Datenschutz-Grundverordnung – Risiko oder Chance?
Die EU-Datenschutz-Grundverordnung (DSGVO oder GDPR für General Data Protection Regulation) tritt am 25. Mai 2018 verpflichtend in Kraft. Viele Unternehmen werden zu diesem Stichtag nicht ausreichend vorbereitet sein und somit Geldbußen von bis zu 20 Millionen Euro bzw. von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes riskieren. Die DSGVO regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und gleichzeitig den freien Datenverkehr, beinhaltet also sowohl Risiken als auch Chancen für Unternehmen. Diese werden im Folgenden anhand von konkreten Beispielen direkt aus dem Gesetzestext dargestellt, um Ihnen Anregungen für den Umgang mit der DSGVO in Ihrem geschäftlichen Umfeld zu geben.
Die erfolgreiche Implementierung der DSGVO kann nur gelingen, wenn alle Funktionen zusammenwirken, also die Geschäftsführung die Umsetzung anordnet, der Datenschutzbeauftragte sie kontrolliert, die IT die technischen und die Fachabteilungen die fachlichen Voraussetzungen schaffen, und Anwendungsentwickler sowie Projektleiter neue Anwendungen gesetzeskonform entwickeln und bestehende entsprechend ergänzen.
Eine erste Übersicht der wesentlichen Regelungen stellt die Infografik des Europäischen Rates (Auszug) dar (s.Abb.1).
Noch ist es nicht zu spät zu handeln, aber Sie sollten sich – soweit noch nicht geschehen – umgehend mit den gesetzlichen Regelungen, deren Auswirkung für Ihr Unternehmen und Ihre Tätigkeit dort sowie konkreten organisatorischen und technischen Umsetzungen auseinandersetzen. Als guter Einstieg in das Thema bietet sich die mit 88 Seiten durchaus lesbare und auch lesenswerte DSGVO selbst an [1].
Die wörtliche Definition von personenbezogenen Daten aus dem Artikel 4 Begriffsbestimmungen, um die es bei der DSGVO ja primär geht, lautet:
Im Sinne dieser Verordnung bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Die DSGVO gliedert sich in zwei Bereiche, zunächst die Gründe für das Erlassen der Verordnung (173 Gründe) und im zweiten Teil die eigentlichen Artikel der Verordnung (99 Artikel). Der Umfang und die Tragweite der DSGVO sollen mit folgenden Textauszügen aus beiden Teilen angerissen und die jeweiligen Chancen, Risiken und Verantwortlichkeiten mit kurzen Kommentaren diskutiert werden. Wie in der DSGVO selbst wird dabei mit den Gründen begonnen, nach 8 Beispielen aus diesem Bereich werden im nächsten Abschnitt dann einige Artikel näher beleuchtet.
DSGVO: Chancen, Risiken und Verantwortlichkeiten
(29) Pseudonymisierung bei der Verarbeitung personenbezogener Daten … wobei sicherzustellen ist, dass zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden.
Chance: Pseudonymisierte personenbezogene Daten dürfen EU-weit für umfassende Analysen verwendet werden.
Risiko: Einzelne Kunden können nicht mehr identifiziert und somit Ergebnisse von Analysen nicht direkt genutzt werden.
Verantwortung: Geschäftsführung, Datenschutzbeauftragter, IT, Fachabteilungen, Anwendungsentwickler, Projektleiter.
(32) Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. … Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.
Chance: höheres Vertrauen der Kunden durch transparentes Einwilligungs-Management und erkennbaren Nutzen.
Risiko: Aktuell meist verwendete unübersichtliche und umfangreiche Nutzungsbedingungen müssen ersetzt werden.
Verantwortung: Geschäftsführung, Datenschutzbeauftragter, Fachabteilungen, Anwendungsentwickler, Projektleiter.
(38) Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, … insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern…
Chance: Höheres Vertrauen von Eltern bei proaktiver Kommunikation der Einhaltung des besonderen Schutzes.
Risiko: Keine oder nur eingeschränkte geschäftsbezogene Analyse der personenbezogenen Daten von Kindern.
Verantwortung: Geschäftsführung, Datenschutzbeauftragter, Fachabteilungen, Anwendungsentwickler, Projektleiter.
(60) Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, …
Chance: Optimierte Kommunikation, Umsatzsteigerung und Risikobewertung bei entsprechenden Vorteilen für Kunden.
Risiko: Widersprüche von Kunden reduzieren potentielle Geschäftschancen, wenn Kunden keine Anreize geboten werden.
Verantwortung: Geschäftsführung, Datenschutzbeauftragter, Fachabteilungen, Anwendungsentwickler, Projektleiter.
(68) … sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Formatzu erhaltenund sie einem anderen Verantwortlichen zu übermitteln.
