Keine Panik vor der DSGVO

Mit agilen Strukturen Rechtssicherheit schaffen
Anstrengende und intensive Wochen liegen hinter uns. Der Kelch der verschärften Datenschutzanforderungen im Rahmen der Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) zum 25.5.2018 ging an keiner Organisation spurlos vorbei, die mit personenbezogenen Daten agiert. Und das sind nicht nur Unternehmen, sondern auch Vereine und Institutionen.
Beschlossen wurden die Änderungen vom EU-Parlament bereits am 14. April 2016. Eine Studie des ZEW (Stand Ende 2017) bestätigt meinen Eindruck aus der Praxis, dass sich viele Unternehmen in der Informationswirtschaft dennoch recht spät mit den Herausforderungen der DSGVO beschäftigt haben:

42,7 % der Unternehmen in der Informationswirt- schaft hatten sich im Dezember 2017 mit der DSGVO befasst. 12,5 % der Unternehmen kannten die DSGVO nicht und 40 % hatten grundsätzlich Kenntnis, haben sich aber noch nicht weiter mit der DSGVO beschäftigt.
Ich habe mich persönlich ab Oktober 2017 sehr intensiv mit der Thematik DSGVO auseinandergesetzt und war schnell alarmiert. Nicht, weil ich die Anforderungen in Gänze für unsinnig gehalten habe, sondern weil mir die Tragweite der Einführung schrittweise immer deutlicher wurde. Durchgeführte Ist-Analysen im eigenen Unternehmen als auch bei Kunden deckten beispielsweise eine Vielzahl von verwendeten Tools auf, die mit personenbezogenen Daten agieren. Diese offenen Flanken schrittweise rechtssicherer zu schließen, wurde zum Hauptthema in den ersten Monaten des laufenden Jahres.
Verschärft wurde meine entstehende Verunsicherung durch zahlreiche Gespräche mit Datenschutzbeauftragten oder auf IT-Recht spezialisierte Fachanwälte. Konkret gestellte Fragen (zum Beispiel nach der weiteren Verwendbarkeit des Facebook-Pixels) wurden nicht immer einhellig und klar beantwortet. In der Regel wurde auf die Zeit nach der Einführung und die dann geltende Rechtsprechung verwiesen. Platt formuliert: Eine garantierte Antwort eines Datenschutzexperten zu kritischen Fragen zu erhalten, war schlichtweg unmöglich.
Auch die zahlreichen Informationen, die mich per diversen Newsletter, Webinare u. ä. erreicht haben, waren nicht von einer absoluten Klarheit geprägt. Man wurde umfassend über die Inhalte der DSGVO informiert, aber konkrete Lösungen (insbesondere zu kritischen Fragen im Online-Marketing) waren spärlich gesät bzw. schlossen sich je Quelle sogar gegenseitig aus.
Aber warum führe ich das hier aus?
Nach der DSGVO ist vor der geplanten E-Privacy-Verordnung. Glaubt man den Experten, könnte diese zum Albtraum für die Digital-Branche werden und die datenschutzrechtlichen Anforderungen an die Internetwirtschaft noch einmal erheblich erschweren.
Wir haben in den letzten Monaten sehr gute Erfahrungen mit der Anwendung von agilen Methoden bei den begleitenden DSGVO-Umsetzungsprojekten sammeln können. Die Kunden, die sich agil auf den Umsetzungspfad begeben haben, konnten wesentlich entspannter dem 25. Mai entgegensehen, als die Kunden, die mehr oder weniger Last-Minute auf den rollenden Zug der DSGVO aufgesprungen sind.
Agilität ist eines der Buzzwords der Gegenwart und es sind nicht wenige Kritiker, die hier nur einen kurzweiligen Hype vermuten. Ich persönlich glaube an die Prinzipien und Werte der Agilität, auch wenn diese wahrlich nicht alle neu und revolutionär sind. Es scheint aber aktuell die richtige Zeit gekommen zu sein, nicht nur über „Selbstverantwortung“, „Fehlertoleranz“ und „Kundenorientierung“ in Imagebroschüren zu referieren, sondern den Schwerpunkt auf das tatsächliche „Machen“ zu legen.
