Data Privacy Act

Woran der Datenschutz im Unternehmen krankt

21.09.2014 von Ralph Nüsse

Deutschland besitzt mit die strengsten Datenschutzrichtlinien in Europa. Doch in der Praxis halten sich die Unternehmen nicht immer an die Vorgaben, insbesondere bei der Sekundärnutzung persönlicher Daten für Test- und Analysezwecke. Auch im Zuge der geplanten EU-Reform sollten Unternehmen ihre Datenschutzstrategien prüfen und anpassen.

Viele Unternehmen sammeln und verarbeiten riesige Datenmengen über Kunden und Nutzer. Damit können sie ihre Angebote an deren individuelle Bedürfnisse und Vorlieben anpassen. Obwohl vor allem Privatkunden einerseits häufig ein mulmiges Gefühl beschleicht, erwarten sie andererseits die Auswertung ihrer persönlichen Daten, um optimal bedient zu werden. Jedoch ist inzwischen allen Beteiligten klar, dass diese Praxis auch das Risiko von Datenspionage oder der unbeabsichtigten Veröffentlichung persönlicher Informationen deutlich erhöht.

Datenschutz - ein komplexes Unterfangen
Foto: nasirkhan, Shutterstock.com

Hinzu kommt, dass inzwischen viele Firmen ihre Geschäfte über Landesgrenzen hinweg betreiben. Viele Datenschutzgesetze sind jedoch landesspezifisch und werden in der heutigen globalen Business-Welt kaum beachtet. Denn die Aufsichtsbehörden sind oft machtlos, die Vorgaben bei international tätigen Unternehmen durchzusetzen. Entsprechend schwierig ist es auch, jemanden zur Verantwortung zu ziehen, wenn es zu einer Datenpanne kommt.

Datenschutz in Deutschland und Europa

Wie sieht die Situation hierzulande konkret aus? Deutschland besitzt mit dem Bundesdatenschutzgesetz (BDSG) eine der fortschrittlichsten Regelungen in Europa, da sie persönliche Daten berücksichtigt. Der Fokus liegt dabei auf der "Primärnutzung" dieser Daten und dem entsprechenden Schutz. Dies betrifft vor allem Daten, die zur Erbringung von Dienstleistungen erfasst und verarbeitet werden, etwa zum Führen eines Bankkontos.

Allerdings werden die Regelungen im operativen Geschäft nicht ausreichend bei der "Sekundärnutzung" der persönlichen Daten berücksichtigt. Dazu gehört zum Beispiel deren Verwendung für Test- und Forschungszwecke oder für Analysen. Dabei ist in Deutschland jedoch die Sekundärnutzung in der Gesetzgebung genauso abgedeckt wie die Primärnutzung.

Da es auch in Europa unterschiedliche Ländergesetze gibt, arbeitet die Europäische Union (EU) derzeit an einer neuen Direktive - dem Data Privacy Act. Dieser soll die Gesetzgebung in den EU-Mitgliedstaaten vereinheitlichen. Für deutsche Nutzer bedeutet dies, dass ihre Daten dann nicht nur im eigenen Land, sondern auch europaweit sicher sind - oder zumindest sicherer als jetzt. Sobald dieser Act im jeweiligen Land umgesetzt ist, müssen die dort tätigen Unternehmen eine moderne und durchgängige Datensicherheit gewährleisten. In der Regel dürften sie etwa zwei Jahre dafür Zeit bekommen, doch da große Teile der Regelungen bereits auf Landesebene zur Verfügung stehen, könnte der Zeitraum auch kürzer sein.

Unnötiges Risiko

Ob auf deutscher oder europäischer Ebene: Die Unternehmen sind heute kaum darauf vorbereitet, gegenwärtiges oder künftiges Recht umzusetzen. Gemäß einer von Compuware beauftragten Umfrage von Vanson Borne in Deutschland, Großbritannien, Frankreich, Benelux, Italien, Australien und den USA aus dem vorigen Jahr…

maskieren oder schützen nur 20 Prozent der Firmen ihre Kundendaten, bevor sie diese zu Testzwecken weitergeben;
sind sich 43 Prozent der Befragten, die Kundendaten weitergeben, der gegenwärtigen Gesetzgebung oder ihrer Folgen nicht bewusst;
verlassen sich 87 Prozent der Unternehmen, die Kundendaten unmaskiert an Dritte weitergeben, auf einfache "Non-Disclosure-Agreements (NDAs)".

