Datenschutz: Freude der Verbraucher – Panik in den Unternehmen?
Mehr Rechte und Schutz für Nutzer, strengere Richtlinien und höhere Geldstrafen bei Verstößen. Das Bundesdatenschutzgesetz wird von der europaweiten Datenschutzgrundverordnung abgelöst. Hintergründe, Informationen und Tipps …
Facebook und der Datenskandal
Der aktuellste Datenskandal um Facebook und Cambridge Analytica heizt pünktlich zum Inkrafttreten der neuen EU-Datenschutzgrundverordnung die Debatten um Datenschutz an. Vor vier Jahren wurden durch den Entwickler einer App Informationen von Facebookprofilen an das Datenanalyse-Unternehmen Cambridge Analytica weitergeleitet. Es wird vermutet, dass diese unter anderem für Wahlwerbung im US-Wahlkampf sowie zur Beeinflussung der Brexit-Entscheidung genutzt wurden. Nach eigenen Angaben habe Cambridge Analytica Daten von circa 30 Millionen Profilen erhalten, darunter auch von zahlreichen deutschen Nutzern. Der Facebook-Chef Mark Zuckerberg gerät in Bedrängnis: Er wusste seit Ende 2015 von der Weitergabe, prüfte die geforderte Löschung der Daten allerdings nicht. Zuckerberg verspricht nun strengere Richtlinien zum Schutz von Nutzerdaten. Hierzu soll beispielsweise der externe Zugriff von Apps auf die Profile der Nutzer eingeschränkt werden. Apps wie Tinder, auf denen die Nutzer sich mit ihren Facebookprofilen registrieren können, erhielten so bislang umfangreiche Informationen über ihre Nutzer. Proteste und Aktionen, wie #deletefacebook, als Reaktion auf die Datenweitergabe könnten finanzielle Auswirkungen auf das Unternehmen haben. Großunternehmer Elon Musk setzt ein Zeichen und lässt die Facebookseiten seiner Firmen Tesla und SpaceX entfernen. Der Aufschrei ist groß, viele Nutzer sind besorgt. Doch die eigentliche Frage lautet: Gehört die Nutzung und Analyse solcher Daten nicht längst zu unserem Alltag?
Datenanalyse im digitalen Marketing
Die Analyse von Daten bringt einige Vorteile für Unternehmen: die Verarbeitung von Nutzerdaten und „Mikro-Targeting“ ermöglichen das Erfassen von Zielgruppen und somit beispielsweise das gezielte Schalten von Werbeanzeigen. Das einfachste Beispiel: Sie suchen in einem Online-Shop nach Sportschuhen und erhalten im Nachhinein Werbeanzeigen zu ähnlichen Produkten. Auch die Stärkung der Kundenbindung wird über die gezielte Nutzung von Kundendaten erleichtert: mithilfe der E-Mail-Adressen Ihrer Bestandskunden ist es möglich, diese gezielten Angebote auszusenden oder einen E-Mail-Newsletter mit Informationen zuzuschicken. E-Mail-Marketing, Trendanalysen oder maßgeschneiderte Marketing-Kampagnen: die gezielte Nutzung von Daten birgt viele Möglichkeiten. Doch was ist erlaubt, was nicht? Welche Daten dürfen wie gespeichert werden? Auf welchem Weg werden die Daten übermittelt?
Neben Vorteilen bringt also die Nutzung von Daten auch eine größere Verantwortung im Umgang damit mit sich. Dies hat sich auch die Europäische Union zu Herzen genommen: am 25. Mai 2018 endet eine zweijährige Übergangsfrist und die neue Datenschutzgrundverordnung tritt mit voller Wirkung in Kraft.
Die neue Datenschutzgrundverordnung
Um auf unsere Frage am Anfang zurückzukommen: Datenanalyse und –Nutzung gehören in der digitalisierten Wirtschaftswelt definitiv zum Alltagsgeschäft. Wenn Sie soziale Medien oder Apps auf Ihrem Smartphone nutzen, werden Ihre Daten meist ausgewertet und – im Rahmen des Rechts – weiterverarbeitet. Aus diesem Grund tritt nun auch die bereits vor zwei Jahren von der Europäischen Union beschlossene DSGVO vollends in Kraft. Ziel ist es, einen umfangreicheren Schutz personenbezogener Daten zu erreichen. Bis zum 25. Mai 2018 müssen alle Unternehmen, deren Angebote Nutzer in Europa erreichen, Ihre Datenschutzvorkehrungen auf den neuesten Stand gebracht haben. Im Falle von Verstößen werden die Geldbußen von bisher maximal 300.000 Euro auf eine Höchststrafe von 20 Millionen Euro bzw. 4 % des weltweiten Umsatzes erhöht. Außerdem sind Verstöße gegen Datenschutzrichtlinien (ob durch technische Pannen oder mutmaßlich verursacht) den Datenschutzbehörden innerhalb von 72 Stunden zu melden. Klingt erst einmal angsteinflößend? Mit dieser Ansicht sind Sie nicht alleine! Etliche Unternehmer befürchten hohe Strafen oder Abmahnungen aus Unsicherheit darüber, was genau von ihnen verlangt wird. Doch keine Sorge: Schritt für Schritt klingt alles nur noch halb so bedrohlich.
