Drei Herausforderungen verschärfen die DSGVO-Problematik

 

Anzeige

NTT, ein Technologie-Dienstleister, rät Unternehmen, ihre DSGVO-Konformität angesichts anstehender Novellierungen und der veränderten Arbeitsbedingungen kritisch zu prüfen.

Anzeige

Ende Mai 2020 jähret sich das Inkrafttreten der DSGVO zum zweiten Mal. Das Thema ist jedoch weitgehend von der Agenda verdrängt worden und spielt in der öffentlichen Aufmerksamkeit eine geringere Rolle. Nach Auffassung von NTT ist diese Situation gefährlich, denn die Aufsichtsbehörden haben angekündigt, weiterhin angemessen gegen DSGVO-Verstöße durchgreifen zu wollen. In der aktuellen Situation müssen sich Unternehmen deshalb drei Herausforderungen stellen.

 

  1. Unzureichende Schutzmechanismen

Nach wie vor erfüllen viele Unternehmen die DSGVO-Vorgaben nicht in vollem Umfang. Häufige Schwachstellen sind der Umgang mit zu löschenden Daten und die Realisierung in komplexen Anwendungs- und Systemlandschaften über die eigenen Unternehmens- und Ländergrenzen hinweg sowie die vielfältigen Anforderungen, die sich aus der Digitalisierung ergeben, wie etwa die immer umfassendere Datenanalyse durch KI und Big Data. Sie bieten deshalb potenzielle Ansatzpunkte für mögliche Prüfungen mit dem Ergebnis schwerwiegender Feststellungen und Unternehmen setzen sich so der Gefahr hoher Strafen aus.

 

  1. DSGVO-Änderungen 2020

Diese unbefriedigende und gefährliche Situation wird durch die Tatsache verschärft, dass noch in diesem Jahr neue oder veränderte Regularien ins Haus stehen. So ist 2020 die erste Evaluation des DSGVO-Gesetzeswerkes durch die EU-Kommission geplant. Zudem ist es angesichts der Diskussionen über mangelnde Zusammenarbeit zwischen den Datenschutzbehörden, nationale Ungleichheiten bei Auslegung und Durchsetzung der DSGVO-Regeln oder den strittigen Umgang mit Digitalkonzernen wie Facebook oder Twitter nicht auszuschließen, dass es zu Änderungen am Gesetzeswerk kommt, die anschließend von den Unternehmen zu realisieren sind.

Anzeige

 

  1. Neue Sicherheitslücken durch Home-Office

Erschwerend kommt aktuell der Umgang mit der Ausnahmesituation dazu. Die rasant wachsende Verbreitung von Home-Office stellt Unternehmen vor neue Herausforderungen, um die DSGVO-Regularien erfüllen zu können. Für den Einsatz der Mitarbeiter am heimischen Arbeitsplatz fehlen häufig DSGVO-konforme Einsatzkonzepte. Die Nutzung von privaten Endgeräten wie Smartphones stellt ebenso ein Sicherheitsrisiko dar wie nur unzureichend gesicherte Zugangsverbindungen. Dazu kommen zu großzügig ausgelegte Zugangs- und Zugriffsrechte, etwa wenn den Mitarbeitern standardmäßig lokale Administratorenrechte zugebilligt werden.

Bei der Lösung dieser Herausforderungen ist das Top-Management ebenso gefordert wie die Informationssicherheitsbeauftragten im Unternehmen und die IT-Spezialisten, die für die sichere technische Umsetzung der rechtlichen Vorgaben verantwortlich sind.

»Die aktuelle Krisensituation verschärft die Bedingungen für die Erfüllung der DSGVO-Normen. Damit besteht auch ein neues Risikopotenzial«, erklärt Eva-Maria Scheiter, Managing Consultant GRC bei NTT Ltd.’s Security Division. »Unternehmen sollten trotz aller ebenfalls bestehenden Herausforderungen das sichere und rechtskonforme Arbeiten nicht aus den Augen verlieren.«

 


Aufklärung in Sachen Datenschutz: Datensammler, ihre Quellen und Gründe

Illustration: Absmeier

»Ich habe nichts zu verbergen« ist eine häufige Argumentation beim Thema Datenschutz. Doch wenn Reisende mehr für einen Flug bezahlen als andere, weil sie aufgrund gesammelter Daten wie dem Wohnort oder dem Beruf als kaufkräftiger eingeschätzt werden, empfinden das viele als ungerecht. Wie, von wem und warum Daten gesammelt werden, erläutert Stefan Wehrhahn, Cyber-Security-Experte bei BullGuard.

