Internet of Things (IoT) und Big Data

Was bringt der EU-Datenschutz?

Interview mit Holger Stelz, Director Marketing & Business Development bei Uniserv, über das geplante EU-Datenschutzgesetz und deren Auswirkungen auf Internet of Things (IoT) und Big Data

Holger Stelz, Uniserv

Holger Stelz, Director Marketing & Business Development bei Uniserv

IT-DIRECTOR: Herr Stelz, welche Maßnahmen sehen die Verhandlungen rund um das neue EU-Datenschutzgesetz (EU General Data Protection Regulation, GDPR) zur Sicherung der Privatsphäre der Bürger vor?
H. Stelz:
Die aktuellen Verhandlungen zwischen EU-Parlament, Rat und EU-Kommission sehen beispielsweise Maßnahmen bei der Datensparsamkeit vor, und dass Unternehmen eine Informationspflicht haben, wenn sie Daten erheben. Hierzu gehören auch Auskunftsrechte für die Verbraucher, das Recht auf Datenlöschung und auf Datentransportabilität. Außerdem sollen die Datenschutz-Aufsichtsbehörden gestärkt werden und bei Verstößen hohe Bußgelder festsetzbar sein.

IT-DIRECTOR: Welche geplanten Gesetzesinhalte sind in diesem Zusammenhang lobenswert? Welche Inhalte sind stark verbesserungswürdig?
H. Stelz:
Weil die neuen Regelungen einheitlich für Europa gelten, müssen international agierende Unternehmen nicht mehr verschiedene Gesetze im Blick behalten. Trotzdem sehen wir noch deutlichen Verbesserungsbedarf. Beispielsweise ist die Datenportabilität nicht sinnvoll, denn die Pflicht zur Löschung von Daten bei Vertragsunternehmen reicht vollkommen aus. Außerdem ist der Aspekt der Personenbeziehbarkeit nicht klarer geregelt als bisher. Fraglich bleibt etwa, ob die IP-Adresse oder die Personalausweisnummer auch als personenbeziehbar gelten? Darüber hinaus sieht das GDPR keine Datenschutz-Grundprinzipien vor, wenn neue IT-Prozesse eingeführt werden. Es beschreibt lediglich Anforderungen, die aber unserem derzeitigen Wissensstand entsprechen.

Wir würden uns vor allem wünschen, dass die innerbetriebliche Selbstkontrolle gestärkt wird. In diesem Rahmen wäre es einerseits sinnvoll, verpflichtend Datenschutzbeauftragte einzusetzen inklusive Informationspflichten an die Aufsichtsbehörden. Zum anderen sollten Data-Governance-Strategien und Programme gefördert werden. Denn oftmals hapert es daran, dass Mitarbeiter gar nicht wissen, wie sie rechtskonform mit Kundendaten umgehen müssen oder an mangelnden Prozessen. Oft fehlt auch ein Kontrollsystem für den Umgang mit Kundendaten.

IT-DIRECTOR: Welche Regelungen sieht das neue EU-Datenschutzgesetz für den Transfer privater Daten in Drittstaaten vor?
H. Stelz:
Das GDPR sieht vor, dass Betroffene informiert werden, wenn ihre Daten in Drittstaaten verarbeitet werden sollen. Dies umfasst, zu welchem Zweck und über welchen Zeitraum ihre Daten gespeichert werden, die betreffenden Widerspruchsmöglichkeiten, das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht.

IT-DIRECTOR: Welche Sanktionen sind für Verstöße von Unternehmen gegen das neue Datenschutzgesetz vorgesehen? Welche Höchststrafen könnte es geben?
H. Stelz:
Es sind Strafen von 250.000 bis einer Million Euro bzw. zwei Prozent des weltweiten Gesamtumsatzes des Unternehmens vorgesehen. Die Bußgelder können also durchaus schmerzhaft ausfallen. Daher sollten Unternehmen eine Strategie überlegen, wie sie das neue Datenschutzgesetz einhalten können. Denn in der Realität liegen Kundendaten oft auf verschiedenen IT-Systemen, wie ERP, CRM, Support-Ticketing oder E-Mail-Kampagnentools, im ganzen Unternehmen verteilt. Häufig sind die Datenbanken dieser Anwendungen nicht miteinander verlinkt und es handelt sich um eine Vielzahl von heterogenen Datenquellen und verschiedenen Datenstrukturen. Datenredundanzen und Datensilos sind an der Tagesordnung. Nehmen dann Verbraucher ihre Rechte in Anspruch, Daten berichtigen oder löschen zu lassen, kann das Unternehmen meist nicht ausreichend sicherstellen, dass wirklich alle Daten in allen Systemen korrigiert wurden.