Personenbezogene Daten
Datenschutzgrundverordnung. Schon das Wort wirkt sperrig: Was verbirgt sich dahinter genau? Die Datenschutzgrundverordnung regelt, zu welchem Zweck Daten gesammelt, gespeichert, genutzt und weiterverarbeitet werden dürfen. Es handelt sich hierbei um den Schutz „personenbezogener Daten“. Und was sind personenbezogene Daten? Es handelt sich um Daten, die auf Rückschlüsse auf eine bestimmte Person zulassen, sprich Name, die E-Mail-Adresse oder Postanschrift, das Geburtsdatum oder charakterliche Merkmale. Anzumerken ist, dass es sich hierbei um eine natürliche Person handeln muss, also nicht um ein Unternehmen. Außerdem geht es nicht nur um Kundendaten, sondern ebenfalls um die Daten von Geschäftspartnern, Zulieferern oder Mitarbeitern – sofern diese Daten Informationen zu natürlichen Personen betreffen. Die allgemeine Firmenadresse der Geschäftsstelle meines Zulieferers fällt somit nicht unter personenbezogene Daten, die E-Mail-Adresse eines Mitarbeiters der Firma jedoch schon! Es gilt: Je sensibler diese Daten sind, desto mehr Verpflichtungen treffen das Unternehmen. Gesundheitliche Informationen, die ein Arzt über einen Patienten verfügt, werden zum Beispiel als sensibler eingestuft als die Postanschrift eines Kunden, die benötigt wird, um die Lieferung der Ware zu gewährleisten. Das Unternehmen muss ebenfalls dafür Sorge tragen, dass keine unerlaubten Zugriffe auf die gespeicherten Daten möglich sind. Dementsprechend gilt es also auch, die IT-Sicherheitsvorkehrungen dem aktuellen Stand der technischen Möglichkeiten anzupassen und besonders bei sensiblen Daten auf strengere Sicherheitsmaßnahmen zu achten.
Rechenschafts-, Informations- und Dokumentationspflichten
Nicht nur mehr Schutz im Sinne strengerer Vorschriften: die neue DSGVO bringt auch erweiterte Auskunftsrechte für Verbraucher mit sich. Ein Unternehmen muss künftig in der Lage sein, seinen Kunden, Partnern und auch seinen Mitarbeiten Rechenschaft darüber abzulegen, welche Daten es von ihm gespeichert hat. Selbstverständlich kann der Betroffene auch die Löschung der Daten fordern. Stichwort Transparenz: Welche Informationen sind, wo über mich vorhanden? Und wie werden diese Daten genutzt? Der Anspruch auf eine datenschutzrechtliche Selbstauskunft steht jedem EU-Bürger ab sofort zu, Unternehmen sind verpflichtet auf eine solche Anfrage innerhalb von 4 Wochen mit entsprechenden Informationen zu reagieren. Um dies zu ermöglichen und auch um einer weiteren Richtlinie der neuen Verordnung gerecht zu werden, müssen umfangreiche Datenverarbeitungsprotokolle angelegt werden. Alle datenbezogenen Prozesse unterliegen einer Dokumentationspflicht. Selbst aus welchem Grund eine bestimmte Maßnahme zum Datenschutz verwendet wird, muss künftig protokolliert werden. Das hört sich nach viel Arbeit an. Zu Beginn ist das sicher auch zutreffend, dennoch ist die Dokumentation der Prozesse durchaus zu unserem Vorteil. Übersichtlichkeit und Transparenz sind gewahrt und bei auftretenden Problemen, können die vorherigen Prozessschritte direkt nachvollzogen werden.
Die Umstellung auf die neue Datenschutzgrundverordnung
Wichtige Fragen zum Thema Datenschutz, die du dir stellen solltest:
- Welche Daten dürfen gespeichert werden?
- Wie müssen diese gespeichert werden?
- Zu welchem Zweck dürfen die Daten verwendet werden?
- Wann muss was gelöscht werden?
- Welche Einwilligungen, Erklärungen oder Hinweise sind nötig?
- Brauche ich einen Datenschutzbeauftragten?
Worauf kommt es also an beim Datenschutz?
Im Gesamten hat die Datenschutzgrundverordnung den umfassenderen Schutz personenbezogener Daten zum Ziel. Was sind die Grundprinzipien und Grundüberlegungen?
- Zweckbindung der Datennutzung und –Speicherung
- Datensparsamkeit
- Kenntnis von Archivierungsfristen
- Vertraulichkeit und IT-Sicherheit
- Rechenschafts-, Informations- und Dokumentationspflicht