Fitnesstracker, Online-Navigation, Suchmaschinen, Social Media, Online-Shopping – kaum ein Schritt bleibt im Alltag unbeobachtet. Nutzer verlieren dadurch leicht den Überblick, welche Daten sie wo preisgegeben haben und was dort mit den Informationen passiert. Hier ein Überblick, an welchen Stellen Daten im Netz gesammelt werden:

 

  • Cookies sind in Websites eingebettete Codes und Bilder, die Daten über die Besucher sammeln. So verschaffen sich Unternehmen über die Zeit ein immer genaueres Bild von jedem Besucher. Cookies sind zum Beispiel auch dafür verantwortlich, dass Werbeanzeigen für zuvor gesuchte Produkte auch auf anderen Websites angezeigt werden.
  • Die IP-Adresse identifiziert eindeutig Sender und Empfänger von Datenpaketen im Internet, ähnlich einer Postadresse. Sie verrät Informationen über den Internetanbieter und den Standort des Rechners. Der Internetanbieter wiederum kann über sie auch den Datenstrom seiner Kunden nachverfolgen.
  • Online-Suchen nach bestimmten Produkten oder Themen werden gespeichert und mit dem Nutzerprofil in Verbindung gebracht.
  • Tracker von Drittanbietern sind auf vielen Websites oder in Apps enthalten. Die Mehrheit der sogenannten App-Analytics-Unternehmen verwendet Tracking für gezielte Werbung, Verhaltensanalysen und Standorttracking.
  • Einen Account oder ein Profil mit persönlichen Informationen fordern manche Anbieter, bevor Kunden ihren Service nutzen oder Inhalte sehen können. Neben Social-Media-Kanälen gehören dazu auch Themenportale, die sich an bestimmte Personengruppe richten, wie etwa werdende Eltern.
  • Persönlichkeitstests, Spiele, Umfragen und Preise versprechen Gewinne und greifen im Gegenzug persönliche Daten ab.
  • Datenanalysen durch Drittanbieter werden von Online- oder auch stationären Händlern in Auftrag gegeben. Sie optimieren damit ihre Werbeaktivitäten. Dafür geben sie ihre gesammelten Kundendaten an diese Datenanalysten weiter.

 

Welche Daten werden gesammelt?

Die sogenannten Datenbroker, also Unternehmen die Daten sammeln, auf- und verkaufen, haben sehr detaillierte Profile von Menschen. Sie haben nicht nur Informationen über deren Alter, Geschlecht, Adresse oder Familienstand, sondern auch über Herkunft, Gewicht, Größe, Bildungsniveau, politische Gesinnung, Vorlieben und Geschmack, Einkaufsgewohnheiten, Urlaubspläne, gesundheitliche Probleme und Krankheiten. Auch Details zu Beruf und Karriere, Konkurs oder Finanzen werden gesammelt. Mitunter gelingt es Datensammlern sogar, die Beziehungen zu anderen nachzuvollziehen und zu dokumentieren. Dann stehen nicht nur die Nutzer selbst, sondern auch deren Freundeskreis und Verwandte im Katalog der Datenbroker.

 

Wer sammelt Daten?

Fast immer besteht hier ein finanzielles Interesse: Unternehmen wollen das Verhalten der eigenen Kunden besser verstehen, um mehr Produkte zu verkaufen. Oder sie wollen die Daten selbst zu Geld machen. Zu den bekannten Datensammlern gehören Google, Facebook, weitere Social-Media-Kanäle oder Messenger. Internetprovider, Online-Händler und sämtliche Anbieter von Produkten oder Dienstleistungen sind ebenso an Daten interessiert wie Versicherungen und Banken. Auch Regierungen sammeln bestimmte persönlichen Informationen, dürfen sie aber nicht weitergeben.

