Data Privacy Act

Woran der Datenschutz im Unternehmen krankt

19.12.2014 von Ralph Nüsse

Deutschland besitzt mit die strengsten Datenschutzrichtlinien in Europa. Doch in der Praxis halten sich die Unternehmen nicht immer an die Vorgaben, insbesondere bei der Sekundärnutzung persönlicher Daten für Test- und Analysezwecke. Auch im Zuge der geplanten EU-Reform sollten Unternehmen ihre Datenschutzstrategien prüfen und anpassen.

Viele Unternehmen sammeln und verarbeiten riesige Datenmengen über Kunden und Nutzer. Damit können sie ihre Angebote an deren individuelle Bedürfnisse und Vorlieben anpassen. Obwohl vor allem Privatkunden häufig ein mulmiges Gefühl beschleicht, erwarten sie andererseits aber die Auswertung ihrer persönlichen Daten, um optimal bedient zu werden. Jedoch ist inzwischen allen Beteiligten klar, dass diese Praxis auch das Risiko von Datenspionage oder der unbeabsichtigten Veröffentlichung persönlicher Informationen deutlich erhöht.

Datenschutz - ein komplexes Unterfangen
Foto: nasirkhan, Shutterstock.com

Hinzu kommt, dass inzwischen viele Firmen ihre Geschäfte über Landesgrenzen hinweg tätigen. Viele Datenschutzgesetze sind jedoch landesspezifisch und werden in der heutigen globalen Business-Welt kaum beachtet. Denn die Aufsichtsbehörden sind oft machtlos, die Vorgaben bei international tätigen Unternehmen durchzusetzen. Entsprechend schwierig ist es auch, jemanden zur Verantwortung zu ziehen, wenn es zu einer Datenpanne kommt.

Datenschutz in Deutschland und Europa

Wie sieht die Situation hierzulande konkret aus? Deutschland besitzt mit dem Bundesdatenschutzgesetz (BDSG) eine der fortschrittlichsten Regelungen in Europa, da sie persönliche Daten berücksichtigt. Der Fokus liegt dabei auf der "Primärnutzung" dieser Daten und dem entsprechenden Schutz. Dies betrifft vor allem Daten, die zur Erbringung von Dienstleistungen erfasst und verarbeitet werden, etwa zum Führen eines Bankkontos.

Allerdings werden die Regelungen im operativen Geschäft nicht ausreichend bei der "Sekundärnutzung" der persönlichen Daten berücksichtigt. Dazu gehört zum Beispiel deren Verwendung für Test- und Forschungszwecke oder für Analysen. Dabei ist in Deutschland jedoch die Sekundärnutzung in der Gesetzgebung genauso abgedeckt wie die Primärnutzung.

Da es auch in Europa unterschiedliche Ländergesetze gibt, arbeitet die Europäische Union (EU) derzeit an einer neuen Direktive - dem Data Privacy Act. Dieser soll die Gesetzgebung in den EU-Mitgliedstaaten vereinheitlichen. Für deutsche Nutzer bedeutet dies, dass ihre Daten dann nicht nur im eigenen Land, sondern auch europaweit sicher sind - oder zumindest sicherer als jetzt. Sobald dieser Act im jeweiligen Land umgesetzt ist, müssen die dort tätigen Unternehmen eine moderne und durchgängige Datensicherheit gewährleisten. In der Regel dürften sie etwa zwei Jahre dafür Zeit bekommen, doch da große Teile der Regelungen bereits auf Landesebene zur Verfügung stehen, könnte der Zeitraum auch kürzer sein.

EU-Datenschutzreform 2014: Die zehn wichtigsten Änderungen

Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.

"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.

"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).

Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.

Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.

Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.

Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.

Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.

Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.

Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.

Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.

Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.

Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Unnötiges Risiko

Ob auf deutscher oder europäischer Ebene: Die Unternehmen sind heute kaum darauf vorbereitet, gegenwärtiges oder zukünftiges Recht umzusetzen. Gemäß einer von Compuware beauftragten Umfrage von Vanson Borne in Deutschland, Großbritannien, Frankreich, Benelux, Italien, Australien und den USA aus dem letzten Jahr…

maskieren oder schützen nur 20 Prozent der Firmen ihre Kundendaten, bevor sie diese zu Testzwecken weitergeben;
sind sich 43 Prozent der Befragten, die Kundendaten weitergeben, der gegenwärtigen Gesetzgebung oder ihrer Folgen nicht bewusst;
verlassen sich 87 Prozent der Unternehmen, die Kundendaten unmaskiert an Dritte weitergeben, auf einfache "Non-Disclosure-Agreements (NDA)".