Kürzlich hat Compuware eine Reihe seiner deutschen Kunden befragt, um die Zahlen zu validieren. Dabei zeigte sich, dass 26 Prozent - durchweg große Unternehmenskunden - persönliche Daten in Systemtests verwenden. Damit setzen sie sich selbst einem großen Risiko aus, da Testumgebungen in der Regel deutlich weniger abgesichert und geschützt sind als Produktionsumgebungen. Zudem sind viele Forscher und Tester nicht in Sachen Datenschutz ausgebildet. Daher sollten Unternehmen hier unbedingt anonymisierte oder zumindest maskierte Daten verwenden. Dies gilt umso mehr für ausgelagerte Dienste. Denn obwohl es in Deutschland Gesetze in Bezug auf Datenkontrolleure sowie Datenverarbeiter gibt, fallen Outsourcing-Dienstleister nicht darunter.

Kosten für die Umsetzung

Zur Umsetzung eines durchgängigen Datenschutzes und der neuen zu erwartenden Richtlinien sollten sich die Unternehmen in Deutschland natürlich auf höhere Kosten einstellen. Dabei überblicken viele nicht einmal ihre gegenwärtigen Ausgaben für Datenschutzmaßnahmen. So wissen zum Beispiel 82 Prozent der Firmen in Großbritannien nicht, wie viel Geld ihre IT derzeit für den Datenschutz ausgibt. Dies zeigt eine Untersuchung von London Economics im Auftrag des Information Commissioner’s Office (ICO). In Deutschland dürfte die Lage ähnlich sein. Werden Maßnahmen für die zu erwartenden Richtlinien umgesetzt, führt dann mangelndes Projektmanagement immer wieder zu Budgetüberschreitungen, sodass manches Datenschutzprojekt vorzeitig abgebrochen werden musste.

Wer diese Kosten scheut, auf den können aber erhebliche Konsequenzen zukommen. Zum Beispiel drohen der neuen EU-Direktive zufolge bei Nichtbeachtung der Gesetze Strafen von bis zu 100 Millionen Euro oder fünf Prozent des jährlichen Firmenumsatzes. Bislang wurden je nach Art der Datenschutzverletzung schon finanzielle Strafen von bis zu 300.000 Euro oder Haftstrafen von bis zu zwei Jahren verhängt.

Um die Datenschutzregeln einzuhalten, müssen Unternehmen eine umfassende Strategie entwickeln, die alle Formen der Datennutzung (primär oder sekundär) abdeckt - sozusagen eine "Blaupause für die Gesetzesbeachtung". Für die Umsetzung ist dann ein effizientes und effektives Projektmanagement nötig, um die Investitionskosten zu minimieren sowie bestehende Anwendungen und Praktiken anzupassen.

Fünf Schritte zum Datenschutz

Die folgenden fünf Schritte sollten Unternehmen bei der Umsetzung der Datenschutzrichtlinien beachten:

Datenschutz: So setzen Sie die geltenden Richtlinien um.

Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren.

Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant.

Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein.

Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon.

Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.

Was ist zu tun?

Auch wenn die Europäische Kommission noch an den neuen Datenschutzregeln arbeitet, sollten Unternehmen nicht die Ergebnisse abwarten, sondern schon jetzt die Anpassungen ihrer Systeme an die neuen Anforderungen planen. Selbst mit den erwarteten zwei Jahren Spielraum kann die Zeit sehr knapp werden, da vieles zu beachten ist. Dazu gehören die Bewältigung der teils sehr großen Datenmengen, die hohe Komplexität der oft nur rudimentär dokumentierten Beziehungen zwischen Objekten, die plattformübergreifende Datenintegrität, Möglichkeiten der Datenreduktion und die zu wählenden Ansätze für die Anonymisierung, um die Risiken einer Datenschutzverletzung zu minimieren.

Zur Unterstützung bei der Vorbereitung auf die neue Direktive sollten Unternehmen daher auch in Betracht ziehen, einen Beratungsdienstleister einzubinden. Dieser hat umfangreiche Erfahrungen und hohes Wissen in Datenmanagement und -schutz sowie umfassende Services für den gesamten Prozess zu bieten. Dadurch können Unternehmen ihre IT-Abteilungen entlasten, die Kosten für die Umstellung und Einhaltung reduzieren sowie Risiken durch fehlende Compliance vermeiden. (sh)