Von Dr. Martin Böhn
In wenigen Wochen tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Sie regelt, wie mit personenbezogenen Daten umzugehen ist, wie diese erfasst, gespeichert, genutzt und ausgetauscht werden können und wann sie zu löschen sind. Insbesondere wegen der hohen Strafandrohungen hat das Thema viel Aufmerksamkeit auf sich gezogen – doch noch immer haben viele Unternehmen nicht gehandelt.
Die Regelung ist recht umfassend. Das schreckt viele Organisationen davon ab, sich in der erforderlichen Tiefe damit zu beschäftigen. Unter anderem gibt es Regelungen zu den Anforderungen an eine Einwilligung zur Datennutzung, zur Position des Datenschutzbeauftragten, zur Eingrenzung der Verarbeitungsmöglichkeiten und zur Geltung.
Was ist der Inhalt? Was ist neu?
Wer heute schon eine klare Datenschutzstrategie nach dem Bundesdatenschutzgesetz (BSDG) umgesetzt hat, ist klar im Vorteil. Grundsätze wie die Definition personenbezogener Daten und die Voraussetzungen für die Verarbeitung (Zweckgebundenheit, Einwilligung) bleiben erhalten. Andere Prinzipien werden abgeändert. So wird beispielsweise die Datensparsamkeit durch den Grundsatz der (zweckbezogenen) Datenminimierung abgelöst. Dies umfasst die Sammlung, Analyse und Anwendung von personenbezogenen Daten.
Allerdings wird mit der DSGVO auf verschiedene Änderungen der modernen Wirtschaftswelt reagiert. Übergreifende Standards sollen den (gewollten) Datenaustausch unterstützen, gleichzeitig werden die schützenden Rahmenbedingungen nun breiter aufgestellt. Durch den Geltungsbereich in der EU und das Marktortprinzip (entscheidend ist, wo die Produkte und Dienstleistungen angeboten werden) wird es für den Verbraucher einfacher, seine Rechte abzuschätzen. Auch die Verarbeitung durch Firmen, Datenverarbeitungsdienste und staatliche Institutionen wird (weitestgehend) gleichgestellt. Natürlich gibt es, wie bei jeder Initiative, eine Reihe von Ausnahmen.
Die technischen Möglichkeiten und die Anwendungsfälle für Big Data haben sich ebenfalls in der Verordnung niedergeschlagen. Die Verwendung der Daten zum Profiling wird eingeschränkt. Dies umfasst insbesondere die Ableitung einer Kategorisierung, die gezielte Anreicherung und die Einordnung in bestimmte Maßnahmen – oder eben den Ausschluss von bestimmten Angeboten. Die Personen können nun explizit dem Profiling widersprechen. Die Anforderungen an die Transparenz wurden deutlich erhöht. Außerdem wird das Recht auf Vergessenwerden in Artikel 17 ausdrücklich genannt.
Auch der Komplexität des Themas wird Rechnung getragen. So sind Regelungen über die Bestellung von Datenschutzbeauftragten enthalten, welche sowohl die Erfordernisse zur Bestellung von Datenschutzbeauftragten als auch Mindeststandards ansprechen. Organisatorische Aspekte werden zudem durch Aspekte wie Leitlinien, Schulungen und dokumentierte Prozesse thematisiert.
Wie ist der aktuelle Status? Wie ist der aktuelle Stand?
Viele Unternehmen handhaben die Nutzung personenbezogener Daten allerdings noch vergleichsweise vage. Kontaktdaten von Interessenten werden gespeichert, in Kampagnen genutzt, mit Drittdaten angereichert und mit Partnern geteilt. Das alles erfolgt in der Hoffnung, dass mit den eigenen Angeboten ein Mehrwert für den Kunden entsteht, er die Werbung eher als Information wahrnimmt und die zugeschnittenen Leistungen als einen Vorteil empfindet.
Trotz der langen Diskussion in den Gremien und der ebenfalls umfangreichen öffentlichen Debatte sind verschiedene Punkte noch nicht klargestellt. So wird im Gegensatz zum bisherigen BDSG beispielsweise keine schriftliche Einwilligungserklärung mehr gefordert, wenn eine stillschweigende Einwilligungserklärung unter bestimmten Voraussetzungen ausreichend ist. Allerdings muss dies nachgewiesen werden können, weshalb die Schriftform nach aktuellem Kenntnisstand die sichere Alternative ist. Wie also genau gehandelt werden kann und gehandelt werden muss, werden auch hier zukünftige Urteile zeigen.
