Der Datenschutz muss in digitale Produkte eingebaut sein

Digitale Revolution. Big Data. Industrie 4.0. Schlagwörter in einem neuen Zeitalter, die Gewicht haben. IT-Systeme, Mensch und Maschine verschmelzen immer mehr entlang der Wertschöpfungskette. Crisp Research geht davon aus, dass bis zum Jahr 2025 nahezu 30 Milliarden Geräte miteinander vernetzt sind.

Daraus resultiert ein gewaltiger Datenberg, welcher auf der einen Seite einen enormen wirtschaftlichen Nutzen mit sich bringt und in den kommenden Jahren für Unternehmen der Erfolgsfaktor schlechthin sein wird. Daten werden zunehmend zum Rohstoff und haben immer mehr Gewicht in der Entscheidungsfindung im operativen sowie im strategischen Bereich.

Allerdings stellt sich auf der anderen Seite die Frage, ob wir unsere Daten noch selber kontrollieren und steuern können. Maschinen übernehmen auf Basis von Machine Learning und Artificial Intelligence immer mehr Verantwortung. Die Global-Player der Branche haben allein in 2015 mehr als 10 Milliarden US-Dollar in die Fertigung und Entwicklung in datengetriebene und automatisierte Systeme investiert [1]. Intelligente Maschinen werden vor allem im Finanzwesen, in der produzierenden Industrie, im Dienstleistungssektor und im Gesundheitswesen eingesetzt.

Den Chancen stehen auch Pflichten gegenüber.

Unternehmen sollten bei aktuellen Datenverarbeitungsprozessen und bei der Neueinführung von IT-Systemen auf den Anpassungsbedarf der EU-Datenschutzgrundverordnung achten. Dabei erstreckt sich das Themengebiet des Datenschutzes beziehungsweise des Internetrechts über eine Vielzahl an unterschiedlichen Szenarien wie Cloud Computing, Enterprise Mobility, vernetzter Hardware & IoT, Bonitätsprüfung, bis hin zu verschiedenen Compliance-Themen. Daher kommen auch gerade im Zuge der neuen EU-Datenschutzgrundverordnung viele Fragen für Unternehmen auf. Die neue einheitliche Verordnung (EU-DSGVO) wurde am 14. April 2016 durch das EU-Parlament beschlossen und am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung ist am 25.05.2016 in Kraft getreten. Allerdings ist sie erst ab dem 25. Mai 2018 anwendbar und löst erst dann die einzelstaatlichen Datenschutzregelungen und die bisherige europäische Datenschutzrichtlinie (EG-DSRl) ab.

Die neue Datenschutzverordnung bedeutet weitaus mehr, als nur die Einhaltung von gesetzlichen Normen. Denn in vielen Unternehmen laufen derzeit die Digitalisierungsbemühungen und der Datenschutz nicht synchron, sondern fahren wie zwei Schnellzüge auf dem gleichen Gleis aufeinander zu.

grafik-crisp-digitale-transformation-eu-dsgvo

Foto: Crisp

Daher sollten sich Unternehmenslenker die Frage stellen, wie man schon heute ein stabiles Fundament für einen soliden Datenschutz schaffen kann, um die potenziell drastischen Strafen zu vermeiden und die neuen digitalen Geschäftsmodelle vorausschauend »Datenschutz-ready« zu machen.

Grundprinzipien des Datenschutzes – Wem gehören Daten und wer darf Sie nutzen?

Spracherkennung, Messenger-Dienste und Cookies sind nur wenige Beispiele, bei denen der Mensch seine Spuren im Netz hinterlässt. Big Data und Analytics-Tools rücken immer mehr in den Fokus der Unternehmen. Daten sind nicht einfach mehr Daten, sie sind mittlerweile zu einem wichtigen Produkt gereift und der Datenberg wird zunehmend größer. Daher hat der Gesetzgeber bei personenbezogen Daten schon klar definiert, wann, wie und ob Daten erhoben, gespeichert und verwendet werden dürfen. Doch wann ist das der Fall? In welchem Rahmen dürfen personenbezogene Daten, zum Beispiel von Kunden oder Mitbewerbern, genutzt und zur Entscheidungsfindung herangezogen werden und was ändert sich durch die EU-Datenschutzgrundverordnung?

Mit der Einführung der EU-DSGVO wird der Datenschutz in Europa harmonisiert. Neben den altbekannten Pflichten kommen auch neue Pflichten für Unternehmen im Bereich Datenschutz hinzu. Generell muss bei der Nutzung von personenbezogenen Daten sichergestellt sein, dass von Unternehmensseite die Daten weder verloren gehen, zerstört oder verfälscht werden. Aber vor allem gilt das Verbot mit Erlaubnisvorbehalt (Art.6 EU-DSGVO).

