Datenschutz wird bis heute nicht so recht ernst genommen. Behördliche Eingriffe in die digitale Privatsphäre im Dienste der öffentlichen Sicherheit sind an der Tagesordnung - das wurde uns im letzten Jahr dank der Aussagen von Mr. Snowden mehr als deutlich vor Augen geführt. [...]
Wie aber halten es Unternehmen im Umgang mit privaten Daten? Hier gilt es zu unterscheiden: Sprechen wir von Datenschutz, so ist damit die Verpflichtung zum Schutz von Personen im Hinblick auf ihre persönlichen Daten gemeint – und zwar immer dann, wenn diese persönlichen Daten durch ein Unternehmen (oder eine Behörden) ermittelt, gespeichert, übermittelt oder verarbeitet werden.
Abzugrenzen ist Datenschutz von Datensicherheit, also dem Schutz der Gesamtheit aller für ein Unternehmen relevanter Daten. Datensicherheitsbestrebungen von Unternehmen umfassen neben technischen und betrieblichen Daten zwar auch personenbezogene Daten. Jedoch werden andere Ziele verfolgt: Dem Datenschutz geht es primär um den Schutz der Privatsphäre von Personen. Ziel ist es, die Privatsphäre bestmöglich zu erhalten bzw. widerherzustellen. Der Datensicherheit hingegen geht es um den effektiven Schutz von Daten bzw. datenverarbeitenden Systemen, die aus Sicht des Unternehmens schützenswert sind – und zwar vor allem vor unbefugtem Zugriff oder Veränderung sowie um Daten- bzw. System-Verfügbarkeit.
Auf Basis persönlicher Erfahrung und Einschätzung erlaube ich mir hier folgendes Pauschalurteil: Von wenigen, gut begründeten Ausnahmen abgesehen, nehmen Unternehmen Datenschutz (anders als Datensicherheit) ebenfalls nicht ernst. Unternehmen tun maximal das Notwendigste, und in vielen Fällen – bewusst oder unbewusst – nicht einmal das. Dafür gibt es allerdings gute Gründe.
Der wichtigste Grund liegt darin, dass Datenschutz nicht als im Eigeninteresse von Unternehmen liegend eingestuft wird. Wie auch im Fall anderer Compliance-Themen gestaltet sich die praktische Einhaltung der Datenschutzvorschriften detailreich und aufwändig, ohne einen unmittelbaren Mehrwert für das Unternehmen zu generieren.
Hinzu kommt, dass die Strafdrohung für den Fall einer Verletzung der Datenschutzbestimmungen kein wirksames Instrument zu Erhöhung der Datenschutzmoral darstellt – zumindest noch nicht. Denn sieht man von gerichtlich strafbaren und entsprechend krassen, vorsätzlichen Verstößen ab, endet die Strafdrohung durch die Datenschutzbehörde bei maximal 25.000 EUR. Eine saubere Umsetzung der Datenschutzbestimmungen kostet mehr.
Und überdies sind die Datenschutzregeln selbst veraltet, durchlässig und unangemessen bürokratisch. Ursächlich dafür ist, dass die Europäische Datenschutz-Richtlinie, die auch Basis für das österreichische Datenschutzgesetz ist, aus dem Jahr 1995 (!) stammt, also aus einer Zeit in der viele technische Entwicklungen schlicht nicht vorhersehbar waren.
Auf Europäischer Ebene hat man sich vorgenommen, 2014 zum Wendejahr in Richtung eines effektiven Datenschutzes zu machen. Der diesbezügliche Vorschlag der EU-Kommission liegt seit Ende 2012 vor, wurde Ende 2013 vom EU-Parlament akzeptiert, und wartet nun nur noch darauf, auch von Seiten der Mitgliedstaaten akzeptiert oder aber in Einzelbereichen noch nachgebessert zu werden. Dies sollte sich problemlos in der zweiten Jahreshälfte 2014 machen lassen. Zur Umsetzung der umfangreichen Neuregelungen wird den Unternehmen sodann zumindest ein Kalenderjahr zur Verfügung stehen. Und dieses Jahr, so vermute ich, wird auch dringend erforderlich sein, um die Neuerungen voll umzusetzen, und in Anbetracht der zu erwartenden Erhöhung der Strafandrohung die Umsetzung auch intern abzusichern und nachzuweisen, sei es durch Prozessneuerungen, Dokumentation, Schulungen und/oder Prüfungen bzw. Zertifizierungen.
Ein kleiner Vorgeschmack gefällig? Geht es nach dem EU-Parlament sollen Verstöße gegen die neuen Datenschutzregeln mit Maximalstrafen bis zu 100 Mio. EUR bzw. bis zu 5 Prozent des weltweiten Unternehmensumsatzes bedroht sein! Selbst wenn die Strafandrohungen in der endgültigen Fassung der Verordnung noch entschärft wird, dürfte das potentielle Strafausmaß dennoch ausreichen, um Datenschutz vorrübergehend zum Thema Nummer 1 für CIOs, Legal- und/oder Compliance-Verantwortliche zu machen.
Abgesehen von der absehbaren Veränderung der rechtlichen Rahmenbedingungen gibt es aus meiner Sicht aber noch einen zweiten, viel wichtigeren Treiber der Entwicklung. Und der liegt auf Seiten des einzelnen Kunden. Die nicht enden wollende Berichterstattung in der Causa Snowden war (und ist) letztlich nur ein Symptom des wachsenden öffentlichen und medialen Bewusstseins und des zunehmenden individuellen Unbehagens in Bezug auf den Umgang von Behörden und Unternehmen mit personenbezogenen Daten. Ohne Zweifel werden Kunden in Zukunft den Themen Qualität und Sicherheit im Kontext digital unterstützter Dienstleistungen mehr und mehr Augenmerk schenken. Nicht zu vergessen, dass eine Nutzung des Potentials, das in künftigen Big Data-Anwendungen steckt, ausnahmslos die Zustimmung des Einzelnen zur Verwendung individualisierter oder individualisierbarer Daten voraussetzt.
Unternehmen werden sich – eher früher als später – klar positionieren müssen, wie sie digital trust managen wollen. Denn im Kern geht es ja bei alledem um nichts anderes als das Vertrauen, das private Personen jenem gegenüber haben wollen, dem sie Teile ihrer Privatsphäre zur digitalen Weiterverarbeitung anvertrauen. Wird Datenschutz aber als die Summe aller Unternehmensaktivitäten verstanden, die darauf abzielen, das digitale Kundenvertrauen zu bilden, zu gestalten und zu erhalten, dann wird Datenschutz plötzlich zu einer der künftig wichtigsten strategischen Unternehmensaktivitäten überhaupt.
* Dies ist Teil 1 einer Serie zu Neuerungen im Datenschutzbereich. Der Autor Alexander Zuser ist Gründer des Beratungsunternehmens P R O.
Be the first to comment