Impulsletter Q3 2017
Im April 2016 wurde die EU General Data Protection Regulation (GDPR) vom EU Parlament beschlossen. Die Regelung soll den Datenschutz über alle EU-Mitgliedsstaaten hinweg vereinheitlichen und seine, auch regionale Wirkung, ausweiten. Die mit der Regelung verbundenen Verpflichtungen und möglichen Strafen sollen dem Schutz, insbesondere personenbezogener, Daten dienen. Der Schutz von Daten ist für nahezu alle Unternehmen von strategischer Bedeutung. Die Nutzung des strategischen Faktors Information wird jedoch meist vernachlässigt.
DSGVO / GDPR tritt in Kraft
Im Mai 2016 wurde die Datenschutz-Grundverordnung (DSGVO; englisch: General Data Protection Regulation, kurz GDPR) der Europäischen Union veröffentlicht. Diese löst die vorhergehende „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ der EU ab. Die Verordnung greift unmittelbar, d.h. sie muss nicht erst in den Mitgliedsstaaten durch eine Vielzahl von nationalen Gesetzen umgesetzt werden. Ziel der Verordnung ist es, ein einheitliches Schutzniveau personenbezogener Daten der EU Bürger zu etablieren. Die Verordnung tritt am 25. Mai 2018 in Kraft und wurde in Details durch nationales Recht ergänzt. In Deutschland wurde am 27.4.2017 ein Anpassungs-Gesetz vom Bundestag beschlossen (DSAnpUG-EU).
Abbildung 1: DSGVO / GDPR
Die GDPR greift den Grundgedanken des Datenschutzes bisheriger Richtlinien auf, verschärft an zentralen Stellen das bisherige Recht, bietet aber auch Vereinfachungen, etwa im konzerninternen Datenaustausch.
- Leaks von geschützten Daten – umgehende Benachrichtigung erforderlich
- Rechtsgültige Zustimmung von Datensubjekten
- Erweiterung Auskunftsrechte
- Recht auf Datenportabilität
- Recht auf Vergessen (Datenlöschung)
- Datenschutz-Folgeabschätzung (Risikoeinschätzung für Personendaten)
Die GDPR wirkt nach dem Marktortprinzip, d.h. alle Unternehmen die Daten von EU-Bürgern verarbeiten sind betroffen. Damit wird die GDPR auch für nicht-EU-Unternehmen mit Geschäft in oder mit EU-Bürgern zur Herausforderung. Die Vereinheitlichung führt natürlich auch zu mehr Rechtssicherheit, da alle EU-Länder gleiche Anforderungen haben.
Die Strafen bei Verstoß sind beträchtlich: Je Verstoß bis zu 20 Millionen Euro oder vier Prozent des weltweiten (Konzern-)Umsatzes.
GDPR Awareness ist nicht vorhanden
Zahlreiche Studien belegen, dass es aktuell nur ein geringes Bewusstsein für die neue bzw. überarbeitete Datenschutzverordnung gibt.
Abbildung 2: Advyce Research, GDPR Awareness (2017, n=46)
Viele wichtige Fragen sind noch ungeklärt oder der praktische Umgang nicht eindeutig bzw. praktikabel.
- Mit welchen Folgen ist zu rechnen?
- Wie ist vollständiges Löschen möglich? Was passiert mit meinen Aufbewahrungspflichten?
- Habe ich in komplexen IT Strukturen überhaupt ausreichend Transparenz über meine Datenbestände? Wie gehe ich beispielsweise mit Kontaktinformationen in Mailprogrammen oder Messenger Diensten um?
- Brauche ich ein Double opt-in Verfahren? Kann ich die zusätzlichen Dokumentationen überhaupt effizient managen?
- Was und wie muss ich als Unternehmen überhaupt bei einer Anfrage zur Verwendung personenbezogener Daten mitteilen?
- Brauche ich neben einem CISO auch einen Chief Data Security Officer?
- Wie wirkt die Regelung auf mein Direktmarketing?
- Muss ich im Personalbereich Änderungen vornehmen?
- Welche Konzernauswirkungen gibt es?
- Wie bekomme ich Transparenz?
Weniger als die Hälfte aller Unternehmen kennen die Auswirkungen eines Verstoßes gegen die GDPR. Natürlich werden die Strafzahlungen in Zukunft nicht die Regel sein, aber man kann davon ausgehen, dass die Regelung streng kontrolliert wird. Letztlich geht es um sensible, personenbezogene Daten der Bürger und Vertrauen bzw. Verlässlichkeit der Datennutzung ist für die EU-Länder ein wertvolles Gut und Wettbewerbsfaktor. Ebenso dramatisch wie die schlichte Unkenntnis ist die Übertragung der Verantwortung an die jeweiligen IT-Bereiche. Die Rolle der IT, komplexe Sourcing-Konstrukte, die Nutzung von Cloud-Services durch Fachbereiche usw. machen die Verankerung an einer, sicherlich wichtigen Stelle wie der IT, zu einfach und reduziert das operative Risiko nur bedingt. Die Verordnung selbst weist auf technische Verfahren hin bzw. empfiehlt diese, was eine IT Verantwortung vordergründig nahelegt. Datenschutz durch Technik („data protection by design“) und durch datenschutzfreundliche Voreinstellungen („data protection by default“) werden erwähnt. Die Auswirkungen lassen sich zudem technisch abfedern, da beispielsweise eine Betroffenenbenachrichtigung nur für unverschlüsselte Daten gilt. Dies bedeutet wiederum, dass es sich anbietet Verschlüsselung möglichst flächendeckend einzusetzen.