 

Welche Auswirkungen ergeben sich für Nutzer?

Jede einzelne Information für sich gesehen ist uninteressant. Doch wenn verschiedene Daten und Faktoren zusammenkommen, ergibt sich ein detailliertes Bild eines jeden Nutzers, das für Unternehmen wertvoll ist. Hier einige Szenarien, die möglich oder bereits heute Realität sind:

  • Wer des Öfteren teure Hotels oder Flüge gebucht hat, bekommt künftig bei der Online-Buchung immer einen höheren Preis angezeigt, als beispielsweise Kunden ohne Buchungshistorie.
  • Urlaubsportale zeigen Nutzern mit Apple-Rechner höhere Preise an, als denen mit Windows-PC.
  • Die Online-Recherche nach bestimmten Krankheiten wie Herzstörungen oder Diabetes fließt in die Risikobewertung von Versicherungsunternehmen ein.
  • Reisende aus München bezahlen höhere Preise für ihre Flüge als Urlauber aus Leipzig.
  • Kunden von Kreditinstituten zahlen höhere Zinsen, wenn sie aufgrund ihrer Online-Historie als »risikoreich« eingestuft wurden.

Nicht nur die Konsequenzen sind kritisch: In einigen Fällen beruhen diese Klassifizierungen auf zu ungenauen Informationen. Dennoch gibt es keinen einfachen Prozess für die Verbraucher, um auf diese Informationen zuzugreifen, sie zu korrigieren, anzufechten und zu löschen.

 

Wer schützt die Nutzer?

Regulierungen wie die DSGVO tragen zwar dazu bei, dass Datenschutz wieder mehr in den Fokus gerät. Sie stellen etwa Instrumente zur Verfügung, die Unternehmen zur Auskunft über ihre Datenerfassung verpflichtet. Allerdings wälzen einige Unternehmen die Verantwortung wiederum auf die Nutzer ab: Sie fordern dazu auf, eine Datenschutzrichtlinie zu unterschreiben, bevor der Dienst genutzt werden kann. Darin wird darauf hingewiesen, dass die Daten an Dritte, also eventuell auch an Datenbroker, weitergegeben werden. Schließlich ist die Datenerfassung für Unternehmen das eigentliche Geschäftsmodell: Sie bieten ihren Service kostenlos an, die Nutzer »bezahlen« mit ihren Daten. Helfen kann hier ein sogenanntes VPN, ein Virtual Private Network, wie etwa von BullGuard. Es verschleiert die IP-Adresse und übermittelt sämtliche Datenpakete im Netz verschlüsselt. Somit können Datenbroker keine Rückschlüsse auf Personen ziehen. Außerdem können sich Nutzer selbst schützen, indem sie mit persönlichen Informationen sorgfältig umgehen und sich fragen: Rechtfertigt der Komfort tatsächlich die Preisgabe von Daten?

 


40 Artikel zu „DSGVO-Konformität“

Mehr behördliche Zusammenarbeit für mehr erwünschte Effekte bei der DSGVO

Seit über zwei Jahren bietet die Datenschutzgrundverordnung einen globalen Rahmen für den Datenschutz. Allerdings wartet die DSGVO mit einigen Herausforderungen auf. Die sind zum einen mit den Erwartungen an die Verordnung verbunden, zum anderen sind sie im Gesetzgebungsprozess selbst verwurzelt. Praktisch mit Inkrafttreten der DSGVO haben wir Inkonsistenzen bei der Anwendung der Richtlinie beobachtet. Obwohl…

Zwei Jahre DSGVO: Bitkom zieht Bilanz

Berg: »Corona zeigt: Unser bislang gut ausbalanciertes System an Freiheits- und Schutzrechten ist aus den Fugen geraten.« 8 von 10 Unternehmen sehen Datenschutz als größte Hürde für Einsatz neuer Technologien. Seit knapp zwei Jahren gilt die EU-Datenschutz-Grundverordnung. Unternehmen und Organisation haben dadurch u.a. erweiterte Informationspflichten, müssen Verarbeitungsverzeichnisse für Personendaten erstellen sowie Datenschutz schon in Produktionsprozessen…

