Data Privacy Act

Woran der Datenschutz im Unternehmen krankt

Ralph Nüsse ist seit über 15 Jahren in der IT tätig. Bei Compuware arbeitet er zurzeit als Architekt bei der Umsetzung von Datenschutz-Projekten mit Hilfe der statischen Datenanonymisierung. Er hat eine Reihe europäischer Kunden dabei unterstützt, Strategien für den Testdatenschutz zu entwickeln und umzusetzen.
Deutschland besitzt mit die strengsten Datenschutzrichtlinien in Europa. Doch in der Praxis halten sich die Unternehmen nicht immer an die Vorgaben, insbesondere bei der Sekundärnutzung persönlicher Daten für Test- und Analysezwecke. Auch im Zuge der geplanten EU-Reform sollten Unternehmen ihre Datenschutzstrategien prüfen und anpassen.

Viele Unternehmen sammeln und verarbeiten riesige Datenmengen über Kunden und Nutzer. Damit können sie ihre Angebote an deren individuelle Bedürfnisse und Vorlieben anpassen. Obwohl vor allem Privatkunden häufig ein mulmiges Gefühl beschleicht, erwarten sie andererseits aber die Auswertung ihrer persönlichen Daten, um optimal bedient zu werden. Jedoch ist inzwischen allen Beteiligten klar, dass diese Praxis auch das Risiko von Datenspionage oder der unbeabsichtigten Veröffentlichung persönlicher Informationen deutlich erhöht.

Datenschutz - ein komplexes Unterfangen
Datenschutz - ein komplexes Unterfangen
Foto: nasirkhan, Shutterstock.com

Hinzu kommt, dass inzwischen viele Firmen ihre Geschäfte über Landesgrenzen hinweg tätigen. Viele Datenschutzgesetze sind jedoch landesspezifisch und werden in der heutigen globalen Business-Welt kaum beachtet. Denn die Aufsichtsbehörden sind oft machtlos, die Vorgaben bei international tätigen Unternehmen durchzusetzen. Entsprechend schwierig ist es auch, jemanden zur Verantwortung zu ziehen, wenn es zu einer Datenpanne kommt.

Datenschutz in Deutschland und Europa

Wie sieht die Situation hierzulande konkret aus? Deutschland besitzt mit dem Bundesdatenschutzgesetz (BDSG) eine der fortschrittlichsten Regelungen in Europa, da sie persönliche Daten berücksichtigt. Der Fokus liegt dabei auf der "Primärnutzung" dieser Daten und dem entsprechenden Schutz. Dies betrifft vor allem Daten, die zur Erbringung von Dienstleistungen erfasst und verarbeitet werden, etwa zum Führen eines Bankkontos.

Allerdings werden die Regelungen im operativen Geschäft nicht ausreichend bei der "Sekundärnutzung" der persönlichen Daten berücksichtigt. Dazu gehört zum Beispiel deren Verwendung für Test- und Forschungszwecke oder für Analysen. Dabei ist in Deutschland jedoch die Sekundärnutzung in der Gesetzgebung genauso abgedeckt wie die Primärnutzung.

Da es auch in Europa unterschiedliche Ländergesetze gibt, arbeitet die Europäische Union (EU) derzeit an einer neuen Direktive - dem Data Privacy Act. Dieser soll die Gesetzgebung in den EU-Mitgliedstaaten vereinheitlichen. Für deutsche Nutzer bedeutet dies, dass ihre Daten dann nicht nur im eigenen Land, sondern auch europaweit sicher sind - oder zumindest sicherer als jetzt. Sobald dieser Act im jeweiligen Land umgesetzt ist, müssen die dort tätigen Unternehmen eine moderne und durchgängige Datensicherheit gewährleisten. In der Regel dürften sie etwa zwei Jahre dafür Zeit bekommen, doch da große Teile der Regelungen bereits auf Landesebene zur Verfügung stehen, könnte der Zeitraum auch kürzer sein.

Unnötiges Risiko

Ob auf deutscher oder europäischer Ebene: Die Unternehmen sind heute kaum darauf vorbereitet, gegenwärtiges oder zukünftiges Recht umzusetzen. Gemäß einer von Compuware beauftragten Umfrage von Vanson Borne in Deutschland, Großbritannien, Frankreich, Benelux, Italien, Australien und den USA aus dem letzten Jahr…

  • maskieren oder schützen nur 20 Prozent der Firmen ihre Kundendaten, bevor sie diese zu Testzwecken weitergeben;

  • sind sich 43 Prozent der Befragten, die Kundendaten weitergeben, der gegenwärtigen Gesetzgebung oder ihrer Folgen nicht bewusst;

  • verlassen sich 87 Prozent der Unternehmen, die Kundendaten unmaskiert an Dritte weitergeben, auf einfache "Non-Disclosure-Agreements (NDA)".

