17.01.2018 Vorsicht vor Datenkraken

Persönliche Daten besser schützen

Von: Ina Schlücker

Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) verbindlich in Kraft. Spätestens dann drohen denjenigen Unternehmen, die mit Kundendaten im Rahmen von Big-Data-Analysen oder im Austausch mit Drittanbietern Schindluder treiben, deftige Strafen.

  • Big Data - Daten sind das Öl des 21. Jahrhunderts

    Daten sind das Öl des 21. Jahrhunderts. Firmen können es sich nicht leisten, dieses allein passiv in Datenbanken und Speichern liegen zu lassen.

  • Prof. Dr. Thomas Hess, Mitglied bei dem vom Bundesministerium für Bildung und Forschung

    „Personendaten sind umso teurer, je spezifischer die Information ist, die sie liefern“, berichtet Prof. Dr. Thomas Hess, Mitglied bei dem vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Forschungsgremium „Forum Privatheit“.

Rechtssicherheit im Umgang mit persönlichen Daten

Reicht die eigene Datenbasis nicht aus, sind Unternehmer seit jeher darauf aus, neue Kontakte zu gewinnen. Im Geschäftsumfeld mussten noch vor einigen Jahren, also quasi in der analogen Steinzeit, die Auszubildenden Messekataloge durchforsten und lukrative Firmeninformationen manuell in die hauseigene Datenbank übertragen. Ging es um die Sammlung persönlicher Daten potentieller Endkunden, sprossen bereits zu analogen Zeiten sogenannte Adresshändler aus dem Boden. Neben der Deutschen Post und der zu Otto gehörenden EOS-Gruppe zählt hierzulande wohl die bereits 1947 gegründete Schober Information Group zu den bekanntesten Händlern.

Was sich früher allein auf Adressdatensätze bezog, hat mit der zunehmenden Digitalisierung und Vernetzung von Individuen ein ganz neues Ausmaß bekommen. „Im analogen Zeitalter lag der Fokus primär auf Stammdaten, die eine gewisse Konstanz im Zeitverlauf aufweisen, z.B. Alter, Geschlecht oder Wohnort eines Kunden. Durch die Allgegenwärtigkeit digitaler Technologien haben Volumen und Vielfalt der verfügbaren Daten stark zugenommen. Möglich ist es nun auch, dynamischere Daten wie z. B. das Nutzungsverhalten von Individuen aufzuzeichnen.

„Durch digitale Technologien ist es heutzutage in Echtzeit möglich, diese Daten zu generieren, weiterzuverarbeiten und mit ihnen zu handeln“, betont Prof. Dr. Thomas Hess. Der Datenschützer ist Mitglied des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Forschungsgremiums „Forum Privatheit“ und Director an der Ludwig-Maximilians-Universität München (LMU).

Keine Fingerabdrücke hinterlassen

Doch nicht nur die technologischen Voraussetzungen und die Medien – von Print zu Online – haben sich im Umgang mit Kunden und ihren Daten verändert, vielmehr geht damit auch eine wahre Flut neuer Anglizismen und eigens kreierter Kunstworte einher. Direct Marketing klingt dabei noch am harmlosesten. Die hippen Werbeleute, kurz Hipster, schwören heutzutage auf Customer Journey, Digital Customer Experience oder Lead-Generierung.

Überraschend ist oftmals, dass ihnen die Endnutzer mit ihrem eigenen Verhalten fleißig in die Karten spielen. Denn zu oft gelangt Privates leichtfertig und unbedarft in die Öffentlichkeit, wie Thomas Hess bestätigt: „Persönliche Daten werden beispielsweise durch das Nutzen von Online-Services oder sozialen Netzwerken preisgegeben. Zudem können Nutzer und deren Verhalten im Internet über einzelne Websites hinaus nachverfolgt werden – mittels sogenannten Trackings.“ Hierzu würden unterschiedliche Verfahren zur webseitenübergreifenden Identifikation eingesetzt, wie etwa klassische HTTP-Cookies oder auch neuere Methoden wie das Browser-Finger-Printing, betont Hess. Bei Letzterem geht es darum, dass Online-Nutzer jenseits von Cookies beim Surfen bestimmte Muster hinterlassen. Diese wiederum lassen sich als „digitale Fingerabdrücke“ nutzen, um das User-Verhalten entsprechend zu analysieren.

