Die Datenschutz-Grundverordnung (DSGVO), der California Consumer Privacy Act (CCPA), der Act on Protection of Personal Information (APPI) und der Personal Data Protection Act (PDPA) sind nur ein kleiner Teil der Datenschutzgesetze aus der ganzen Welt. Wenn Ihr Unternehmen in einem bestimmten Land ansässig ist und Ihr Markt rein inländisch ist, müssen Sie sich nur um ein Regelwerk kümmern, oder? Falsch! Allein in den USA gibt es mehr als ein Dutzend verschiedener Gesetze, und diese Zahl steigt sowohl erheblich als auch sehr rasch, da immer mehr Bundesstaaten erkennen, dass in ihrem Gebiet ein Datenschutzgesetz erforderlich ist. In anderen Ländern gelten in der Regel sowohl nationale Gesetze als auch solche, die an sie weitergereicht werden, wie z. B. in allen EU-Staaten, wo die DSGVO überall gilt. Was also, wenn Ihr Markt nicht inländisch ist (was 2020 unwahrscheinlich ist)? Wie stellen Sie sicher, dass Sie die Bestimmungen einhalten?
Phase 1: Erstellen Sie eine Compliance-Matrix
Der erste Schritt, den jedes Compliance-Team unternehmen muss, ist das Aufstellen einer Liste aller Regionen, in denen Sie Ihre Produkte oder Dienstleistungen anbieten. Stellen Sie dabei sicher, dass Sie längerfristig und nicht nur an heute denken. Schließen Sie also Schwellenmärkte ein, in die Sie möglicherweise vordringen möchten. Jetzt, wo Sie genau wissen, wo Sie verkaufen wollen, können Sie damit beginnen, eine Matrix dieser Länder und der rechtlichen und regulatorischen Rahmenbedingungen zu erstellen, die Sie einhalten müssen.
Phase 2: Erweitern Sie Ihre Matrix um alle Geschäftsaktivitäten und bewerten Sie Ihre aktuellen Prozesse
An diesem Punkt werden Sie wissen, wo Sie Handel treiben und welche Gesetze für Sie gelten. Das ist eine gute Ausgangsposition, aber es geht noch weiter. Sie sollten Ihre Matrix erweitern, um zu bestimmen, wie diese Regeln Ihr Unternehmen betreffen. So kann Ihr Unternehmen auf einen Blick erkennen, welche Verpflichtungen bestehen und wie sie angegangen werden oder ihnen nachgekommen wird. Bei dieser Prüfung werden Sie möglicherweise feststellen, dass Sie in einem Land mit spezifischen Datenlokalisierungsgesetzen tätig sind, die Sie beachten müssen. Es gibt eine zunehmende Anzahl von Ländern, in denen dies der Fall ist. Derzeit sind China, Russland und Vietnam die Top Drei. Wenn Sie in diesen Regionen geschäftlich tätig sind, sind noch weitere Verpflichtungen zu beachten. Sie werden sehr schnell sehen, wie diese Matrix von unschätzbarem Wert wird.
Wenn die Matrix vollständig ist, muss eine Bewertung durchgeführt werden. Sie müssen Fragen stellen wie:
- Berücksichtigen Ihre aktuellen Prozesse diese Anforderungen? Wenn Sie international tätig sind, werden Sie mit ziemlicher Sicherheit ein CRM-System verwenden, so dass sich diesbezüglich Fragen dazu ergeben werden.
- Haben Sie Zugriffsbeschränkung je nach Ausnahmeregelungen?
- Wenn es lokale Gesetze gibt, die Exporte außerhalb des Territoriums verbieten (z.B. Russland), haben Sie dort eine CRM-Instanz eingerichtet und die Datenflüsse für regionsspezifische Informationen modifiziert?
Phase 3: Implementieren Sie neue Daten-/ Informationssicherheitsprozesse und schulen Sie Ihre Mitarbeiter
Jetzt, wo Sie wissen, was zu tun ist, kommt die etwas anspruchsvollere Phase der tatsächlichen Implementierung. Wie komplex diese Aufgabe ist, hängt stark von Ihrem Datenvolumen ab, in wie vielen Ländern Sie vertreten sind, wie eingefahren die aktuellen Systeme und Prozesse sind usw. Aber ich würde sagen, dass dieser Teil des Projekts einige Zeit in Anspruch nehmen wird. Um die Effizienz zu maximieren, sollten Sie die Zeit sinnvoll nutzen, um den Rest Ihres Unternehmens in diesen Anforderungen zu schulen. Vertriebsmitarbeiter werden beispielsweise ganz darauf konzentriert sein, das richtige Produkt oder die richtige Dienstleistung für die richtigen Anwendungsfälle an den richtigen Kunden zu verkaufen. Hier wird ein obskurer Vorbehalt, der in einem ausländischen Rechtsdokument versteckt ist, für sie nicht im Vordergrund stehen. Passen Sie die Schulungen auf die einzelnen Abteilungen oder Rollentypen an und verwenden Sie Beispiele, auf die sie sich beziehen können. Wie sich diese Dinge auf das tägliche Leben eines Vertriebsmitarbeiters auswirken, unterscheidet sich beispielsweise von dem eines Finanzmitarbeiters.
Nach Abschluss all dieser Maßnahmen ist Ihr Programm sehr weit gereift, und Ihr Unternehmen befindet sich in einer starken Position. Sie können Ihre Compliance, Ihr Wissen, Ihre Schulungspläne und Ihre Prozesse als wesentliches Unterscheidungsmerkmal in geschäftlichen Gesprächen nutzen und sich damit in einem hart umkämpften Markt einen erheblichen Vorteil gegenüber Ihren Mitbewerbern verschaffen.
Natürlich ist Compliance keine einmalige Angelegenheit. Es geht nicht nur um die Festlegung, sondern auch um die Beibehaltung. Ihr Unternehmen muss an der Pflege von Standards, Richtlinien und Strategien arbeiten, um das Prädikat zu behalten. Ihre Rechts- und Compliance-Teams sollten sich über die sich ändernden Gesetze in den in Ihrer Matrix festgelegten Regionen auf dem Laufenden halten. Diese wirken sich auf Ihre Geschäftstätigkeit in diesen geografischen Gebieten aus und können Änderungen an Ihren technischen und organisatorischen Kontrollen erforderlich machen.
In den letzten Jahrzehnten hat sich viel verändert, und sowohl die Risikolandschaft als auch die Reichweite der Geschäftstätigkeit haben exponentiell zugenommen. Die hier skizzierten Schritte bieten einen Fahrplan, um den Überblick zu behalten und mit der Compliance Schritt zu halten.