Kürzlich hat Compuware eine Reihe seiner deutschen Kunden befragt, um die Zahlen zu validieren. Dabei zeigte sich, dass 26 Prozent - durchweg große Unternehmenskunden - persönliche Daten in Systemtests verwenden. Damit setzen sie sich selbst einem großen Risiko aus, da Test-Umgebungen in der Regel deutlich weniger abgesichert und geschützt sind als Produktions-Umgebungen. Zudem sind viele Forscher und Tester nicht in Sachen Datenschutz ausgebildet. Daher sollten Unternehmen hier unbedingt anonymisierte oder zumindest maskierte Daten verwenden. Dies gilt umso mehr für ausgelagerte Dienste. Denn obwohl es in Deutschland Gesetze in Bezug auf Daten-Kontrolleure sowie Daten-Verarbeiter gibt, fallen Outsourcing-Dienstleister nicht darunter.

Kosten für die Umsetzung

Zur Umsetzung eines durchgängigen Datenschutzes und der neuen zu erwartenden Richtlinien sollten sich die Unternehmen in Deutschland natürlich auf höhere Kosten einstellen. Dabei überblicken viele nicht einmal ihre gegenwärtigen Ausgaben für Datenschutzmaßnahmen. So wissen zum Beispiel 82 Prozent der Firmen in Großbritannien nicht, wie viel Geld ihre IT derzeit für den Datenschutz ausgibt. Dies zeigt eine Untersuchung von London Economics im Auftrag des Information Commissioner’s Office (ICO). In Deutschland dürfte die Lage ähnlich sein. Werden Maßnahmen für die zu erwartenden Richtlinien umgesetzt, führt dann mangelndes Projektmanagement immer wieder zu Budgetüberschreitungen, so dass manches Datenschutzprojekt vorzeitig abgebrochen werden musste.

Wer diese Kosten scheut, auf den können aber erhebliche Konsequenzen zukommen. Zum Beispiel drohen der neuen EU-Direktive zufolge bei Nichtbeachtung der Gesetze Strafen von bis zu 100 Millionen Euro oder fünf Prozent des jährlichen Firmen-Umsatzes. Bislang wurden je nach Art der Datenschutzverletzung schon finanzielle Strafen von bis zu 300.000 Euro oder Haftstrafen von bis zu zwei Jahren verhängt.

Um die Datenschutzregeln einzuhalten, müssen Unternehmen eine umfassende Strategie entwickeln, die alle Formen der Datennutzung (primär oder sekundär) abdeckt - sozusagen eine "Blaupause für die Gesetzes-Beachtung". Für die Umsetzung ist dann ein effizientes und effektives Projektmanagement nötig, um die Investitionskosten zu minimieren sowie bestehende Anwendungen und Praktiken anzupassen.

Fünf Schritte zum Datenschutz

Die folgenden fünf Schritte sollten Unternehmen bei der Umsetzung der Datenschutzrichtlinien beachten:

Datenschutz: So setzen Sie die die geltenden Richtlinien um

Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren.

Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant.

Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein.

Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon.

Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.

Was ist zu tun?

Auch wenn die Europäische Kommission noch an den neuen Datenschutzregeln arbeitet, sollten Unternehmen nicht die Ergebnisse abwarten, sondern schon jetzt die Anpassungen ihrer Systeme an die neuen Anforderungen planen. Selbst mit den erwarteten zwei Jahren Spielraum kann die Zeit sehr knapp werden, da vieles zu beachten ist. Dazu gehören die Bewältigung der teils sehr großen Datenmengen, die hohe Komplexität der oft nur rudimentär dokumentierten Beziehungen zwischen Objekten, die plattformübergreifende Datenintegrität, Möglichkeiten der Datenreduktion und die zu wählenden Ansätze für die Anonymisierung, um die Risiken einer Datenschutzverletzung zu minimieren.

Zur Unterstützung bei der Vorbereitung auf die neue Direktive sollten Unternehmen daher auch in Betracht ziehen, einen Beratungsdienstleiter einzubinden. Dieser hat umfangreiche Erfahrungen und hohes Wissen in Daten-Management und -Schutz sowie umfassende Services für den gesamten Prozess zu bieten. Dadurch können Unternehmen ihre IT-Abteilungen entlasten, die Kosten für die Umstellung und Einhaltung reduzieren sowie Risiken durch fehlende Compliance vermeiden. (sh)