Compliance ist super (blöd).

Regeln sind wichtig. Ihr Einhaltung („Compliance“) natürlich auch. Wo kämen wir denn hin, wenn jeder täte, was er will. Da sind wir uns doch einig, oder? Also ist es sicher kein Problem, wenn wir ein paar Regeln einführen oder schärfen. Zum Beispiel im Datenschutz. Wie, das geht zu weit? Hat ohnehin keinen Sinn? Ist in Zeiten von Google und Facebook überholt? Nichts da: es muss sein, sonst hagelt es Strafen!

Vorgaben aufstellen und durchsetzen ist Alltag, zuhause wie in der Arbeit. Warum also gibt es Diskussionen wie eingangs dargestellt? Und warum bilden manche Unternehmen immer mächtigere Kontrollinstrumente aus, um Compliance sicherzustellen, während andere das Thema weitgehend ignorieren?

Zwei Antworten: Einerseits fördern, fordern und erlauben Unternehmen das eigenständige Mitdenken und Mithandeln ihrer Mitarbeiter nicht genug. Andererseits mögen wir Menschen keine Veränderung. Denn Veränderung erfordert Denken, was wiederum mit erhöhtem Energieverbrauch einher geht. Energiesparen ist aber eine Überlebensstrategie in unserer Evolution. Festgelegte und eingeübte Muster fordern dagegen vergleichsweise wenig Energie. Also halten wir, auch als Mitarbeiter, gerne an bekannten und vertrauten Verhaltensweisen fest. Hinzu kommt eine innere Ablehnung von jeglicher Art der Einschränkung gewohnter Freiheiten. Einmal akzeptierte und eingeführte Verhaltensweisen zu ändern, ist also doppelt schwer.

Um im Beispiel Datenschutz zu bleiben: Die Novellierung der europäischen Datenschutzregeln erfordert genau dies. Wobei es in der Praxis weniger um die die Änderung und Einführung neuer Vorgaben geht, als um die Umsetzung längst bekannter Gesetze. Und hier stoßen wir auf ein weiteres Phänomen: Compliance hängt auch davon ab, ob Verstöße gegen Vorschriften angesprochen und geahndet werden. Die europäischen Datenschutzgesetze sind seit etwa 20 Jahren in nahezu gleichlautender Form bekannt; sie standen bis 2018 aber schlicht nicht im Fokus der meisten Unternehmen (was angesichts einer relativ dünnen Überwachung und überschaubarer Strafen nachvollziehbar ist).

Die Erhöhung des Bußgeldrahmens ist daher sicher auch als Signal der Ernsthaftigkeit zu werten. Dass aber mittlerweile in nahezu jedem Beitrag oder Vortrag zum Datenschutz auf die Höhe der Bußgelder („empfindlich“, „schmerzhaft“, „Risiko“) verwiesen wird, ist weder sinnvoll noch hilfreich. Regeleinhaltung ist Chefs und Mitarbeitern gleichermaßen wichtig, nur: Anlässe und Ziele gesetzlicher Regelungen sind vielen unklar. Zudem sind sie der höchst unterschiedlichen juristischen Auslegungen überdrüssig, die nur selten konkrete Hilfe bieten. Ist dann noch die Abwesenheit von Strafzahlungen das wesentliche Argument, werden selbst gut gewillte Menschen „Compliance-müde“. In der Folge ergreifen sie – wenn überhaupt – vorwiegend formalistische Maßnahmen, die auf die Vermeidung von Bußgeldern ausgerichtet sind.

Eine langfristig wirksame Strategie heißt dagegen: Vorteile nutzen, wie etwa das Entlasten der Organisation durch Verzicht auf nicht benötigte Daten. An Beispielen zeigen, wie guter Datenschutz funktioniert. Zu eigenen Lösungen anregen. Wenn Vorgaben wirklich weltfremd sind, das Mögliche umsetzen und das Restrisiko akzeptieren. Vor allem aber nicht mit Angst vor Strafen argumentieren.

Denn Angst ist nicht nur ein schlechter Ratgeber. Sie ist ein Bremsklotz für die Beschäftigung mit der Frage, wie Compliance im eigenen Unternehmen aussehen soll.