Der 25. Mai kam und ging und die Welt dreht sich – überraschenderweise – weiter. An diesem Tag trat die EU-Datenschutzgrundverordnung, auch liebevoll DSGVO genannt, in Kraft und man bekam den Eindruck, dass viele Firmen den Datenschutz wie einen heranrasenden ICE-Zug zu spät bemerkt hatten. Nun wurden die Gleise extrem hektisch von Hindernissen freigeräumt und das geschah durch E-Mails mit, zum Teil, diametral entgegengesetzten Inhalten. Die einen drohten bei Nichtbeachtung damit, überhaupt keine Informationen mehr zu schicken, die anderen drohten bei Nichtbeachtung erst recht Informationen auszukippen, weil man stillschweigend eingewilligt hat (was eigentlich in der DSGVO nicht vorgesehen ist).
So weit so gut, die DSGVO erzwingt nun mal den Kontakt zum Data Subject, von daher waren die E-Mails kaum vermeidbar. Allerdings passt der ICE-Vergleich auch noch in einer weiteren Hinsicht: Einmal vorbeigerast, kann man die Rücklichter noch für ein paar Minuten sehen, dann ist alles wieder wie vorher. Und genau diesen Eindruck erwecken viele Unternehmen. E-Mails rausgeschickt, Datenschutzhinweis angepasst, zurück zum Alltag. Doch das war nicht der Sinn der DSGVO. Natürlich kann man über deren Umfang und Interpretationsspielraum sehr geteilter Meinung sein. Die grundsätzliche Idee ist aber in der heutigen Zeit absolut sinnvoll: Dass die Data Controller mit wachem Auge und selbstkritisch überlegen, ob sie das, was sie so alles von ihren Data Subjects speichern, wirklich brauchen. Und dann möglichst viel aussondern, damit sie nicht zu Datenfriedhöfen werden, in denen (virtuell) tonnenweise Informationen ungenutzt auf immer und ewig vor sich hinschlummern. Der einzige, der davon profitiert, ist der Hacker, der die Daten erbeutet und sie an den Meistbietenden verkaufen kann.
Und damit sind wir schon wieder in der Diskussion der Auswirkungen, die ein ungezähmter Umgang mit Daten nach sich ziehen kann. Ob nun der Hacker die Informationen stiehlt und verkauft oder ein interessierter fremder Nationalstaat eine Art illegaler Volkszählung durchführt oder ob ein Unternehmen selbst – Stichwort Cambridge Analytics – den rohen Datenschatz einem ungeplanten Zweck zuführt, ist eigentlich egal. Fakt ist, dass alles was möglich ist, früher oder später getan wird, einschließlich Missbrauch von Daten. Der wirkungsvollste Weg das zu verhindern ist Datensparsamkeit oder, als zweitbeste Variante, die Kontrolle über seinen Datensatz zu behalten und die Löschung zu fordern. Da können Regierungsvertreter noch so sehr das Bild der zerbröselnden Industrie 4.0 Hallen beschwören – Datensparsamkeit ist notwendig, denn wie jeder beliebige Monat zeigt, sind staatliche und private Organisationen nicht Willens oder in der Lage die ihnen anvertrauten Daten zu schützen.
Die EU-DSGVO mag eine Zumutung sein und für viele Blogger und Kleinstfirmen zu weit gehen, doch es ist eine notwendige Zumutung. Alle, wirklich alle marktbeherrschenden Unternehmen bauen heute auf den Nutzerdaten als wertvollstem Rohstoff auf. Nicht umsonst sind Data Analytics und Big Data die großen Hype- und Wachstumsthemen in den Unternehmen. Zukünftige Geschäftsmodelle sind durchweg datenzentrisch, ob Versicherungspolicen, e-Commerce Preisgestaltung oder Shared-Mobility-Angebote. Das muss nicht per se schlecht sein, aber bislang konnte ein Kunde selbst bestimmen, ob er ein Angebot wahrnimmt oder nicht. Wer sich vorher gläsern gemacht hat, ob absichtlich oder unabsichtlich und diese Daten nicht mehr einfangen kann, muss unter Umständen die Angebote wahrnehmen die er bekommt, weil er keine Alternativen hat.
Um wieder zum Thema zurück zu finden: Datenschutz und Informationssicherheit wurden in der Vergangenheit, trotz thematischer Berührungspunkte, faktisch oft getrennt behandelt. Mit der DSGVO, die im Grunde genommen eine Prozessoptimierung und -Dokumentation verlangt, besteht die Chance, beide Themen im Rahmen des Informationsmanagementsystems (ISMS) zusammenzuführen. Datenschutz ist nicht gleich Informationssicherheit aber ohne Informationssicherheit gibt es keinen Datenschutz. Höchste Zeit beide Aspekte an einen Tisch zu holen und Nutzeffekte für Data Subjects und Data Controller zu generieren.
Das könnte Sie auch interessieren:
NCP-Talk mit Julia - unsere neue Kollegin im Marketing
Erzähl uns ein bisschen von Dir: In meiner beruflichen Laufbahn als Referentin und Projektleiterin konnte ich viele verschiedene Einblicke in die Kundenbetreuung, die Optimierung von Prozessabläufen und das Projektmanagement in verschiedensten Bereichen sammeln. Ich bin ...
Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