Medizinisches Personal kann sich mit Gratis-App per Smartphone oder Tablet aus der Ferne gegenseitig helfen

TeamViewer, Anbieter von Remote-Konnektivitätslösungen, stellt Gesundheitseinrichtungen im Kontext der Covid-19-Pandemie seine Augmented-Reality-(AR)-Lösung TeamViewer Pilot kostenlos zur Verfügung. Die intuitiv bedienbare App ermöglicht Echtzeit-Fernunterstützung mittels innovativer AR-Technologie bei pflegerischen, diagnostischen und medizinisch-technischen Tätigkeiten. »Remote-Lösungen können einen Beitrag dazu leisten, das weltweit stark geforderte medizinische Personal zu entlasten und auch dort einzusetzen, wo es persönlich gerade nicht…

Die drei Kernelemente der KI-Revolution im Kundendialog

Marketingstrategien und ihre operative Umsetzung im Kundendialog erleben durch die Einbindung künstlicher Intelligenz aktuell eine fundamentale Umwälzung. Ausgelöst wird dieser Paradigmenwechsel durch den Einsatz von neuen, KI-gestützten Anwendungen. Pegasystems, ein Anbieter von strategischen Softwarelösungen für Vertrieb, Marketing, Service und Operations, zeigt die drei erfolgskritischen Kernpunkte, die bei der Implementierung KI-gestützter Marketingkampagnen berücksichtigt werden müssen.  …

Benachrichtungspflicht und Veröffentlichungspflicht bei Verletzung des Datenschutzes

Die Datenschutzreform 2018 hat eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten eingeführt (Art. 33 Datenschutzgrundverordnung – DSGVO1). Unter bestimmten Voraussetzungen wird diese Meldepflicht um eine Pflicht zur Benachrichtigung betroffener Personen über eine Datenschutzverletzung ergänzt (Art. 34 DSGVO). Diese Vorgaben gelten grundsätzlich für Unternehmen und öffentliche Stellen gleichermaßen. Dabei haben sich die neuen Regelungen in…

Big Data und Marketing-Automatisierungstools: Marketing wird zur Reiseleitung der perfekten Customer Journey

Die Digitalisierung hat die Rolle des Marketings im Unternehmen deutlich verändert. Anstatt einer Konzentration auf die Bewerbung und Bekanntmachung eines Produkts, wird von Marketern heute erwartet, dass sie die Interessenten an jedem Punkt der Customer Journey begleiten und an das Unternehmen binden, um so den Umsatz zu steigern. Um von der rein werblichen Rolle zum…

Großteil deutscher Werbekampagnen weiterhin ohne personalisierte Nutzererfahrungen

Nur 43 Prozent der Werbekampagnen sind personalisiert // Cookie-basierte Werbung wird obsolet // Nationale und internationale Feiertage rücken in den Mittelpunkt.   Deutsche Marketer schätzen, dass weniger als die Hälfte (43 Prozent) ihrer Werbekampagnen personalisierte Inhalte beinhalten – so eine aktuelle Studie von Rakuten Marketing. Das bedeutet, dass es sich beim Großteil weiterhin um Kampagnen…

Effektive Trigger-Mails im Newsletter-Marketing

Sperrmechanismen und Zeitpunkt des Versands sind entscheidend. Trigger-Mails werden anders als traditionelle Newsletter an einzelne Empfänger in der Adressliste versendet – dafür werden Ereignisse und Anlässe, die den Versand auslösen, im Vorfeld definiert. Wegen ihrer starken Personalisierung besitzen Trigger-Mails für den User eine große Relevanz und führen zu einer hohen Klick- und Öffnungsrate. Damit sie…

Das richtige Löschen von Daten ist komplexer als gedacht

Datensicherheit und die STVO haben mehr gemeinsam, als es auf den ersten Blick den Anschein hat. Man glaubt die Verkehrsregeln zu kennen und wird, ehe man sich versieht, von der Verkehrspolizei zur Kasse gebeten. Bei Verstößen gegen die DSGVO verhält es sich ähnlich. Donald Trump zum Beispiel hat die Angewohnheit, Dokumente, die er nicht mehr…

