Wie Tech GDPR Datenschutz in einen Wettbewerbsvorteil verwandelt

Datenschutz wird zwar viel diskutiert, aber selten wirklich durchdrungen. Viele Unternehmen behandeln die DSGVO als bürokratische Pflichtübung — ein Problem, das sich mit ein paar schnell generierten Richtlinien, manchmal sogar mithilfe von KI, erledigen lässt.

In der Praxis schafft diese Herangehensweise jedoch nur eine trügerische Sicherheit. Richtlinien mögen vorhanden sein, aber sie spiegeln häufig nicht wider, wie Daten im Unternehmen tatsächlich fließen.

Ein wirklich wichtiger erster Schritt ist es, zunächst zu verstehen, welche Daten in einem Unternehmen überhaupt verarbeitet werden — bevor man auch nur daran denkt, Richtlinien zu schreiben.

Silvan Jongerius, Managing Partner

„Manche Unternehmen erstellen ihre Datenschutzrichtlinien mithilfe von KI — sie nutzen ChatGPT und ähnliche Tools, um Datenschutzerklärungen zu generieren, die die Realität im Unternehmen überhaupt nicht abbilden“, erklärt Jongerius. „Sie haben die nötige Sorgfalt nicht walten lassen, haben intern nicht wirklich untersucht, welche Prozesse tatsächlich stattfinden — und genau diese Prozesse fehlen dann in den Richtlinien. Das ist ein gravierendes Versäumnis.“

Alex Carroll, Consulting Manager bei Tech GDPR, erlebt diese Lücke täglich auf Kundenseite. „Es ist erstaunlich, wie viele Menschen in einem Unternehmen ein völlig unterschiedliches Verständnis davon haben, was das eigene Unternehmen macht oder wie es mit Daten umgeht“, sagt er. Die Diskrepanz zwischen dem, wie ein Unternehmen sich nach außen präsentiert, und wie es intern tatsächlich funktioniert, ist seiner Erfahrung nach eher die Regel als die Ausnahme.

Tech GDPR verfolgt einen anderen Ansatz. Als spezialisierte Boutique-Beratung setzt das Unternehmen auf Tiefe statt auf Breite — und arbeitet eng mit Kunden zusammen, um zu analysieren, wie Daten im operativen Alltag tatsächlich verarbeitet werden.

„Wenn wir mit einem Kunden arbeiten, bekommen wir wirklich einen tiefen Einblick unter die Haube — wir sehen viele interne Abläufe und verstehen genau, wie die Prozesse funktionieren“, sagt Jongerius. „Dieser Einblick in so viele Organisationen, die mit neuartigen Technologien arbeiten und spannende Dinge tun, ist ungemein interessant.“

Carroll, der ein Team aus Datenschutz- und Technologieexperten leitet und wichtige Kundenbeziehungen betreut, bringt es nüchtern auf den Punkt: „Compliance ist keine Raketenwissenschaft. Man sollte niemals unterschätzen, was schiefgehen kann. Man sollte niemals überschätzen, wie bereit ein Unternehmen ist oder wie gut es versteht, was es tun muss. Es geht darum, nichts als selbstverständlich vorauszusetzen, organisiert zu bleiben und nichts fallen zu lassen — das ist im Wesentlichen die Arbeit eines Beraters.“

Anstatt generische Rahmenwerke zu liefern, übersetzt Tech GDPR regulatorische Anforderungen in konkrete, umsetzbare Maßnahmen — und hilft Unternehmen, Systeme aufzubauen, die sowohl compliant als auch geschäftlich tragfähig sind. „Tech GDPR wurde mit dem Ziel gegründet, genau jenen Unternehmen zu helfen, für die die DSGVO-Compliance besonders schwierig ist — und dennoch einen Weg zu finden, es richtig zu machen: den Datenschutz für Einzelpersonen zu wahren und gleichzeitig für Unternehmen eine praktikable Lösung zu schaffen“, so Jongerius.