Zunächst nichts Illegales

Generell ist der Handel mit Adressen und Daten legal, allerdings nur, wenn die Nutzer explizit die Erlaubnis zur Weiterverarbeitung, Verwertung und Nutzung ihrer persönlichen Daten durch einen Anbieter oder gar durch Dritte erteilt haben. Laut Thomas Hess können Unternehmen im Rahmen dessen mittels sogenannter „Sekundärmärkte“ durchaus gegen Bezahlung auf Datenbestände dritter Firmen zugreifen und somit ihre eigene Datenbasis erweitern. „Eine weitere Möglichkeit stellt das ‚Data Sharing’ dar.

Hierbei ermöglichen sich Unternehmen, in Umfang und Zeitraum beschränkt, gegenseitig den Zugriff auf Daten.“ Dabei variieren die Preise der Datensätze aufgrund ihrer Kontextabhängigkeit stark, sodass eine generelle Aussage nicht möglich ist. „Bei Personendaten lässt sich jedoch feststellen, dass Daten umso teurer sind, je spezifischer die Information ist, die sie liefern. Beispielsweise sind Informationen über Krankheiten wie eine Glutenunverträglichkeit rund dreimal so viel wert wie Berufsangaben“, betont Hess.

Wer nun glaubt, dass von den Nutzern nicht zur Weiterverarbeitung freigegebene persönliche Daten brachlägen, irrt gewaltig. Denn Daten sind ja das oft zitierte Öl des 21. Jahrhunderts, sodass es sich kein Unternehmen leisten kann, dies allein passiv in Datenbanken und Speichern liegen zu lassen. Laut Gesetzgeber und auch gemäß der neuen EU-DSGVO ist das Auswerten von Personendaten ohne Zustimmung der betroffenen Kunden nur dann erlaubt, wenn die Unternehmen hierfür Methoden wie Anonymisierung oder Pseudonymisierung heranziehen.

„Aus datenschutzrechtlichen Gründen nutzen die Unternehmen Daten mit Personenbezug, die ohne aktive und freiwillige Zustimmung des Nutzers erhoben wurden, daher stets anonymisiert“, bestätigt Thomas Hess. Dabei verstehe die aktuelle Rechtslage unter Anonymisierung die Modifikation per sonenbezogener Daten in einem solchen Ausmaß, dass diese nur unter unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer natürlichen Person zugeordnet werden können. Stets illegal ist laut Hess hingegen die Datenbeschaffung über Hacking oder Schwarzmärkte im sogenannten Darknet, auf denen z.B. mit Kreditkartendaten oder Patientenakten gehandelt wird.

Kritikern zufolge erscheint insbesondere die Pseudonymisierung als eher schwaches Tool, um Personendaten zu entfremden und Datenschutz zu gewährleisten. Denn häufig werden allein Namen oder ein anderes Identifikationsmerkmal durch Pseudonyme, meist Buchstaben- oder Zahlencodes, ersetzt. Unter Zuhilfenahme des Schlüssels ist damit die Zuordnung der Daten zu einer bestimmten Person noch jederzeit möglich.

In der Politik (endlich) angekommen

Nicht nur für Unternehmen, sondern auch innerhalb der Gesellschaft sollte die Einhaltung von Datenschutz und Privatsphäre allerhöchste Priorität besitzen. In diesem Zusammenhang hat sich Ende November 2017 Bundesverteidigungsministerin Ursula von der Leyen (CDU) dafür ausgesprochen, dass die nächste Bundesregierung die Macht der digitalen Großkonzerne beschränken muss. „Wir müssen Datenschutz neu denken. Alte Denke ist, dass die Daten des Bürgers vor allem vor dem Staat geschützt werden müssen. Die neue Frage ist jedoch: Wie schützen wir uns, unsere Bürger vor der Allmacht der globalen Unternehmen Amazon, Google, Facebook, Microsoft und Apple?“, sagte von der Leyen im Interview mit dem Redaktionsnetzwerk Deutschland. Die Unternehmen speicherten alles über die Verbraucher, meinte von der Leyen. „Die wissen, was ich mir zu Weihnachten wünsche, und schicken meinem Mann gleich die Werbung dafür. Was ist, wenn wir beide das nicht wollen? Darauf müssen wir Antworten finden.“