Bei dem Verbot mit Erlaubnisvorbehalt muss grundsätzlich eine Einwilligung der betroffenen Person, deren Daten erhoben und verwendet werden, vorliegen. Falls keine Einwilligung vorliegt, muss eine Rechtsvorschrift einschlägig sein, die einem Unternehmen erlaubt, personenbezogene Daten zu nutzen. Daraus resultiert, dass Unternehmen nicht mehr ohne weiteres an Daten von Personen herankommen.

Relevante Rechtsvorschriften werden auch im Bundesdatenschutzgesetz und im Telekommunikations-und Multimediarecht definiert. Laut lex specialis (spezielles Gesetz, vor allgemeinem Gesetz) muss zuerst das Telekommunikations-und Multimediarecht angewendet werden. Dabei muss es sich bei dem jeweiligen Unternehmen, welches Daten erhebt, entweder um einen Telekommunikationsanbieter, Telemedienanbieter oder Rundfunk-Unternehmen handeln. Falls keine Rechtsvorschrift aus dem Telemedienrecht einschlägig ist, kommt das Bundesdatenschutzgesetz zum Tragen. Da letztendlich nicht pauschal alle Fälle über einen Kamm geschert werden können, kommt es immer auf den Einzelfall an, welche Norm einschlägig ist.

Auch weitere datenschutzrechtliche Grundprinzipien werden im Kern der neuen EU-Datenschutzgrundverordnung (General Data Protection Regulation – GDPR) definiert: »Datenvermeidung und Datensparsamkeit«, »Richtigkeit«, »Vertraulichkeit« der »Zweckbindung« und der »Transparenz«.

In einer Welt, in der datengetriebene Geschäftsmodelle zunehmend an Bedeutung gewinnen, sind Unternehmen mit einem hohen Datenfluss im Rahmen der EU-DSGVO zur Datenschutz-Folgeabschätzung und zur Meldepflicht bei der EU-Aufsichtsbehörde verpflichtet. Die Datenschutz-Folgeabschätzung ist für Unternehmen dann anzuwenden, wenn die Datenverarbeitung ein hohes Risiko der Verletzung verursachen kann, insbesondere bei neuen IT-Systemen oder Technologien (Art.33-35 DSGVO). Zwar genügt schon ein »berechtigtes Interesse« der Unternehmen, welches de facto bedeutet, dass eine geringere Hürde besteht, um Daten erheben zu dürfen. Allerdings unterliegen Unternehmen neben der EU-Verordnung darüber hinaus auch den üblichen Gepflogenheiten der jeweiligen nationalen Datenschutz-Aufsicht (Art. 4 DSGVO), je nachdem in welchem Land die Daten erhoben werden. Mit der neuen Verordnung muss aber auch nach Art.37-39 ein Datenschutzbeauftragter im Unternehmen bestellt werden. Und darin wird für Unternehmen in den kommenden Jahren viel Arbeit stecken. Die Kommunikationshürde zwischen Datenschutzbeauftragtem und Geschäftsführung gilt es dann zu schließen. Die Prozesse zur Transparenz und die Befugnisse müssen etabliert werden.

Skalenertrag – Stellenwert digitaler Produkte und Services im Unternehmen

Unternehmen haben eine hohe Erwartung und eine fokussierte Planung hinsichtlich des Umsatz- und Wachstumsbeitrages digitaler Produkte, Geschäftsmodelle und Services.

grafik-crisp-digitale-transformation-umsatzanteil-digitales

Denn Unternehmen setzen zunehmend auf digitale Erträge. Digitale Güter und Services sind der Wachstumstreiber bei den globalen Industriekonzernen. Aus einer Befragung von Crisp Research geht hervor, dass mehr als zwei Drittel der befragten Unternehmen einen Umsatzanteil mit digitalen Gütern und Geschäftsfeldern von mehr als 10 % erwarten. Knapp ein Fünftel der Entscheider plant sogar mit über 20 Prozent an digitalen Erlösen im Jahr 2020.

Dazu zu zählen vor allem digitale Lösungen und digitale Services wie Software- und datenbasierte Produkte, die neben Online-Absatz als eigener Service oder Produkt-Add-On angeboten werden. Dieser Trend spiegelt sich gut bei den globalen Industriegiganten wie ABB, Bosch, Continental, GE und Siemens wider. (https://www.crisp-research.com/industry-first-wer-dominiert-den-it-markt-2025-industriekonzerne-gegen-internet-giganten/) Neben den traditionellen Erträgen aus dem Kerngeschäft, konzentrieren sich diese Unternehmen zunehmend auf den Ausbau digitaler Lösungen. Im Zuge dieser Entwicklung, steigt vor allem auch der Datenfluss innerhalb der Unternehmen sowie über Unternehmensgrenzen hinweg.

Datenschutz versus Digitalisierung? – Oder als fester Bestandteil digitaler Lösungen und Produkte?