Jongerius kam nicht aus der Datenschutzwelt. Mit einem Hintergrund in Technologie und Bildungsmanagement — darunter vierzehn Jahre als Geschäftsführer von vier Standorten kreativer Medien- und Kunsthochschulen im Vereinigten Königreich — fand er seinen Weg in die Datenschutzbranche durch die Notwendigkeit.

Als CTO wurde er damit beauftragt, die DSGVO-Compliance seines Unternehmens sicherzustellen — eine Aufgabe, die in der Organisation niemand wirklich übernehmen wollte. „Es war etwas, mit dem sich niemand befassen wollte — aber aus irgendeinem Grund fand ich es sehr interessant“, sagt er. Diese Neugier führte ihn 2018 zur Gründung von Tech GDPR in Berlin.

Meine kombinierte Erfahrung aus Unternehmertum, Führung, Technologie und dem rechtlichen Rahmen der DSGVO — das ist es, was mir nach meiner Überzeugung einen Vorteil bei der Gründung von Tech GDPR verschafft.

Silvan Jongerius, Managing Partner

Carrolls Werdegang war ähnlich unkonventionell. Er kam aus der Welt der normativen Compliance — ISO-Normen, Managementsysteme — bevor er 2018 zu Tech GDPR stieß. „Ich war anfänglich ziemlich neu im Bereich Datenschutz“, gibt er zu. „Durch das intensive Einarbeiten und die Übersetzung dieser Themen in handlungsrelevante Empfehlungen für Kunden hat sich mein eigenes Verhältnis zu Plattformen und digitalen Geräten grundlegend verändert.“

Datenschutz beeinflusst nicht nur Unternehmensprozesse — er verändert auch, wie Menschen im Alltag mit Technologie umgehen. Sowohl Jongerius als auch Carroll beschreiben eine beruflich geprägte Wachsamkeit, die ihr persönliches Verhalten nachhaltig geformt hat.

„Wenn ich nicht verstehe, wie ein Unternehmen meine Daten verwendet, bin ich der Erste, der weitere Informationen anfordert, die Datenschutzerklärung prüft und den Datenschutzbeauftragten kontaktiert“, sagt Jongerius. Im Alltag denkt er sorgfältig darüber nach, wo er in einem Café sitzt („Ich achte darauf, dass mein Rücken zur Wand zeigt“), wer Gespräche mithören könnte und was auf seinem Bildschirm in der Öffentlichkeit sichtbar ist.

Carroll ist noch konsequenter. Er hat die meisten sozialen Netzwerke aufgegeben — „LinkedIn nutze ich, weil es beruflich sinnvoll ist, aber Facebook definitiv nicht mehr“ — und stellt seine Familie aktiv von Meta-Produkten um. „Ich bringe meine Familie dazu, WhatsApp zu verlassen, weil wir inzwischen wissen, dass Inhalte und Gespräche dort für Werbezwecke genutzt werden“, erklärt er. „Ich möchte nicht, dass Familienfotos als Lifestyle-Signale interpretiert werden und wir dann mit entsprechender Werbung angesprochen werden.“

Selbst etwas so Alltägliches wie ein Cookie-Banner wird zur professionellen Übung. „Wenn ich eine Website besuche und ein Cookie-Banner erscheint, lese ich ihn teilweise“, sagt Carroll. „Die Details lese ich nicht, weil ich ihnen nicht traue — sie sollen den Eindruck erwecken, dass dem Unternehmen der Datenschutz wichtig ist. Tatsächlich geht es aber nur um Ihre Daten.“

Sein Rat für alle: „Bevor man auf ‚Akzeptieren’ klickt und sich bei einem Dienst anmeldet, sollte man einen Blick auf die Website, das Unternehmen und seine Kommunikation werfen. Glauben Sie nicht einfach, wenn jemand sagt, Datenschutz sei wichtig. Sie müssen die Datenschutzerklärung nicht vollständig verstehen — aber man bekommt schnell ein Gefühl dafür, ob ein Unternehmen das ernst nimmt oder nicht.“

