Autor: Gerhard Walter, Redaktion, Solutions by HANDELSBLATT MEDIA GROUP GMBH

Interview mit Christian Brennholt, Deputy Chief Privacy Officer/Senior Managing Counsel bei Coca-Cola, über die Herausforderungen des Datenschutzes bei einem global agierenden Unternehmen

Und über

• datenschutzrechtliche Standards
• den offenen und kritischen Umgang mit den Daten von Stakeholdern, Partnern und Mitarbeitenden
• unterschiedliche Interpretationen der DSGVO in unterschiedlichen Ländern

Inwieweit unterscheidet sich ein global agierendes Unternehmen im Bereich Datenschutz von einem national agierenden Unternehmen?

Grundsätzlich erstmal gar nicht. Jedes Unternehmen, ob global oder lokal agierend, muss sich an die jeweils geltenden Vorschriften und Gesetze halten. Allerdings ist die datenschutzrechtliche Landschaft sehr unterschiedlich. Als Unternehmen mit Standorten und Aktivitäten weltweit stellt das eine Herausforderung dar. Sofern Aktivitäten nicht ausschließlich lokal entwickelt und durchgeführt werden, stellt sich immer die Frage nach dem anzuwendenden datenschutzrechtlichen Maßstab. Am Einfachsten wäre es, global einen einheitlichen Standard anzulegen. Die Schwierigkeit eines solchen Standards ist, dass er der bereits erwähnten sehr komplexen datenschutzrechtlichen Landschaft in der Regel nicht gerecht wird. Wir müssen daher eine Balance zwischen Standardisierung und individueller Beratung unserer Unternehmen finden. Das globale Privacy Office von Coca-Cola ist insoweit einer von mehreren Akteuren. Wir legen die generelle Struktur und die Grundbausteine eines datenschutzrechtlichen Programms fest. Dazu gehören Richtlinien sowie Mindeststandards, aber auch etwa die Entscheidung über den Einsatz von Software, die datenschutzrechtliche Prozesse unterstützt. Zugleich treten wir als Berater auf und sprechen Empfehlungen aus, schaffen Aufmerksamkeit für neue Entwicklungen und begleiten die jeweiligen Länder und Regionen eng im Rahmen ihrer datenschutzrechtlich relevanten Aktivitäten. Effizienz schaffen wir durch die Zusammenarbeit mit unseren Netzwerken in IT, Security, mit unseren (internen und externen) Juristen, lokalen Datenschutzbeauftragten und den sogenannten „Privacy Champions“. Diese Privacy Champions spielen eine wichtige Rolle, da sie in den Ländern und unterschiedlichen Geschäftsbereichen verankert sind und die regionalen Gegebenheiten und Aktivitäten genau kennen und verstehen.

Was hat sich durch die DSGVO bei Coca-Cola verändert?

Datenschutz hat bei Coca-Cola schon immer einen sehr hohen Stellenwert eingenommen. Dennoch haben die Arbeiten im Vorfeld der Einführung der DSGVO dazu beigetragen, dass das Thema Datenschutz noch sensibler betrachtet wird. Das Bewusstsein aller Beteiligten, seien es Unternehmen, Individualpersonen oder staatliche Stellen, ist gestiegen. Die öffentliche Debatte rund um die Einführung der DSGVO, aber auch die Weiterentwicklung datenschutzrechtlicher Regelwerken in Ländern oder Regionen wie Kalifornien, Brasilien, Mittlerer Osten, einiger Staaten in Asien oder Afrika haben den Wert von und den Umgang mit personenbezogenen Daten fast überall positiv beeinflusst. Zugleich gab es eine Reihe von datenschutzrechtlichen Vorfällen, die uns allen vor Augen geführt haben, wie wichtig Transparenz und Sicherheit für den Schutz dieser Daten sind. All dies hat die Sicht auf die Bedeutung des Datenschutzes, nicht nur in Europa, verändert. Die Unternehmen, darunter Coca-Cola, sind verpflichtet, noch offener und kritischer im Umgang mit den Daten ihrer Stakeholder, Partner und Mitarbeitenden zu sein. Unsere Aufgabe als Fachbereich ist es, kontinuierlich die Systeme und Prozesse kritisch zu hinterfragen und wo nötig anzupassen oder neu auszugestalten. Zugleich stehen wir in der Verantwortung, jeden einzelnen der Mitarbeitenden zu erreichen und weiter im Bereich Datenschutz zu sensibilisieren. Nur mit Hilfe aller wird es gelingen, die digitale Transformation weiter voranzutreiben.

Was können außereuropäische Regierungen und Unternehmen ihrer Meinung nach von der DSGVO lernen?

Wir sehen bereits heute, dass einige Länder die DSGVO als Grundlage eigener Datenschutzgesetze nehmen. Grundsätzlich gilt aber, dass Gesetze nicht einfach kopiert und „exportiert“ werden können. Nicht überall auf der Welt hat das Thema Datenschutz die gleiche Entwicklung genommen oder verfolgen Staaten dieselben Ziele. Es ist daher ganz normal, dass auch unterschiedliche Regelwerke entstehen, die die lokale Realität abbilden. Fakt ist aber, die DSGVO trägt zu einem einheitlicheren Verständnis und damit zu einem Datenschutzstandard bei, nicht zuletzt durch ihren sehr weiten Anwendungsbereich und langen Arm – siehe Schrems 2. Auf der anderen Seite sehen wir, dass die DSGVO wird durch unterschiedliche Interpretation, Anwendung und Durchsetzung innerhalb der Mitgliedsstaaten wieder fragmentiert wird. Dies kreiert Unsicherheit und schwächt meines Erachtens Wirkung und Akzeptanz der DSGVO.

Verraten Sie uns: Nutzen Sie die „Corona-App“ der Bunderegierung?

Ich nutze die App und finde sie, auch unter datenschutzrechtlichen Gesichtspunkten, sehr gut. Wünschenswert wäre natürlich eine weiter ansteigende Download-Rate, um die positive Wirkung zu verstärken. Die Einwicklung und Einführung dieser App ist richtig und wichtig.

Christian Brennholt studierte Rechtswissenschaften an der Universität Freiburg/Breisgau und Internationale Verwaltung an der Universität von Grenoble/Frankreich. Nach mehreren Jahren als Rechtsanwalt für IP/IT-Recht in mehreren Kanzleien wechselte Christian Brennholt auf die Seite der Unternehmensjuristen. Er leitete zunächst die Rechtsabteilung einer international tätigen, börsennotierten Digitalagentur und -dienstleisters, bevor er 2008 Teil des Coca-Cola Systems wurde. Für Coca-Cola verbrachte er mehrere Jahre in der Konzernzentrale in Atlanta, zunächst im Bereich Mergers & Acquisitions, zuletzt als Deputy Chief Privacy Officer. In dieser Rolle trieb er den Aufbau des globalen Datenschutzteams voran. Christian Brennholt hat Zertifizierungen als CIPM und CIPP/E (IAPP).