logo
«Denn sie wissen nicht, was sie tun» im Zeitalter der DSGVO
25 Januar 2018

Die Debatte über den Datenschutz und die neue europäische Datenschutz-Grundverordnung (DSGVO) läuft derzeit heiss. Jede Woche kommt ein neues Datenleck ans Licht. Und seien wir ehrlich: Das ist nur die Spitze des Eisbergs. Solche Fälle sind mit der Grund, dass der Gesetzgeber, wie – leider oft – überreagiert und eine sehr strenge Richtlinie in Kraft setzt.

 

Aus Sicht des Business tut vor allem weh, dass die DSGVO das Löschen von Daten vorschreibt. Dies gerade heute, wo Daten als das neue Gold verstanden werden. Damit steht ein Kernelement der neuen Gesetzgebung völlig quer zur technischen und wirtschaftlichen Entwicklung. Diese lässt sich aber nicht aufhalten.

 

Wir von der andrion ag setzen daher auf ein einfaches, zielführendes und pragmatisches Vorgehen, um mit wenig Mitteln gesetzeskonform zu werden. Gesunder Menschenverstand und spezifisches Wissen erlauben uns, rasch geeignete Konzepte zu entwickeln, welche sich auch zeitnah umsetzen lassen. Zudem haben wir eine Compliance-Strategie entwickelt, mit welcher eine DSGVO-Konformität gestaffelt erreicht werden kann.

 

Daten sind nicht Selbstzweck

Ein verbesserter Datenschutz ist wichtig und dringend notwendig. Aus Business-Sicht ist es dabei essentiell zu verstehen, welche personenbezogenen Daten und welche sonstigen Geschäftsdaten zum Erreichen der Ziele nötig sind. Auch muss man sich überlegen, welche personenbezogenen Daten nach Abschluss eines Geschäfts noch benötigt werden. Denn die meisten Prozesse, die nach Abschluss eines Geschäfts erfolgen – eben aus vorhandenen Daten «Gold zu schürfen» – , sind meist unabhängig von personenbezogenen Daten. Oder wenn, dann nur von einzelnen wie Alter, Geschlecht, Wohnort etc. Solche für den weiterreichenden Erfolg der Firma zwingend erforderlichen personenbezogenen Daten gilt es unbedingt zu behalten und zu schützen!

 

Und genau hier stört uns in der andrion die aktuelle Forderung, einfach alle personenbezogenen Daten zu löschen. Denn mehr als 95% der Anwendungen sind sinnvolle und nutzenstiftende Services und keine Datensammler per se. Also ist unser Ansatz ganz klar darauf fokussiert, alle geschäftskritischen Daten zu behalten und Massnahmen zu treffen, diese zu schützen.

 

Zu bedenken ist zunächst: Es gibt im öffentlichen Schweizer Telefonbuch über 10’000 Personen mit dem Namen Zimmermann. Immer noch 232 davon tragen den Vornamen Martin. Mein Name allein ist weder identifizierend noch schützenswert. Erst in Kombination mit verschiedenen anderen Attributen kann eine eindeutige Zuordnung stattfinden. Aber selbst mein Name inklusive Adresse ist nicht wirklich schützenswert. Er steht ja bereits im öffentlichen Telefonbuch.

 

Erst wenn sensible Daten zur identifizierten Personen verknüpft werden, wird es heikel. Seien dies ethnische oder gesundheitliche Daten, religiöse oder strafrechtliche. Oder einfach nur Bilder und Likes auf Social-Media-Plattformen, die etwas über meine Vorlieben verraten. Diese Kombination ist aus Sicht des Datenschutzes gefährlich und wird immer strikter reguliert.

 

Daten sind nicht gleich Daten

Kehren wir die Betrachtung um, so verändert sich vieles: Hat man umfangreiche Geschäftsdaten ohne personenidentifizierende Merkmale, so kann man mit diesen immer noch die nutzen- und umsatzbringenden Businesszwecke erfüllen, ohne aber den Datenschutz zu verletzen. Und genau hier setzen wir von der andrion an. Wir raten unseren Kunden dringend davon ab, einfach der IT den Auftrag zur Datenlöschung zu geben, denn dann sind alle Daten unwiderruflich verloren. Und wir raten ihnen auch, zwar Rechtsberatung einzuholen, aber sich nicht allein darauf abzustützen. Denn Juristen setzen in erster Linie um, was sie in der DSGVO zu lesen glauben, und sind im Zweifelsfall zu übervorsichtig.