Jongerius ergänzt einen Hinweis zu KI-Tools: „Seien Sie vorsichtig damit, was Sie ChatGPT anvertrauen. Es ist bekannt, dass Ihre Daten zur Modelltrainierung verwendet werden — zudem könnten Gesprächsinhalte für zukünftige Konversationen gespeichert werden. Und OpenAI hat gerade Verträge mit dem US-Verteidigungsministerium abgeschlossen — was mit Ihren Daten im Rahmen dieses Vertrags geschieht, bleibt eine berechtigte Frage.“

Tech GDPR ist ein Remote-First-Unternehmen, das auf Eigenverantwortung und Vertrauen aufgebaut ist. Das Team ist so strukturiert, dass es weitgehend selbständig arbeiten kann — mit der Freiheit, die eigenen Aufgaben ohne ständige Kontrolle zu managen.

Jongerius’ Führungsstil ist von einem kollegialen, auf Konsens ausgerichteten Ansatz geprägt — Entscheidungen werden gemeinsam getroffen. „Ich bin nicht derjenige, der seinen Mitarbeitern täglich über die Schulter schaut. Ich möchte, dass sie selbständig sind, und ich möchte sie dabei unterstützen“, sagt er. „Ich hoffe, mein Team sieht das genauso und fühlt sich tatsächlich frei und kann wachsen. Es ist eher eine Hoffnung als eine Erwartung, muss ich sagen.“

Die Einstellungsstrategie des Unternehmens spiegelt eine bewusste Investition in Entwicklung wider. „Wir sind eine Boutique-Beratung, und unsere Strategie ist es, Menschen mit vielversprechendem Hintergrund zu finden, die Technologie wirklich verstehen oder zumindest ein starkes Interesse daran haben“, erklärt Carroll. „Beratung im Bereich Recht und Cybersicherheit ist nicht so technisch, wie die meisten denken — es geht wirklich darum, ein Gespür für Geschäftsprozesse und die damit verbundenen Risiken zu entwickeln.“

Carroll arbeitet mit Berufseinsteigern mit ein bis drei Jahren Erfahrung und macht sie mit den realen Strukturen von Unternehmen vertraut — von Vorstandsdynamiken bis hin zu Abteilungssilos. „Was ein Berater tut — und was mein Team lernt zu tun — ist, die Verbindungen zwischen den Silos zu erkennen“, sagt er. Nach einer Phase häufiger Wechsel hat sich das Team stabilisiert. „Wir haben jetzt seit ein paar Jahren ein ziemlich stabiles Team, und das ist wirklich eine Freude“, fügt Jongerius hinzu.

Mit Kunden in Deutschland und international stellt die effiziente Abwicklung von Zahlungen, eine klare Übersicht über Ausgaben und die strikte Trennung von geschäftlichem und privatem Banking für Tech GDPR eine wichtige operative Grundlage dar.

Vivid hilft Tech GDPR dabei, diese Prozesse zu vereinfachen — durch eine einheitliche Oberfläche zur Verwaltung von Unternehmensausgaben und Finanzen. Statt auf fragmentierte Legacy-Bankingsysteme zu setzen, kann das Team Transaktionen nachverfolgen, Kontostände im Blick behalten und den Geschäftsalltag zentral steuern.

Für ein Unternehmen, das Transparenz und Kontrolle im Datenschutz in den Mittelpunkt stellt, fügt sich Vivids digitaler Ansatz und operative Schnelligkeit nahtlos ein: „Mit dem modernen Banking — auch wenn mir nicht alle Aspekte gefallen — laufen Prozesse in der Regel deutlich schneller ab. Und das hilft, wenn man ein Unternehmen führt.“

Jongerius’ einziger Vorbehalt ist charakteristisch datenschutzbewusst: „Ich möchte mein privates Mobilgerät aus meinen geschäftlichen Banking-Angelegenheiten heraushalten — keine Vermischung. Und das hat auch mit Datenschutz zu tun.“ Selbst sein Feedback zur Bankverbindung kommt durch die Brille des Datenschutzprofis.