Um mit Daten also rechtskonform umgehen zu können, empfehlen wir, Kundenstammdaten zum sogenannten „Golden Record“ zusammenzuführen. Der Golden Record ist gewissermaßen „die Mutter aller Kundendatensätze“, der einzig wahre Datensatz, auf den sich alle operativen Systeme und Anwendungen beziehen. Der Golden Record ermöglicht es also, dass Kundendaten, die berichtigt oder gelöscht werden, auch automatisch in die anderen Systeme des Unternehmens gespielt werden und keine Datenredundanzen entstehen.

IT-DIRECTOR: In den Diskussionen um das neue EU-Datenschutzgesetz geht es u.a. um die sogenannte Datensparsamkeit? Was genau ist damit gemeint?
H. Stelz:
Bei der Datensparsamkeit geht es darum, dass nur die für die Vertragsbeziehung absolut notwendigen Daten erhoben und verarbeitet werden. Das Unternehmen muss zudem die Erforderlichkeit der Datenspeicherung begründen können und Daten, die für den Vertragszweck nicht mehr benötigt werden, unverzüglich löschen.

IT-DIRECTOR: Nicht wenige Kritiker behaupten, dass Datensparsamkeit im Zeitalter von Digitalisierung und „Big Data“ als überholte Methode gilt. Wie schätzen Sie dieses Argument ein?
H. Stelz:
Big-Data-Anwendungen sind auf Basis der in Deutschland geltenden Datenschutzbestimmungen grundsätzlich rechtlich zulässig, wenn sie die Daten ihrer eigenen Kunden mit deren Zustimmung personenbezogen verarbeiten. Weil Unternehmen aber oft nur statistische Erkenntnisse gewinnen möchten, reicht es für datenschutzkonforme Big-Data-Anwendungen meist aus, anonymisierte oder aggregierte Daten zu nutzen.

Es gibt durchaus technische Lösungen, die Big-Data-Analysen unter Beachtung von Anonymisierung und Pseudonymisierung durchführen können. Unternehmen sollten zudem unbedingt darauf achten, dass sie nur Anwendungen implementieren oder weiterentwickeln, die es erlauben, die Rechte der Betroffenen, wie etwa Auskunfts- und Löschungsanspruch, zu erfüllen.

IT-DIRECTOR: Inwieweit sind die im EU-Datenschutz angedachten Maßnahmen der Anonymisierung bzw. Pseudonymisierung wirkungsvolle Instrumente für den Schutz der Privatsphäre?
H. Stelz:
Die Maßnahmen Anonymisierung und Pseudonymisierung gibt es im deutschen Bundesdatenschutzgesetz ja bereits – und richtig umgesetzt, tragen sie zum Schutz der Privatsphäre bei. Die Herausforderung besteht jedoch darin, Unternehmen die richtigen technischen Lösungen an die Hand zu geben, damit diese die Rechte der Verbraucher auch umsetzen können. Bisher haben Unternehmen nämlich große Probleme damit, wann sie Kundendaten löschen müssen und wie sie das technisch überhaupt bewerkstelligen können.

Außerdem haben Unternehmen kaum Benachrichtigungs- oder Monitoring-Systeme, die prüfen, ob gerade große Datenmengen möglicherweise unberechtigterweise verschoben werden. Aus unserer Sicht ist also auch eine Selbstkontrolle der Unternehmen notwendig. Dazu müssten sie eine entsprechende Data-Governance-Strategie aufsetzen. Dies sollte auch von der EU gefördert werden. Denn der Aspekt der Compliance bei Kundendaten wird in vielen Unternehmen unterschätzt. Er kann Diebstahl durch Dritte, Erpressung und Reputationsverlust nach sich ziehen.