Unsere Welt wird immer dynamischer und komplexer. Was heute noch gut und richtig ist, kann morgen schon wenig zielführend sein. Wir brauchen moderne Strukturen, mit denen wir Herausforderungen wie beispielsweise der DSGVO oder der E-Privacy-Verordnung gelassener gegenübertreten können. Prinzipiell ist Agilität dynamikrobust und bietet Möglichkeiten, auf komplexe Herausforderungen (wie Änderungen der Rechtslage) zu reagieren.
Aber was sind nun die echten Mehrwerte eines agilen Vorgehens in der betrieblichen Praxis?
- Stringente Fokussierung aller Aktivitäten auf die Kundenanforderungen verhindert Fehlentwicklungen
- Kurze (inkrementelle) Planungszyklen sichern Flexibilität in einer veränderlichen Welt und ermöglichen erhöhte Einbindung des Kunden durch die Präsentation von Teilergebnissen
- Effizientere Kommunikation vor Ort durch agile Meeting-Formate (wie Daily Standup) löst Abteilungs-Silos auf
- Priorisierte Bearbeitung der wirklich wichtigen Themen. (Motto: „Wir machen nur die wirklich wichtigen Themen, die aber richtig“)
- Visualisierung des Projektstatus und dessen Fortschritte schafft Transparenz und Motivation
- Fehler werden durch kürzere Laufzeitintervalle schneller erkannt und behoben
- Feedbacks (Retrospektiven) optimieren schrittweise die Zusammenarbeit im Team
- Selbstverantwortliches Arbeiten stärkt die Teammotivation und fördert die Kreativität bei der Lösungsfindung
Zusammenfassend lässt sich sagen: Agile Unternehmen agieren fokussierter, kommunizieren besser und richten die Aktivitäten stringent auf die realen Kundenanforderungen aus. Der Kunde muss dabei nicht immer ein echter Käufer sein, sondern wie am Beispiel der DSGVO auch der Gesetzgeber oder andere Anspruchsgruppen aus dem Unternehmensumfeld.
Machen wir es konkreter. Mit agilen Methoden schrittweise Rechtssicherheit schaffen.
Schritt 1: Voraussetzungen und Wissen schaffen
- Cross-funktionale Teams bilden. Alle Bereiche, die mit personenbezogenen Daten agieren, werden involviert.
- Rekrutierung eines agilen Coachs / Trainers und ggf. Scrum-Masters
- Wissensaufbau durch agile Workshops / Trainings
- Die agilen Rollen (Product Owner als „Wächter der Ergebnisse“, Scrum Master als „Wächter des Prozesses“ und Teammitglieder als die „Umsetzer“) vergeben
Schritt 2: Durch Analyse der Ist-Situation ein belastbares Fundament entwickeln
Vor der Veränderung steht die Ist-Analyse. Bewährt hat sich hier die klassische SWOT-Analyse, in deren Zuge Sie – mit Blick auf personenbezogene Daten – abteilungsübergreifend alle relevanten Stärken und Schwächen, Möglichkeiten und Gefahren Ihrer Organisation ermitteln.
Schritt 3: Einen Themenpool (Backlog) anlegen, priorisieren und pflegen
Abgeleitet von den Ergebnissen der SWOT wird eine Liste mit allen Themen angelegt, die im Sinne der neuen Datenschutzregeln zu leisten sind. Der Product Owner führt eine Priorisierung durch und ergänzt den Backlog auf Basis neuer Erkenntnisse fortwährend.
Schritt 4: Mit Scrum die Rechtsthemen abarbeiten und Ziele erreichen
Im Wesentlichen besteht der Projektzyklus (ein „Sprint“) für ein agiles Projektteam in Scrum aus den folgenden vier Ereignissen:
- Sprint Planning: Definieren Sie, was im nächsten Sprint an relevanten Themen zu leisten ist.