Was kann passieren?
Das scheint aktuell so ziemlich der einzige Aspekt zu sein, über den wirklich viel gesprochen wird. Das maximale Bußgeld wurde deutlich erhöht von bisher 300.000 € (BDSG) auf bis zu 20 Million € oder vier Prozent des weltweiten Jahresumsatzes (nicht: Gewinn!) (DSGVO).
Wann genau aber dieser Rahmen ausgeschöpft wird, also die Anwendung dieser Regelungen, ist aber noch nicht genau spezifiziert. Dies kann aber kein Grund sein, sich nicht mit dem Thema zu beschäftigen. Denn „einen trifft es immer als ersten“ und auch schon deutlich kleinere Beträge als die oben genannten Summen sind bei vielen Unternehmen geeignet, das Jahresergebnis deutlich zu beeinflussen.
Was ist zu tun?
Die eigenen Datenbestände und deren Nutzung sind kritisch zu prüfen. Neben der reinen Entsprechung der DSGVO sollte hierbei auch Folgendes beachtet werden:
- In welchem Kontext wurden selbst Daten erhoben?
- Wo wurden Daten von Dritten eingekauft? Wo wurden oder werden diese verwendet?
- Wie ist es um die Qualität der Daten bestellt? Welche Attribute haben die Datensätze, wie aktuell sind diese?
- Welche Analysen werden mit diesen Daten durchgeführt?
- Welche Aktionen werden durch diese ausgelöst oder gesteuert?
Zudem muss auch das eigene Handeln hinterfragt werden:
- Welche Daten und welche Analysen werden wirklich benötigt?
- Welche Kampagnen bieten welchen echten Mehrwert für einen Kunden?
- Wer konzipiert heute die Verarbeitung der Daten? Wer ist operativ mit der Sammlung und insbesondere der Analyse beschäftigt? Und wer kontrolliert diese Prozesse?
Die Betrachtung sollte auch auf mehreren Ebenen erfolgen: Strategie, Nutzung und Technologie. Die DSGVO nennt Data Protection By Design (genutzte Technologie) und Data Protection By Default (Struktur und Parameter der Datenverarbeitung), also wie Werkzeuge bereits so ausgewählt und konzipiert werden können, dass das Risiko im späteren Einsatz minimiert wird.
Welche Potenziale gibt es?
Jedes Projekt und jeder äußere Druck, welcher die Unternehmen dazu veranlasst, sich mit den eigenen Datenbeständen zu befassen, kann enorme Potenziale freisetzen. Der Aspekt der Zweckgebundenheit zwingt dazu, sich über die eigenen Maßnahmen und die Verknüpfung von Kommunikation, Produkten/Leistungen und Kundennutzen zueinander Gedanken zu machen. Sammlung, Analyse und Verarbeitung müssen einem klar definierbaren Zweck dienen. Customer Journey und Customer Experience fokussieren den Mehrwert für den Kunden, sodass die verschiedenen Aspekte ineinandergreifen. Der Kunde soll also überzeugt und nicht durch eine Masse von Werbung „weichgekocht“ werden.
Zudem ist der Aspekt der Datenqualität zu beachten. Welche Daten sind für die eigenen Zwecke wirklich relevant und wie gut sind die (teilweise recht wahllos) gesammelten eigenen Datenbestände wirklich? Eine durch die DSGVO gestartete Kampagne kann hier auch zum Auffinden und Entfernen der „Dateileichen“ führen.
Es muss gehandelt werden!
Egal ob Sie aus Sicht der BI-Abteilung, des CRM-Teams oder des Managements auf das Thema schauen – die weitreichenden Konsequenzen zwingen zum Handeln. Aber auch hier gilt: Wenn man sich schon mit den Daten und deren Nutzung beschäftigen muss, dann sollte man auch auf die Nutzung der Potenziale für die eigene Organisation achten. Die Devise lautet: Handeln – aber richtig!
BARC hilft Ihnen gerne weiter
Hat Sie dieser Beitrag neugierig gemacht? Dann empfehlen wir Ihnen unsere Research Note zu diesem Thema. Zudem stehen wir Ihnen gerne für konkrete Fragen und Workshops zur Verfügung. Hier geht es zu unseren Beratungsleistungen.