Im nächsten Schritt kündigte von der Leyen konkrete Gesetzesinitiativen für die anstehende Legislaturperiode an: „Wir müssen auf nationaler oder europäischer Ebene einen Ordnungsrahmen erstellen, in dem sich diese Unternehmen bewegen.“ Es müsse Regeln geben, die Transparenz über Daten und Algorithmen herstellten, sagte die CDU-Politikerin in dem Interview. „Der Bürger muss Einfluss darauf bekommen, welche Daten Wirtschaftsunternehmen über ihn speichern und was sie damit machen.“ Einen Teil der von der Bundesverteidigungsministerin geforderten Maßnahmen könnten ab kommendem Mai mit der neuen EU-DSGVO abgedeckt werden. Allerdings darf man gespannt sein, inwieweit die Vorgaben in der Praxis auch umgesetzt werden. Insbesondere dann, wenn US-amerikanische IT-Giganten gegen die Vorgaben verstoßen und empfindlich zur Kasse gebeten werden sollten.

Hinken Unternehmen bei der Datenschutz-Grundverordnung (EU-DSGVO) hinterher?

Vor einigen Monaten hat Winmagic, ein Anbieter von Verschlüsselungstechnologien, mehrere IT-Unternehmen in Deutschland, den USA, Großbritannien und Frankreich zu ihren aktuellen Datenschutzrichtlinien befragt. Damit wollte man erfahren, wie gut die Firmen bereits auf die EU-Datenschutz-Grundverordnung (EU-DSGVO) vorbereitet sind, die am 25. Mai 2018 in Kraft tritt. Die Ergebnisse sind laut Studie ernüchternd: Denn die Hälfte der Unternehmen hat noch erhebliche Vorarbeiten zu leisten, wenn sie schmerzhafte Geldbußen wegen Compliance-Verstößen vermeiden will.

In der Umfrage wurden Datenschutzbereiche abgefragt, die künftig von der Richtlinie betroffen sein werden. Dabei konnten 54 Prozent der befragten Unternehmen nicht bestätigen, dass personenbezogene Daten an jedem Speicherort durch Pseudonymisierung und Verschlüsselung geschützt werden. Bereits damit würden die Unternehmen unter Umständen der Forderung nach einem „angemessenen Schutzniveau“ in Artikel 32 der DSGVO nicht gerecht werden.

Umgang mit personenbezogenen Daten

Die EU-DSGVO schreibt „geeignete technische und organisatorische Maßnahmen“ vor, um personenbezogene Daten zu schützen sowie den Grad der Datensammlung, -verarbeitung und -speicherung zu minimieren. Auch in diesem Punkt traten diverse Schwachstellen zutage:


› Nur 35 Prozent der deutschen Unternehmen haben ein automatisches „Geo-Fencing“ von server-gespeicherten Daten bei jedem Zugriff eingerichtet. Diese Barriere würde verhindern, dass personenbezogene Daten in einen Rechtsraum übertragen werden, der nicht die Mindeststandards der DSGVO erfüllt.


› Nur gut die Hälfte (59 Prozent in Deutschland) der Unternehmen überwacht in Audits die Sicherheitsstandards von Dienstleistern, die ihre oder die Daten ihrer Kunden speichern.


› 46 Prozent der deutschen Unternehmen prüfen vor jeder einzelnen Weitergabe von Daten, ob der betroffene Kunde der Weitergabe von Datensätzen an eine andere datenverarbeitende Stelle, z.B. einen Lieferanten oder Geschäftspartner, zugestimmt hat.


› Nur 16 Prozent der in Deutschland befragten Unternehmen verfügen über Prozesse, mit denen Daten zeitnah aus Live-Systemen und Backups entfernt werden können. Der Artikel 12 der EU-DSGVO schreibt vor, dass Unternehmen den Anträgen von Bürgern auf Berichtigung oder Löschung von Daten innerhalb eines Monats entsprechen müssen. Nur 15 Prozent der Firmen entwickeln derzeit Systeme, mit denen sich diese Anforderung erfüllen lässt.

Bildquelle: Thinkstock

©2018 Alle Rechte bei MEDIENHAUS Verlag GmbH