Chance:Leichtere Gewinnung neuer Kunden durch einfache Übertragung ihrer historischen Daten durch den Mitbewerb.
Risiko: Verlust guter Kunden an die Konkurrenz bei Unzufriedenheit, geringer Kundenbindung und fehlendem Mehrwert.
Verantwortung: Geschäftsführung, Datenschutzbeauftragter, IT.
(70)Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so sollte die betroffene Person jederzeit unentgeltlich insoweit Widerspruch gegen eine solche — ursprüngliche oder spätere — Verarbeitung einschließlich des Profilings einlegen können, als sie mit dieser Direktwerbung zusammenhängt.
Chance: Herausfiltern von Kunden, die negativ auf Direktwerbung reagieren, und optimierte Kunden-Kommunikation.
Risiko: Mit Direktwerbung können zukünftig nur weniger Kunden angesprochen werden und der Umsatz geht zurück.
Verantwortung: Geschäftsführung, Datenschutzbeauftragter, Fachabteilungen, Anwendungsentwickler, Projektleiter.
(71) Die betroffene Person sollte das Recht haben, keiner Entscheidung … zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht …, wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren…
Chance: Vermeidung falscher automatisierter Entscheidungen bei Prüfung durch erfahrene Mitarbeiter und Korrektur.
Risiko: Höherer Aufwand, da automatisierte Analysen durch manuelle Mitarbeiter-Tätigkeiten ergänzt werden müssen.
Verantwortung: Geschäftsführung, Datenschutzbeauftragter, Fachabteilungen, Anwendungsentwickler, Projektleiter.
(86) Der für die Verarbeitung Verantwortliche sollte die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, …
Chance: Höheres Kundenvertrauen durch transparente direkte Benachrichtigung statt Information über die Medien.
Risiko: Kündigungen bei Schutzverletzungen, die den Kunden sonst evtl. nie bekannt geworden wären.
Verantwortung: Geschäftsführung, Datenschutzbeauftragter, IT, Fachabteilungen.
Im nächsten Abschnitt sollen exemplarisch fünf wichtige DSGVO-Artikel näher vorgestellt und hinterfragt werden, die alle nicht nur ein Risiko, sondern auch eine Chance für Unternehmen darstellen und bei entsprechender Umsetzung für bessere Kundenbindung und höhere Umsätze genutzt werden können.
DSGVO: 5 Artikel als Beispiele
Artikel 7: Bedingungen für die Einwilligung
Wo und wie sind die Einwilligungs-Daten Ihrer Kunden zur Verarbeitung ihrer personenbezogenen Daten revisionssicher gespeichert? Können Ihre Kunden nur insgesamt generell zustimmen oder über eine Art Schieberegler für mehrere Kategorien feingranulare Einwilligungen erteilen und widerrufen? Bei einer Fitness-App könnte ein Kunde z. B. der Verwendung seiner Daten für kostenfreie Services wie Feedback von Freunden oder Rabattangebote für Sportartikel zustimmen, die Weitergabe an Versicherungen aber ablehnen. Services und Transparenz erhöhen das Vertrauen der Kunden, stärken die Kundenbindung und ermöglichen die Analyse von mehr Detaildaten für die Unternehmen.
Artikel 15: Auskunftsrecht der betroffenen Person
Können Sie Verarbeitungszweck, Empfänger, Speicherdauer und Herkunft personenbezogener Daten benennen? Gibt es einen Metadaten-Katalog, über den entsprechende Attribute, Zuständigkeiten, Regelungen und Datenflüsse abgefragt werden können? Wenn ja, können Sie Ihren Kunden bei entsprechenden Anfragen schnell und mit geringem Aufwand Auskunft erteilen und sogar proaktiv ohne explizite Anfrage Kunden über die gespeicherten personenbezogenen Daten informieren? In diesem Rahmen können dann natürlich auch Zusatzangebote mit Upsell-Potential positioniert werden, z. B. ein günstiger Tarif für Telekommunikation wenn weitere Familienmitglieder der Speicherung Ihrer Daten zustimmen.
Artikel 16: Recht auf Berichtigung
Wie berichtigen und vervollständigen Sie unrichtige personenbezogene Daten? Haben Sie ein Stammdatensystem implementiert, in dem Sie Kundendaten zentral ändern und das diese Änderungen dann automatisiert in allen relevanten weiteren Datenspeichern aktualisiert? Ein solches System ermöglicht neben der Vermeidung von Inkonsistenzen und Duplikaten eine umfassende 360 Grad-Kundensicht und auch übergreifende Haushaltsbetrachtungen, z. B. ein Angebot nach Lebensereignissen wie Bausparverträge nach Namensänderung (Hochzeit) oder Einrichtungsgegenstände nach Adressänderung (Umzug).