- Daily Standup: Kommunizieren Sie täglich im Team und räumen Sie alle hinderlichen Hürden aus dem Weg.
- Sprint Review: Lassen Sie das Team die Sprint-Ergebnisse dem Product-Owner vorstellen und wenn „erledigt“ abnehmen.
- Retrospektive: Lassen Sie das Team die Zusammenarbeit des letzten Sprints offen diskutieren und daraus von allen getragene Commitments für eine Optimierung festlegen.

Die Schritte sind nicht in Stein gemeißelt, sondern müssen an die individuellen Unternehmen angepasst werden. Es wird keine 1:1 Blaupause geben, die für jede Organisation gleichermaßen umsetzbar ist. Wesentlich bleibt aber die Abkehr vom klassischen Projektmanagement mit den aufeinander folgenden Phasen von der Idee, über die Planung und Umsetzung hin zur Kontrolle des Ergebnisses.
Agile Projekte zerteilen ein Projekt in viele kleine Projekte, die in Form von sogenannten Sprints selbstverantwortlich und priorisiert abgearbeitet werden. Nach jedem Sprint erfolgt neben der Erfolgskontrolle auch eine sogenannte Retrospektive, in der die beteiligten Projektmitglieder gangbare Wege für die Verbesserung der Zusammenarbeit identifizieren und sich auf deren Umsetzung committen. Im klassischen Projektmanagement wäre das im Idealfall nur einmal am Ende des Projektes der Fall. Damit verliert man die Mehrwerte eines lernenden Systems innerhalb eines Projektes und die Praxis zeigt, dass diese Feedbackschleife oftmals aus Zeitmangel gar nicht erfolgt.
Das klingt alles simpel und logisch, aber es gibt auch einige Stolperfallen bei agilen Projekten:
- Es ist kein einheitliches Verständnis zum Begriff der Agilität und dessen Wertesystem im Unternehmen vorhanden.
- Vision und Ziele der Agilität für das eigene Unternehmen sind unklar. Es fehlt an der Einbindung aller Beteiligten in den Prozess.
- Einzelne Manager haben Trennungsängste von der Machtfülle und dem eigenen Einfluss und nehmen die neue Rolle nicht an.
- Es gibt eine Uneinigkeit auf Entscheider-Ebenen, das verunsichert die Mitarbeitenden und torpediert deren Umsetzungswillen.
- Die Strategie ist eine Art „Blinder Fleck“: eine fehlende Transparenz schafft Interpretationsräume des Einzelnen und individuelle Antworten auf offene und vielleicht nie gestellte Fragen.
- Die intrinsische Motivation der Belegschaft ist unterentwickelt, da es zum Beispiel in der Vergangenheit sehr starke, rein monetäre Leistungsanreize gab.
- Ausgangspunkt ist ein "Veränderungsbefehl" von oben, ohne ein hierarchieübergreifendes agiles Wissens- und/oder Erfahrungsfundament
- Mangelnde Geduld: Eingeschlagene Wege werden bei auftretenden Widerständen schnell wieder verlassen.
- Methodenuntreue: Wichtige Elemente der Agilität werden weggelassen oder bis zur Unkenntlichkeit verstümmelt.
- Mangelnde Fehlertoleranz und Fehlerkultur im Unternehmen und zu starker Fokus auf operative Kurzzeitziele, auch das führt oft zum "schnellen Abbruch".
- Die räumlichen und/oder technischen Rahmenbedingungen sind ungünstig und lassen sich nicht beheben.
- Falsche und zu hohe Erwartungen der Stakeholder.
- Fehlende Anpassung auf die eigene Organisation durch Eins-zu-Eins-Abarbeitung von agilen Regelwerken ("Agile Talibans").
- Agilität ist nur ein Marketing-Gag für die Positivdarstellung in der externen Kommunikation.