Kürzlich hat Compuware eine Reihe seiner deutschen Kunden befragt, um die Zahlen zu validieren. Dabei zeigte sich, dass 26 Prozent - durchweg große Unternehmenskunden - persönliche Daten in Systemtests verwenden. Damit setzen sie sich selbst einem großen Risiko aus, da Test-Umgebungen in der Regel deutlich weniger abgesichert und geschützt sind als Produktions-Umgebungen. Zudem sind viele Forscher und Tester nicht in Sachen Datenschutz ausgebildet. Daher sollten Unternehmen hier unbedingt anonymisierte oder zumindest maskierte Daten verwenden. Dies gilt umso mehr für ausgelagerte Dienste. Denn obwohl es in Deutschland Gesetze in Bezug auf Daten-Kontrolleure sowie Daten-Verarbeiter gibt, fallen Outsourcing-Dienstleister nicht darunter.

Kosten für die Umsetzung

Zur Umsetzung eines durchgängigen Datenschutzes und der neuen zu erwartenden Richtlinien sollten sich die Unternehmen in Deutschland natürlich auf höhere Kosten einstellen. Dabei überblicken viele nicht einmal ihre gegenwärtigen Ausgaben für Datenschutzmaßnahmen. So wissen zum Beispiel 82 Prozent der Firmen in Großbritannien nicht, wie viel Geld ihre IT derzeit für den Datenschutz ausgibt. Dies zeigt eine Untersuchung von London Economics im Auftrag des Information Commissioner’s Office (ICO). In Deutschland dürfte die Lage ähnlich sein. Werden Maßnahmen für die zu erwartenden Richtlinien umgesetzt, führt dann mangelndes Projektmanagement immer wieder zu Budgetüberschreitungen, so dass manches Datenschutzprojekt vorzeitig abgebrochen werden musste.

Wer diese Kosten scheut, auf den können aber erhebliche Konsequenzen zukommen. Zum Beispiel drohen der neuen EU-Direktive zufolge bei Nichtbeachtung der Gesetze Strafen von bis zu 100 Millionen Euro oder fünf Prozent des jährlichen Firmen-Umsatzes. Bislang wurden je nach Art der Datenschutzverletzung schon finanzielle Strafen von bis zu 300.000 Euro oder Haftstrafen von bis zu zwei Jahren verhängt.

Um die Datenschutzregeln einzuhalten, müssen Unternehmen eine umfassende Strategie entwickeln, die alle Formen der Datennutzung (primär oder sekundär) abdeckt - sozusagen eine "Blaupause für die Gesetzes-Beachtung". Für die Umsetzung ist dann ein effizientes und effektives Projektmanagement nötig, um die Investitionskosten zu minimieren sowie bestehende Anwendungen und Praktiken anzupassen.

Fünf Schritte zum Datenschutz

Die folgenden fünf Schritte sollten Unternehmen bei der Umsetzung der Datenschutzrichtlinien beachten:

Was ist zu tun?

Auch wenn die Europäische Kommission noch an den neuen Datenschutzregeln arbeitet, sollten Unternehmen nicht die Ergebnisse abwarten, sondern schon jetzt die Anpassungen ihrer Systeme an die neuen Anforderungen planen. Selbst mit den erwarteten zwei Jahren Spielraum kann die Zeit sehr knapp werden, da vieles zu beachten ist. Dazu gehören die Bewältigung der teils sehr großen Datenmengen, die hohe Komplexität der oft nur rudimentär dokumentierten Beziehungen zwischen Objekten, die plattformübergreifende Datenintegrität, Möglichkeiten der Datenreduktion und die zu wählenden Ansätze für die Anonymisierung, um die Risiken einer Datenschutzverletzung zu minimieren.

Zur Unterstützung bei der Vorbereitung auf die neue Direktive sollten Unternehmen daher auch in Betracht ziehen, einen Beratungsdienstleiter einzubinden. Dieser hat umfangreiche Erfahrungen und hohes Wissen in Daten-Management und -Schutz sowie umfassende Services für den gesamten Prozess zu bieten. Dadurch können Unternehmen ihre IT-Abteilungen entlasten, die Kosten für die Umstellung und Einhaltung reduzieren sowie Risiken durch fehlende Compliance vermeiden. (sh)