Sicherheit und Geheimhaltung von Informationen sind kritische rechtliche Themen, die Unternehmen auf der ganzen Welt beeinflussen. Dabei ist der Datenschutz der gesetzlich am weitesten entwickelte Bereich: In Europa wie auch in den USA ist die Verarbeitung personenbezogener Daten durch Computer und andere elektronische Geräte streng reguliert - in der EU durch die Richtlinie 95/46/EG, in den USA unter anderem durch die US-Handelsbehörde FTC.
Foto: Jeff Kubina via Flickr
Besonders für international agierende Unternehmen lohnt es sich, die Unterschiede zwischen den nationalen Ansätzen in der Datenschutz-Regulierung genauer zu betrachten. Collaboration und Informationsflüsse werden heute in beinahe jedem Staat der Welt per Gesetz geregelt - die Strafen und die Regulierungsbefugnis der Behörden unterscheiden sich jedoch enorm. Verantwortliche im Unternehmen sollten daher besonders beim Thema Collaboration und Sharing auf Compliance-Vorgaben achten.
Europa und USA: Eine für alles oder für alle etwas?
Europa wie auch die USA gehören zur Gruppe der "westlichen Staaten", deren Rechtssicherheit im Vergleich mit anderen Ländern ausgesprochen hoch ist. Entsprechend sind auch die Gesetzgebungen zum Datenschutz stärker ausgeprägt als beispielsweise in Mexiko oder Russland. EU und USA sind fest verbunden - etwa durch die spezielle Vereinbarung im Safe Harbor Program, das US-amerikanischen Firmen die Verarbeitung und Nutzung von EU-Daten gestattet, was für externe Nationen meist nicht gewährt wird. Trotzdem verfolgen beide einen grundsätzlich anderen Ansatz beim Thema Datenschutz.
In der Europäischen Union graben Richtlinien die Fahrrinne für die Datenschutzgesetze der Länder. Die Richtlinie 95/46/EG ist in die Gesetze der Mitgliedsländer eingeflossen, in Deutschland beispielsweise ins Bundesdatenschutzgesetz (BDSG). Die Richtlinie verpflichtet die Verantwortlichen für Datenverarbeitung - das sind praktisch alle Unternehmen, die über Collaboration-Plattformen verfügen - angemessene technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen.
- Ausschließlich pseudonyme Nutzerprofile erstellen
Nutzungsprofile von Besuchern dürfen laut §15 Telemediengesetz ohne Einwilligung nur unter einem Pseudonym erstellt werden.<br /><br /> In der Regel spricht man von einem Pseudonym, wenn hinter dem jeweiligen Datensatz fünf oder mehr Personen stecken können. Die Datenschutzbehörden haben hierzu festgestellt, dass die IP-Adresse ausdrücklich kein Pseudonym darstellt, da hierdurch Rückschlüsse auf den einzelnen Besucher einer Website gezogen werden können. Achten Sie darauf, dass IP-Adressen vor der Verarbeitung und Speicherung so gekürzt werden, dass ein Bezug zur natürlichen Person nicht mehr herzustellen ist. - Widerspruchsrecht einräumen und technisch umsetzen
Besucher müssen der Erstellung von Nutzungsprofilen widersprechen können. Der Widerspruch muss vom Website-Betreiber wirksam umgesetzt werden.<br /><br /> Website-Besucher besitzen grundsätzlich bei allen erfassten personenbezogenen Daten das Recht, eine erteilte Einwilligung zur Nutzung dieser Daten für Zwecke der Werbung und Marktforschung zu widerrufen. Außerdem besteht ein Widerspruchsrecht zur Bildung von Nutzungsprofilen, die unter einem Pseudonym für Marktforschungs- und Analysezwecke erstellt wurden. Diese Widerspruchsrechte müssen auch für alle Anwendungen und Dienste auf mobilen Endgeräten wie Smartphones oder Tablets eingeräumt werden. Möchte der Kunde von diesen Rechten Gebrauch machen und nicht länger zu den personenbezogenen bzw. pseudonymisierten Nutzungsprofildaten beitragen, müssen Sie dies veranlassen und technisch umsetzen (lassen). - Keine IP-Adressen verarbeiten oder gar speichern
Ohne bewusste, eindeutige Einwilligung des Betroffenen darf die vollständige IP-Adresse nicht verarbeitet werden.<br /><br /> Eine illegale Verarbeitung ist beispielsweise bereits die IP-Geolokalisierung oder die Identifikation der Firma des Besuchers auf Basis vollständiger IP-Adressen. Allerdings ist eine Geolokalisierung auch mit verkürzter IP-Adresse – und damit datenschutzkonform – möglich. - Strikte Datentrennung einhalten