- Negativerfahrungen aus gescheiterten Change-Projekten dampfen die mobilisierbare Veränderungsenergie auf eine Größe sehr nah am Nullpunkt ein.
Der Blick auf diese fünfzehn Punkte macht deutlich, dass die zu bohrenden Bretter nicht gerade dünn sind. Aber lassen Sie sich nicht davon abschrecken. Am Ende sollte Ihnen aber bewusst sein, dass eine bloße Ansage „ab Morgen sind wir hier alle agil“ zwar gut gemeint ist, aber nicht zielführend ist. Der Erfolgsfaktor Nummer Eins ist die Veränderung des „Mindsets“ bei den Kollegen. Ein agiles Mindset entsteht nicht auf Knopfdruck, sondern durch das Erleben der Vorteile eines agilen Vorgehens und damit der Sinnhaftigkeit für den Einzelnen.
Meine Empfehlungen um diese Stolperfallen zu umgehen:
- Informieren Sie alle Mitarbeiter des Unternehmens über das agile Vorgehen und dessen Verlauf. Nutzen Sie hier eventuell einen internen Newsletter. Das schafft Verständnis und fördert die Neugier auf das Neue.
- Schaffen Sie die räumlichen und zeitlichen Rahmenbedingungen, die ein agiles Arbeiten fördern.
- Schaffen Sie echte „Quick-Wins“ für schnelle Erfolgserlebnisse des Teams.
- Lassen Sie sich bei den ersten Schritten von einem erfahrenen agilen Coach unterstützen.
- Erlauben Sie eine Fehlerkultur im Unternehmen. Fehler sind immer Potentiale für Verbesserungen.
- Haben Sie Geduld und erwarten Sie nicht ab Tag Eins das Optimum. Auch Selbstverantwortung ist ein Lernprozess.
- Haben Sie Mut und erlauben Sie Experimente auch ohne Erfolgsgarantie.
- Schenken Sie Zutrauen in die Fertigkeiten und Fähigkeiten des Teams.
- Verinnerlichen Sie suma sumarum die agilen Werte und richten Sie Ihr Tun danach aus.

Mein Fazit und Ausblick:
Ob wir in fünf Jahren noch von Agilität reden oder nicht, kann ich nicht prognostizieren. Vielleicht etabliert sich auch eine völlig neue Begrifflichkeit wie „Schwarmintelligenz“ oder ähnliches. Am Ende sind solche Begriffe aber immer Ausdruck für notwendige Veränderungen in einer Organisation, um den wachsenden Herausforderungen des Umfelds gerecht zu werden.
Nach meiner festen Überzeugung sind flexible und sinnstiftende Strukturen unerlässlich, um die Wettbewerbsfähigkeit zu verbessern und den Kunden und die eigenen Mitarbeiter an das Unternehmen zu binden. Mitarbeiterbindung wird in den nächsten Jahren vor dem Hintergrund des wachsenden Fachkräftemangels weiter an Relevanz gewinnen. Oder gehören Sie zu den glücklichen Unternehmen, die alle offenen Stellen mit den passenden Kandidaten besetzen können?
Es ist jetzt Zeit, diese modernen Strukturen schrittweise aufzubauen, um Herausforderungen wie der E-Privacy-Verordnung gelassener entgegensehen zu können. Und denken Sie daran: Nach der DSGVO ist vor der E-Privacy-Verordnung!
Autor

Marko Lasnia ist Marketingexperte und Mitautor des Bestsellers „Agile Evolution – Eine Anleitung zu agilen Transformation“. Mit seinem Unternehmen ShakingTrees entwickelt er branchenübergreifend für kleine und mittelständische Unternehmen moderne und zukunftsfähige Marketingstrukturen. Er ist der festen Überzeugung, dass smarte Strukturen ein wesentlicher Erfolgsfaktor für ein erfolgreiches und nachhaltiges Marketing sind.
marko.lasnia(at)shaking-trees.de
www.agil-digital-genial.de
www.xing.com/profile/Marko_Lasnia