. In der Folge ergreifen sie – wenn überhaupt – vorwiegend formalistische Maßnahmen, die auf die Vermeidung von Bußgeldern ausgerichtet sind.

Eine langfristig wirksame Strategie wird dagegen auf die Vorteile von gutem Datenschutz hinweisen, wie etwa das Entlasten der Organisation durch Verzicht auf nicht benötigte Daten oder die vertrauensbildende Wirkung guter Datenschutzkommunikation. Sie wird erläutern, warum es in Europa strengere Datenschutzgesetze gibt. Sie wird an Beispielen zeigen, wie guter Datenschutz funktioniert. Sie wird zu eigenen Lösungen anregen. Vor allem aber wird sie nicht mit Angst vor Strafen argumentieren.

Denn Angst ist nicht nur ein schlechter Ratgeber. Sie ist ein Bremsklotz für die Beschäftigung mit der Frage, wie Compliance im eigenen Unternehmen aussehen soll.