Im Sinne einer strategischen Informationsnutzung werden damit nur Teilbereiche adressiert.
Ob IT-bezogener oder strategisch orientierter Ansatz: Der aktuelle Reifegrad der Umsetzungsbemühungen reicht in den meisten Fällen nicht aus. Die Mehrzahl der Unternehmen ist 2018 vermutlich nicht „GDPR Ready“ und wird zumindest im Übergang mit einem erhöhten Risiko leben (müssen).
Information als strategisches Asset
Die Digitalisierung hat mittlerweile fast alle Branchen erfasst und es ist unstrittig, dass Strategien nur noch in einer digitalen Welt entwickelt werden können. Neue Geschäftsmodelle revolutionieren ganze Industrien, Prozesse und Strukturen werden schneller und agiler. Das globale Datenvolumen explodiert und ist trotzdem auswertbar.
Abbildung 3: Datengetriebene vs traditionelle Geschäftsmodelle, Advyce Research, Top30 Marken weltweit (2017)
Die wertvollsten Unternehmen basieren in weiten Teilen auf datengetriebenen Geschäftsmodellen. Google, Facebook, Amazon sind offensichtliche Vertreter datengetriebener Geschäftsmodelle. Zahlreiche traditionell anmutende Unternehmen sehen Daten mittlerweile als strategisches Asset und richten Ihre Geschäftsmodelle auf die strategische Datennutzung aus oder nutzen die Vorteile einer gezielten Datennutzung im bestehenden Geschäft.
GDPR bezieht sich auf personenbezogene Daten und ist damit nur ein Ausschnitt
Die GDPR deckt den Bereich der personenbezogenen Daten ab und umfasst damit neben Kunden und Interessenten u.a. auch die eigenen Mitarbeiter. Eine strikte Fokussierung auf Marketing und Vertriebsdaten wäre somit unvollständig. Vollständigkeit und Klarheit bezüglich der Art, Nutzung und Umgang mit Daten ist grundsätzlich, auch ohne die GDPR, nötig. Aus Sicht von Advyce ist die Bewertung des strategischen Assets Information regelmäßig erforderlich, so dass auch der Schutz dieser Daten bedarfsgerecht erfolgen kann. Nicht-differenzierende und nicht-personenbezogene Daten und Informationen benötigen in den seltensten Fällen die gleiche Aufmerksamkeit wie personenbezogene und zugleich im Wettbewerb differenzierende Informationen.
Abbildung 4: Datenklassifizierung (vereinfacht)
Handlungsfelder
Die GDPR erhöht den Druck auf Unternehmen, personenbezogene Daten zu schützen und bewusst mit ihnen umzugehen. Sie löst nicht die strategische Notwendigkeit des aktiven Managements des strategischen Assets Information. Diese, interdisziplinäre Aufgabe erfordert Vorstands- bzw. Geschäftsführungs-Attention und beginnt mit der Schaffung von Transparenz. Welche Informationen sind wo vorhanden, wie können diese klassifiziert werden, wie werden sie genutzt, welcher Schutz ist erforderlich und wie sollte man mit den Daten umgehen. Unternehmensweit ist dies nachhaltig nur durch entsprechendes Wissen und Training realisierbar. Klare Regeln zum Umgang, technische Möglichkeiten (Datenmanagement,Security, Access etc.) und Verantwortung für Daten bzw. Informationen geben nicht nur in Bezug auf personenbezogene Daten Sicherheit. Der strategische Umgang mit Daten sollte Teil einer modernen Unternehmensstrategie sein und die Möglichkeiten der Entwicklung datengetriebener Geschäftsmodelle oder die Nutzung von Daten im aktuellen Geschäftsmodell reflektieren.
Abbildung 5: Handlungsfelder strategisches Informationswert Management
Fazit
Personenbezogene Daten sind extrem wichtig, sensibel und schützenswert. Ohne Vertrauen in einen verantwortungsvollen Umgang werden die Chancen der Digitalisierung nicht genutzt werden und der Standort Europa einen nachhaltigen Wettbewerbsnachteil erleiden. Die Realität zeigt aber auch, dass nur ein Teil der für Unternehmen wichtigen Daten personenbezogen ist. Die neue bzw. überarbeitete Datenschutzverordnung erfordert in den meisten Fällen kurzfristige Maßnahmen zur Sicherstellung der Anforderungen. Dieser regulatorisch bedingten Auslöser sollte als Chance verstanden werden und parallel eine Strategie zur Datengewinnung und -nutzung, in vorhandenen oder neuen Geschäftsmodellen, entwickelt werden.
Hendrik Haas