Der Quantencomputer gefährdet schon heute die Sicherheit von Daten

Die nächste IT-Ära lässt noch lange auf sich warten. Dennoch müssen Unternehmen handeln. Wann der Quantencomputer kommerziell zur Verfügung stehen wird, weiß niemand. Unternehmen müssen aber schon heute Vorkehrungen treffen, sonst gefährden sie den Schutz ihrer Daten, warnt die Security Division von NTT.   Es erscheint widersprüchlich: Der Quantencomputer ist unermesslich schnell, steckt aber noch…

Digitalisierungsstrategie: »Wer aktuelle Prozesse 1:1 digital umsetzen will, wird scheitern«

Über die Digitalisierung im deutschen Mittelstand kursieren derzeit etliche graue Theorien. Doch hier geben zwei Experten von Objektkultur Software in Karlsruhe, Christian Dörrer und Uwe Herrmann, einen praxisbezogenen Einblick. Die beiden haben ihre Finger am Puls der mittelständischen Wirtschaft und beantworten aus der Alltagspraxis ihres IT-Beratungshauses, welches Potenzial die Cloud und IoT im Mittelstand haben…

Datenschutzkonformität: Schnell Klarheit zur EU DSGVO mit Self-Assessment

Ein neu entwickeltes, webbasiertes Self-Assessment von TÜV SÜD hilft Unternehmen bei der Einschätzung ihrer aktuellen Datenschutzkonformität gemäß der EU DSGVO. Die Online-Analyse wird ergänzt durch eine kostenlose Erstberatung und einen frei erhältlichen Praxisleitfaden, speziell für kleine und mittelständische Unternehmen (KMU). »Besonders kleine und mittelständische Unternehmen sind oft unsicher, ob sie die Anforderungen der mit Frist…

14,5 Millionen Euro sind erst der Anfang

Mit dem neuen Bußgeldkatalog drohen drastische Strafen bei DSGVO-Verstößen.   Die Berliner Datenschutzbeauftragte hat wegen Verstößen gegen die DSGVO eine hohe Strafzahlung gegen die Deutsche Wohnen SE verhängt. Mit dem neuen Bußgeldkonzept der DSK – der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – wird ein solches massives Durchgreifen der zuständigen Datenschutzstellen wahrscheinlicher,…

Schneller zum Vertragsabschluss: Automatische Dokumentenerzeugung beschleunigt das Recruiting

Um im War for Talents zu bestehen, brauchen Unternehmen digitale Recruiting-Prozesse. Auf Datenebene haben sie diese häufig schon mit einem Bewerbermanagement-System umgesetzt. Bei der Dokumentenerzeugung hinkt die Digitalisierung jedoch noch hinterher. Wer schneller zum Vertragsabschluss kommen will, sollte diese Lücke schleunigst schließen. Günter Apel, Senior Account Manager bei aconso, erklärt, wie das funktioniert.   Geschwindigkeit…

Wie die Digitalisierung im Mittelstand gelingen kann

Es gibt nach wie vor weit verbreitete Bedenken bei Cloud-Transformation und Automatisierung. Fünf Handlungsempfehlungen helfen Unternehmen bei der Planung ihrer Digitalisierungsvorhaben. Der deutsche Mittelstand beschäftigt sich verstärkt mit der Digitalisierung – zu diesem Ergebnis kommt der aktuelle Digitalisierungsbericht Mittelstand von KfW Research [1]. 30 Prozent der Mittelständler haben ihre Digitalisierungsprojekte erfolgreich abgeschlossen. Das heißt jedoch…

CRM und KI: Wie intelligent ist die Kundenbeziehungspflege?

Aktuelle Umfrage zeigt: Das große Interesse an KI und Marketing Automation wird von der Realität der Datensilos eingeholt. Am 19. September 2019 kamen Marketing-, Sales-, IT- und Service-Entscheider beim jährlichen Swiss CRM Forum zusammen, um sich über neueste Trends in der Kundenbeziehungspflege und im Customer Experience Management zu informieren sowie Ideen unter Gleichgesinnten auszutauschen. Das…