Pseudonyme und personenbezogene Daten müssen stets getrennt gespeichert und dürfen ohne Einwilligung nicht zusammengeführt werden.<br /><br /> Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenbanken. Eine Löschung bzw. Anonymisierung von personenbezogenen Informationen ist dann unproblematisch und schnell umgesetzt. Generell gilt: Je stringenter Sie Ihre Daten organisieren, umso schneller und einfacher können Sie auch dem Widerspruchsrecht Ihrer Kunden entsprechen. - „Auftragsdatenvereinbarung“ mit Dienstleister abschließen
Die Auftragsdatenverarbeitung (ADV) ist ein fester Bestandteil des Bundesdatenschutzgesetzes (BDSG): Der Vertrag mit einem Dienstleister muss den Anforderungen nach §11 BDSG entsprechen. Die ADV erfordert stets die Schriftform, eine Online-Akzeptanz ist nicht möglich. In der ADV wird die Zusammenarbeit mit dem Dienstleister geregelt. <br /><br /> Die meisten Unternehmen betreiben das Web-Controlling nicht auf eigenen Servern, sondern nehmen die Dienste Dritter dafür in Anspruch. Wenn die Daten auf diese Weise weitergeleitet werden, ist es zwingend erforderlich, dass Sie die Kontrolle über die Daten behalten. Schließen Sie mit dem Dienstleister einen schriftlichen Vertrag zur Verarbeitung der Daten in Ihrem Auftrag ab (Auftragsdatenverarbeitung). Wichtig zu beachten ist: Der Auftraggeber bleibt stets verantwortlich für die datenschutzkonforme Verarbeitung: Nur er wird haftbar gemacht und muss im Falle eines Verfahrens mit Bußgeldstrafen rechnen (§11 Abs. 1 BDSG). - Sparsam mit Daten umgehen
Laut §3a BDSG dürfen personenbezogene Daten nur in dem Umfang erhoben und gespeichert werden, wie es für den jeweiligen Zweck der Geschäftsbeziehung mit dem Kunden erforderlich ist. <br /><br /> Für die Erhebung von Daten, die für die Marktforschung wünschenswert, für den jeweiligen Zweck jedoch nicht zwingend notwendig sind, bedarf es der Einwilligung des betroffenen Nutzers. Erheben Sie daher nur Daten, die Sie für den jeweiligen Zweck auch wirklich benötigen. Verzichten Sie auf unnötige „Pflichtfelder“, auch wenn weitere Daten für Marketing und Marktforschung wünschenswert wären. Lassen Sie auf die Daten nur diejenigen Mitarbeiter zugreifen, die die Daten auch wirklich benötigen. Nutzen Sie die Daten nur zu dem Zweck, den Sie jeweils bei der Datenerhebung angegeben haben. Für andere Zwecke benötigen Sie in jedem Fall die Einwilligung des betroffenen Nutzers.
Die Europäische Union verfolgt den Ansatz, durch die Umsetzung von Regulierungen ein breites Spektrum an Branchen gleichzeitig abzudecken. Die genannte Richtlinie gilt daher ebenso für Banker wie für Bäcker. Die Vereinigten Staaten dagegen legen ihrem Datenschutz einen sektoralen Ansatz zugrunde: Schlüsselsektoren wie das Gesundheits- oder Finanzwesen werden gesondert reguliert. Auf Staats- und Bundesebene existieren außerdem facettenreiche Gesetze zur Meldepflicht.
Was in den USA zu beachten ist
Aktive Regulatoren wie die US-Handelsbehörde FTC sind motiviert, die Gesetze mit hohen Geldstrafen und Zwangsprüfungen durchzusetzen. Bei Datenschutzverletzungen kommt es mit hoher Wahrscheinlichkeit zu einem Rechtsstreit oder einem dem Image schadenden Zivilprozess.
Die Vereinigten Staaten verfügen über kein übergreifendes Datenschutzgesetz, das für alle Branchen gilt, wie es in der EU der Fall ist. Es gibt jedoch wichtige Schlüsselgesetze, die zusammengenommen etwa den Bereich der EU-Gesetzgebung abdecken - oder dahingehend interpretiert wurden. Zu den wichtigsten drei Gesetzen gehören: der FTC Act für den Sektor Wirtschaft und Handel, der GLB Act (Gramm-Leach-Bliley Act) für den Finanzsektor und der HIPA Act (Health Insurance Portability and Accountability Act) für das Gesundheitswesen.