 

Vielmehr analysieren wir gemeinsam mit dem Kunden seinen heutigen Datenbestand und leiten daraus seinen potentziell künftigen Bedarf an Daten ab. Denn zumeist ist das Kerngeschäft nicht das Auswerten von personenbezogenen Daten (Profiling), sondern diese sind «Beigemüse» und können, sobald der Auftrag verarbeitet wurde, gelöscht werden. Also empfehlen wir unseren Kunden, die Businessdaten inklusive der zwingend notwendigen personenbezogenen Daten zu behalten, jedoch die übrigen, nicht benötigten personenbezogenen Daten zu löschen. Die Perspektive auf diese Daten kann dabei von Branche zu Branche und Firma zu Firma im Hinblick auf deren möglichen Businessnutzen sehr unterschiedlich sein. Will zum Beispiel eine Baufirma Auswertungen zu Aufträgen pro Region machen, so ist die Postleitzahl sehr wichtig und muss behalten werden.

 

Kontrolle über die Daten sicherstellen

Dieses Analysieren von Geschäftsdaten ist keine einmalige Tätigkeit, sondern sollte eine wiederkehrende Aktivität sein, welche sicherstellt, dass man jederzeit die Kontrolle über die gesamten verfügbaren Daten hat. Aus «Sollen» muss quasi «Wollen» werden, denn nur dann hat die Organisation verstanden, was Datenschutz ist.

 

Die Arbeit mit unseren Kunden führt folglich dazu, dass das Bewusstsein über alle Arten von Daten in der Firma zunimmt. Der Kunde versteht durch unsere Arbeit im Detail, welche Daten er zur Erreichung seiner Ziele wirklich benötigt. Dies führt dazu, dass der Umgang mit Daten mehr und mehr zur Selbstverständlichkeit wird und die Sensibilität für deren Schutz in die DNA der Firma hineinwächst.

 

Strategischer Ansatz zahlt sich aus

Bei der Datenanalyse gehen wir zudem nach einer andrion-eigenen Compliance-Strategie vor. Im Kern steht ein gestaffeltes Vorgehen, gewichtet nach den wirklich wichtigen Forderungen der DSGVO. Diese Compliance-Strategie erlaubt uns auch, rasch zu reagieren, sollten erste Gerichtsverhandlungen auf eine unerwartet scharfe Umsetzung hindeuten. Über unsere Projekte sind wir ständig mit diversen europäischen Datenschutzbehörden und spezialisierten Juristen in Kontakt, so dass wir unsere Compliance-Strategie auch laufend «testen» und verbessern können.

 

Bei konsequenter Umsetzung dieser Strategie ergibt sich rasch eine sehr hohe Konformität zur DSGVO. Denn im Kern der DSGVO geht es darum zu verstehen, welche personenbezogenen Daten zu welchem Zweck gesammelt und verarbeitet werden, und für die Datenverarbeitung die Zustimmung des Kunden einzuholen. Diese Zustimmung entsteht indirekt durch den Abschluss eines Vertrages, z. B. den Verkauf von Gütern, oder aber durch das aktive Einholen einer Zustimmung, z. B. bei der Verwendung von Cookies auf Web-Seiten. Am ehesten sind wohl das Call-Center-Business oder jegliche Form von Social Media gefährdet; gängige Geschäftspraktiken sind hingegen mit unserer Strategie und den daraus abgeleiteten Massnahmen bereits recht gut geschützt vor den teils drakonischen Strafen, die die neue DSGVO vorsieht.

 

Was mich zum letzten Punkt bringt: Sollte es zu einer Klage kommen, so braucht es dazu einen Kläger. Und dieser kann nur einen entstandenen Schaden einklagen. Da anzunehmen ist, dass dieser Schaden meist eher tief ist, reduziert sich die Anzahl möglicher Gerichtsfällen drastisch. Die Busse selbst wird vom Staat verhängt und eingezogen. Der Staat hat jedoch definitiv kein Interesse daran, seine Wirtschaft zu schädigen. Strafen im Umfang von bis zu 4% des weltweiten Umsatzes dürften demzufolge nur nach mehrmaligem, sehr grobfahrlässigen oder gar absichtlichen Verschulden ausgesprochen werden. Das ist kein Freipass, den Datenschutz und die neue DSGVO zu ignorieren, sondern vielmehr der konkrete Aufruf, seine Daten aktiv, konsequent, aber auch pragmatisch zu bewirtschaften.

DSGVO, Datenschutz, GDPR
"Denn sie wissen nicht, was sie tun"
icon_loader