Artikel 17: Recht auf Löschung ("Recht auf Vergessenwerden")
Können Sie alle personenbezogenen Kundendaten löschen bzw. anonymisieren, und zwar nur dann, wenn sie nicht mehr für Ihr Geschäft benötigt werden, wie z. B. bei offenen Zahlungen? Löschen Sie physisch oder anonymisieren Sie nur, um zum einen dem Gesetz zu genügen, zum anderen aber weiter Analysen wie z. B. bzgl. Kündigungsverhalten betreiben zu können? Evtl. lässt sich durch die Darstellung der Nachteile für den Kunden eine Löschung vermeiden, z. B. bzgl. seiner alleinigen Nachweispflicht bei Garantie & Rechtsstreit oder dem Verlust von Rabatten als Bestandskunde. Wenn nicht, werden durch eine positive Trennung zumindest mögliche zukünftige Geschäfte erleichtert.
Artikel 33: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Melden Sie Verletzungen unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde? Haben Sie ein Security-System auf dem neuesten Stand im Einsatz und eine Strategie dafür, welche personenbezogenen Daten wie und wo gespeichert werden dürfen, z. B. in der Cloud, die je nach Anbieter und Ihren Standards sicherer sein kann als Ihr eigenes Rechenzentrum? Bei einem nicht berechtigten Zugriff auf personenbezogene Kundendaten, z. B. durch Hacker, sollten Sie sofort Ihre Kunden informieren und ggf. neue Passwörter eingeben lassen. Eine proaktiver ausgereifter Datenschutz kann durchaus als Wettbewerbsvorteil kommuniziert und genutzt werden.
Alle beschriebenen Regelungen werden durch den Autor Harald Gröger in seiner Session "Datenschutzgrundverordnung – auch Ihre Verantwortung!" bei den IT-Tagen in Frankfurt am 12. Dezember 2017 vorgestellt.
Nutzen Sie die verbleibende Zeit bis zum 25. Mai 2018 und bereiten Sie sich und Ihr Unternehmen entsprechend vor. An der Umsetzung dieser grundlegenden Verordnung müssen alle Funktionen mitarbeiten, von der Geschäftsführung und dem Datenschutzbeauftragten über die IT und die Fachabteilungen bis zu den Anwendungsentwicklern und Projektleitern – auch Sie sind also gefordert! Prüfen Sie auch die Angebote externer Experten und lassen Sie sich bei der GDPR-Vorbereitung helfen, das entsprechende IBM-Angebot für die wichtigsten Bereiche finden Sie unter [3], hier noch einige Anregungen und Fragestellungen daraus:
Governance: Legen Sie fest, wie Sie die GDPR in Maßnahmen, Normen und Werte verwandeln können. Überlegen Sie, welche Maßnahmen ergriffen werden müssen, ob sie effektiv sind und wie sie verbessert werden können.
Menschen und Kommunikation: Schulen Sie Ihre Mitarbeiter im Hinblick auf die GDPR-Anforderungen. Sie müssen verstehen, welche Risiken und Auswirkungen eine unangemessene Datennutzung nach sich zieht.
Prozesse: Nehmen Sie Ihre Prozesse unter die Lupe: Wie wird die GDPR sie beeinflussen, welche Auswirkungen entstehen und wie können Sie die erforderlichen Änderungen handhaben?
Daten: Steuern und sichern Sie die Qualität Ihrer Daten, beurteilen Sie die vorhandenen Daten sowie ihre Einsatzzwecke und überlegen Sie, wie Sie mit einzelnen Kunden, Klienten oder Dritten interagieren können. Dies ist ganz wesentlich, um die Transparenz und das Vertrauen zu schaffen, die von der GDPR verlangt werden.
Sicherheit: Schutz der grundlegenden Datenschutzrechte (z. B. Schutz der Sicherheit und Vertraulichkeit von personenbezogenen Daten, aber auch angemessene Verwendung, Einwilligung, Auswahloptionen, Zugriff, Korrektur und Löschung, um nur einige zu nennen).
Fazit
Zusammenfassend lässt sich sagen, dass die DSGVO Risiken inkl. möglicher Strafzahlungen für Ihr Unternehmen bringen wird, die Sie aber durch entsprechende Vorbereitung und Umsetzung deutlich reduzieren können. Und die DSGVO bietet Ihnen auch viele Chancen, die Sie aktiv nutzen können. Zum Abschluss ein letztes unkommentiertes Zitat, nämlich Artikel 1 Gegenstand und Ziele der DSGVO:
- Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
- Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
- Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
- DSGVO: Deutsche Version der EU-Verordnung
- Europäischer Rat: Infografik Datenschutzverordnung
- IBM: Die wichtigsten Bereiche der GDPR-Vorbereitung