Dabei sollte den Unternehmen, die große Datenströme und Datenvolumina managen und in vielen Einsatzbereichen auf neue digitale Technologien setzen, bewusst sein, dass bei deren Verwendung vor allem ein institutionalisierter und automatisierter Datenschutz von großer Wichtigkeit ist. Denn nur wenn der Datenschutz »built-in« und somit integrierter Lösungs- und Servicebestandteil ist, können sich Unternehmen vor drohenden Sanktionen schützen und langfristig das Vertrauen und die Bindung zu ihren Kunden aufrechterhalten. Mit der neuen EU-Datenschutzverordnung können Strafen bis zu 4 % des Jahresumsatzes verhängt werden – eine echte Gefahr im digitalen Zeitalter, sofern die Nachvollziehbarkeit der Datenströme und die Transparenz der IT-Systeme nicht gewährleistet ist. Hier besteht in vielen Unternehmen dringender Handlungsbedarf.

grafik-crisp-umsatzanteil-digitales-top-100-unternehmen-de

Auf Basis der Studienergebnisse und Einschätzungen der Entscheider zum Umsatzanteil digitaler Produkte und Dienstleistungen im Jahr 2020, werden zu diesem Zeitpunkt die TOP-100-Unternehmen in Deutschland rund 400 Milliarden Euro Digitalumsatz erwirtschaften. Sollten Datenschutzprobleme nicht gelöst werden, stehen diese Erlöse im Risiko.

Datenschutz als Voraussetzung für den Erfolgsfaktor »digitale Transformation«

Viele Unternehmen unterschätzen den Aufwand und die Bedeutung des Datenschutzes noch. Dieser wird vielfach noch als unnötiger Kostenfaktor gesehen. Durch zahlreiche Datenschutzvorfälle in der Vergangenheit, rückt diese Thematik doch auch immer mehr in den Blickpunkt der Öffentlichkeit. Jetzt sollten die richtigen Akzente und Schritte im Zuge der Datenschutzgrundverordnung eingeleitet werden. Denn warten bis Ende 2017, Anfang 2018 wird Unternehmen teuer zu stehen kommen.

Nun gilt es mit der Einführung der EU-Datenschutzgrundverordnung auch im eigenen Unternehmen Datenschutzlücken zu schließen. Es werden nun deutlich empfindlichere Strafen und strengerer Regelungen aufgesetzt. Damit Unternehmen diesen Strafen und Sanktionen aus dem Weg gehen können, muss in dem kommenden Jahr zügig ein Fundament geschaffen werden.

  • Neuer Mindset: Datenschutz als Teil des digitalen Product Values (Datenschutz als Teil der digitalen Lösung – nicht Teil des Problems)
  • Transparenz zur IT-Landschaft schaffen (Enterprise Architecture Management)
  • Nachvollziehbarkeit der Datenströme sicherstellen
  • Datenlenkung nur über klar definierte und gesicherte APIs
  • Zusammenarbeit nur mit vertrauenswürdigen und zertifizierten Cloud-Providern (Schatten-IT aufdecken)
  • Rolle des Datenschutzbeauftragten stärken und »richtig« besetzen (muss auch der Innovation und nicht nur den juristischen Aspekten verpflichtet sein)
  • Regelmäßige Datenschutzberichte in der Geschäftsführung kommunizieren
  • Vorabkontrollen
  • Schulungen für Mitarbeiter, um Fehlverhalten und Risiken zu minimieren

Jan Mentel, Crisp Research

[1] https://www.crisp-research.com/enterprise-mobility-techstack-2025-worauf-sich-cios-schon-heute-einstellen-mussen/

2017: Digital Business, Personalization und Datenschutz sind Top-Trends

IT-Sicherheitstrends 2017: Datenschutz ist für die Wirtschaft am wichtigsten

Neues Leistungszentrum für Cybersicherheit und Datenschutz

Bewusstsein für Datenschutz und Sicherheit im Mittelstand

Datenschutz: Ist ein deutscher Serverstandort allein vertrauensbildend?

Deutsche setzen weltweit am stärksten auf Datenschutz

Unternehmen sind schlecht auf die neue EU-Datenschutz-Grundverordnung vorbereitet

Studie: EU-Datenschutz-Grundverordnung verfehlt alle Ziele

Datenschutz: Tricks zur Totalüberwachung öffnen weltweitem Datenabfluss Tür und Tor

Datenschutz ist (nicht) Chefsache

Die europäische Datenschutz-Grundverordnung: Auswirkungen für Unternehmen

Datenschutz-Grundverordnung: Die vier häufigsten Missverständnisse unter Cloudnutzern

EU-Datenschutz-Grundverordnung: Das ist jetzt zu tun

Privacy Shield – investieren Sie in den Datenschutz

Prüfen, sperren, löschen – datenschutzkonforme Datenträgervernichtung

Weitere Artikel zu