Daher ist es sinnvoll, sukzessive ein Compliance-System für Kundendaten einzurichten. Zuerst gilt es, Mitarbeiter darin zu schulen, wie sie mit Kundendaten umgehen sollten. Zweitens müssen entsprechend Rechte vergeben und in Maßnahmen umgesetzt werden, welcher Mitarbeiter auf welche Kundendaten zugreifen darf. Im weiteren, dritten Schritt sollte ein Kontrollsystem aufgebaut werden, das die Einhaltung der Compliance-Vorgaben sicherstellt. In diesem Zusammenhang sollten Unternehmen dann auch sogenannte Schutzbedarfsklassen einrichten. Denn es gibt Daten, die besonders schutzwürdig sind wie etwa Kontodaten.

IT-DIRECTOR: Im Rahmen der Diskussionen steht auch die Idee im Raum, dass Wirtschaftsunternehmen betroffene Nutzer in regelmäßigen Abständen aktiv darüber informieren, welche Daten gesammelt wurden und wie man mit diesen gearbeitet bzw. diese ausgewertet hat – was sozusagen einem regelmäßigen „Kontoauszug des Datenschutzes“ gleichkäme. Was halten Sie von dieser Idee? Inwieweit wäre sie realisierbar? Was würde gegen eine Umsetzung sprechen?
H. Stelz:
Wir haben kürzlich eine Umfrage unter 1.000 Verbrauchern durchgeführt. Die Ergebnisse zeigen, dass vor allem das Bauchgefühl und die Bequemlichkeit der Verbraucher vorherrschen, wenn es um die Durchsetzung ihres Auskunftsanspruches oder weiterer Datenschutzrechte geht. Knapp 24 Prozent der Umfrageteilnehmer halten es für zu umständlich, ihre Datenschutzrechte geltend zu machen. Bisher muss der Verbraucher nämlich eine schriftliche Anfrage an das jeweilige Unternehmen stellen. Die Mehrheit (85 Prozent) der Befragten will aber lieber regelmäßig und vom Unternehmen proaktiv darüber informiert werden, welche Kundendaten dieses über sie gespeichert hat und gefragt werden, ob das Unternehmen ihre Daten auch weiterhin speichern darf.

Ein „Kontoauszug“ würde den Wünschen der Verbraucher zwar einerseits entgegenkommen, doch führt dieses Vorgehen wiederum zu neuen Datensammlungen, der Aufwand ist erheblich hoch. Zudem besteht die besondere Gefahr, dass die „Kontoauszüge“ in Dritthände gelangen, weil uninteressierte Bürger diese Auszüge eventuell nicht ordnungsgemäß entsorgen – ähnlich der Kontoauszüge oder Buchungsbelege vor Jahren, als noch Bankdaten vollständig ausgedruckt wurden.

IT-DIRECTOR: Stichwort „Internet of Things, IoT“: Inwieweit handelt es sich bei den dadurch gesammelten Daten um konkrete Nutzerdaten?
H. Stelz:
Durch die Vernetzung aller Dinge über das IoT sind noch mehr Daten über Kunden in noch kürzerer Zeit aus unterschiedlichsten Quellen verfügbar. Dazu gehören unter anderem Tweets, Posts, RFID-Codes, Sensordaten oder Nachrichten. Unternehmen versprechen sich so, mehr über die Wünsche, Vorlieben und Erfahrungen ihrer Kunden zu erfahren. Gleichzeitig stellt sich die Frage, wann unterliegen personenbeziehbare Daten dem Datenschutz? Aus unserer Sicht, wenn die Personenbeziehbarkeit nur dann angenommen wird, wenn der direkte Vertragspartner diesen Bezug herstellen kann. Aber auch hier kommt wieder das Thema Data Governance ins Spiel. Unternehmen und die EU müssen sich deutlich intensiver als bisher mit den Fragen des Datenschutzes und der Compliance auseinandersetzen. Ein weiterer Aspekt ist das Thema Datenethik. Dabei geht es darum, dass Unternehmen sich freiwillig zu einem verantwortungsvollen Umgang mit Kundendaten verpflichten.

IT-DIRECTOR: Auf welche Weise kann man im Internet of Things überhaupt den Schutz personenbezogener Daten garantieren?
H. Stelz:
Personenbezogene Daten im Internet of Things zu schützen, funktioniert nur über wirksame Anonymisierungsverfahren und wenn der reale Personenbezug vermieden wird. Dies kann aus unserer Sicht nur über technische Systeme sichergestellt werden, weil manuelle Prozesse bei der Verarbeitung von Daten zu fehleranfällig sind.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok