Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Wettbewerbsvorteil Datenschutz


Chancen und Risiken für Unternehmen vor dem Hintergrund aktueller Datenschutzbestimmungen in Europa
Unternehmen und Marketers haben es in der Hand, den Wert ihrer Marke zu schützen und zu steigern



Autor Andres Dickehut
Autor Andres Dickehut Unternehmen, die bisher Nutzerdaten aus der EU in die USA übermittelt haben, sollten nun auf Alternativen ausweichen, Bild: Consultix

Von Andres Dickehut, CEO der Consultix GmbH

Der Datenschutz in Deutschland ist aus einem Dornröschenschlaf erwacht. Im Oktober 2015 scheiterte Safe Harbor nach 15 Jahren. Das Abkommen erlaubte es Unternehmen, personenbezogene Daten aus der EU in die USA zu transferieren und dort weiter zu verarbeiten. Eine bindende Nachfolgeregelung gibt es derzeit noch nicht – aktuell haben sich USA und EU vorerst auf ein so genanntes Privacy Shield-Abkommen festgelegt. Zudem haben sich im Dezember 2015 Europarat, Europäisches Parlament und Europäische Kommission auf eine EU-Datenschutzgrundverordnung geeinigt. Eine Geldstrafe in Höhe von 4 Prozent vom globalen Jahresumsatz droht Konzernen ab 2018 bei Verstößen. Unternehmen und Marketers, die sich um den Schutz ihrer Kundendaten kümmern und alle neuen Entwicklungen genauestens verfolgen, sichern sich also ab. Außerdem haben sie das Vertrauen der Kunden und Partner auf ihrer Seite, womit sie einen klaren Wettbewerbsvorteil gewinnen.

In den letzten Jahren haben die deutsche Regierung und Fachexperten immer wieder über Grundsätze zum Datenschutz diskutiert; Grund waren häufig US-amerikanische Unternehmen wie Facebook oder Amazon, die auch in Deutschland tätig sind und einen eher laxen Umgang mit persönlichen Daten pflegen. Auch der NSA-Skandal hat ein trübes Licht auf den Datenschutz geworfen. Klar ist, weitermachen wie bisher können nur die Verbraucher, nicht aber die Unternehmen, bei denen persönliche Daten Teil des Geschäftsmodells sind. Das Kippen des Safe Harbor-Abkommens und die neue EU-Datenschutzgrundverordnung zwingen Unternehmen nun zum Handeln. Die Entscheidungen sind eindeutig ein Weckruf.

Das Scheitern von Safe Harbor: Fluch oder Segen für europäische Unternehmen?
Seit dem Jahr 2000 war es Unternehmen erlaubt, personenbezogene Daten aus der EU in die USA zu transferieren. Rechtliche Grundlage bildete das sogenannte Safe Harbor-Abkommen. Das ist seit dem 6. Oktober 2015 Geschichte, denn der Europäische Gerichtshof (EuGH) erklärte das Abkommen für ungültig. Informationen seien in den USA nicht ausreichend vor Geheimdiensten und anderen Behörden geschützt, so die Begründung. Aktuell wird das Nachfolgeabkommen "Privacy Shield" viel diskutiert und untersucht. Bis zu einer rechtlichen Einigung zwischen EU und USA sind die Unternehmen auf der sicheren Seite, die lokalen gesetzlichen Regelungen immer strikt einhalten.

Betroffen von der Safe Harbor-Entscheidung sind alle Unternehmen, die mit personenbezogenen Daten arbeiten, vor allem Soziale Netzwerke und andere Internetunternehmen in und aus den USA sowie US-amerikanische Cloud-Anbieter und -Dienstleister – aber auch alle Marketingabteilungen, die Kundendaten für ihre Kampagnen heranziehen. Und natürlich deren Geschäftskunden, die ihre Dienste zur Speicherung der personenbezogenen Daten von EU-Bürgern nutzen. Laut Wirtschaftswoche sind weit mehr Unternehmen davon betroffen als die 4.400 Unternehmen, die nach Safe Harbor gelistet sind. Ob und wie das "Privacy Shield" Abkommen Safe Harbor ablöst, wird sich zeigen. Voraussichtlich werden von den Datenschutzbehörden die aktuell geltenden Standardvertragsklauseln und die Binding Corporate Rules, mit denen auch Daten ins Ausland übermittelt werden können, hinterfragt. Darüber müssen sich dann Unternehmen und die EU-Kommission, eventuell unter erneuter Hilfe des EuGH, verständigen.

Im Dezember 2015 hat die Europäische Union sich auf die konkreten Inhalte ihrer bisher nur diskutierten EU-Datenschutzgrundverordnung geeinigt. Somit ist der Schutz sensibler Daten innerhalb der EU sichergestellt und EU-weite Standards in Sachen Datenschutz gesetzt. Mit ihrem in Krafttreten 2018 sind auch US-amerikanische Unternehmen betroffen, die bisher dem Safe Harbor-Abkommen unterlagen. Ein Grund mehr zu handeln und auf Datenschutz zu setzen.

Der wichtigste GDPR-Grundsatz: Personenbezogene Daten gehören dem Nutzer, nicht dem mit der Datenverarbeitung befassten Internetdienst. So soll der Nutzer zukünftig leichter Zugang zu seinen Daten bekommen und auf Wunsch umgehend erfahren, welche Daten über ihn gesammelt werden. Das beinhaltet auch leicht verständliche Angaben zum Hosting und Verarbeiten seiner Daten. Die neuen Regelungen gelten für alle in Europa ansässigen Unternehmen. Wer sich nicht an die rechtlichen Vorgaben hält, muss mit hohen Bußgeldern rechnen – bis zu 4 Prozent des globalen Jahresumsatzes. Das kann für Großunternehmen schon einmal in die Millionen gehen. Deshalb ist die Auseinandersetzung mit allen Prozessen, die personenbezogene Daten berühren, eine Versicherung für jedes Unternehmen!

Was bedeutet das nun konkret für europäische Unternehmen?
Mit dem Kippen des Safe-Harbor-Abkommens hat die Europäische Gemeinschaft Fakten geschaffen, die Unternehmen nicht mehr von der Hand weisen können. Die Positionen rund um die EU-Datenschutzgrundverordnung und Safe Harbor machen deutlich, wo die Datenschutz-Reise hingeht: Der Verbraucher und seine persönlichen Daten stehen unter dem Schutz gesetzlicher Regelungen. Und Unternehmen, die in Europa Geschäfte machen, müssen sich strikt daran halten. Das weist vor allem Chief Marketing Officers und IT-Entscheider eine ganz neue Rolle zu: Sie müssen einen ganz intensiven Blick auf den Datenschutz werfen und nun auch rechtliche Konsequenzen bei ihren Marketingstrategien bzw. IT-Investitionen bedenken.

• >> Unternehmen, die bisher Nutzerdaten aus der EU in die USA übermittelt haben, sollten nun auf Alternativen ausweichen. Alternativen sind in dem Fall Datacenter- und Cloud-Anbieter und Anbieter von Website-Services oder Apps, die sich konkret um Datenschutzsicherheit für ihre Kunden gekümmert haben – z.B. in Form von Zertifizierungen, Regelungen mit Drittanbietern oder Datacenter auf europäischem Boden. CRM-Anbieter können bei Marketing- und Datenschutzverantwortlichen viel bewegen. Beispielsweise lassen sich Kundenprofile zentralisieren und Anwendungen bei der Datenverarbeitung integrieren. Das macht sie weniger angreifbar. Nach diesen Maßgaben haben wir beispielsweise unser Secure Customer Engagement Hub ProCampaign aufgebaut.

• >> Unternehmen, die nicht hundertprozentig wissen, wo ihre Kundendaten gehostet werden, sollten sich umgehend schlau machen. Dabei reicht es nicht, das Kleingedruckte in den AGBs des Cloud-Anbieters zu lesen. Es gilt direkt zu klären, wo die unternehmenseigenen Kundendaten gehostet werden und zu welchen Datenschutz- und Sicherheitsbestimmungen. Denn Datenschutz ist auch immer verbunden mit der genutzten Sicherheitstechnologie.

• >> Unternehmen, die mit personenbezogenen Daten arbeiten, sind nun in der Pflicht, sicherzustellen, dass es keine unerlaubten Zugriffe auf ihre Daten bzw. technischen Einrichtungen gibt. Das bedeutet, sie müssen sowohl technische als auch organisatorische Vorkehrungen für ihre Services treffen. Ein anerkanntes Verschlüsselungsverfahren (§ 13 Abs. 7 Telemediengesetz n.F.) ist wichtig, um alle personenbezogene Daten vor äußeren Angriffen zu schützen. Zudem sollten auch kleine Unternehmen unbedingt einen Datenschutzbeauftragten benennen und mit den nötigen Rechten ausstatten.

• >> Unternehmen, die einen sicheren CRM-Anbieter oder Datacenter-Betreiber suchen, sollten mit offenen Karten in die Verhandlungen gehen. Eine Vorabrecherche zeigt ihnen, welche Anbieter datenschutzkonform arbeiten: Gibt es Zertifizierungen, wo werden die Daten gehostet etc.? Wichtig ist, sich bis ins kleinste Detail erklären zu lassen, wo die Daten ihrer Kunden lagern werden und welches Verschlüsselungsverfahren angewendet wird. Konkrete Fragen nach Zertifizierungen lassen gewisse Vertragspartner bereits durchs Raster fallen. Bei der Auswahl des Anbieters können sich Kunden grundsätzlich an der Zertifizierung nach ISO 27001 orientieren.

Der Datenschutz in Europa hat neue Impulse bekommen. Die Auseinandersetzung mit allen Prozessen, die personenbezogene Daten berühren, ist somit eine Versicherung für jedes Unternehmen. Mein Appell an alle Unternehmen und Marketiers, die mit (sensiblen) Kundendaten arbeiten: Denken Sie um in Sachen Datenschutz – er ist nicht Ihr Feind, sondern Ihr Freund. Denn Datenschutz ist Markenschutz. Investitionen in sichere Daten zahlt sich aus, weil Kunden und Partner die Bemühungen zu schätzen wissen.

Über den Autor:
Andres Dickehut ist CEO der Consultix GmbH. Sein Unternehmen berät internationale Premiummarken in den Bereichen Digital Marketing, Customer LifeCycle, CRM und eCommerce.
(Consultix: ra)

eingetragen: 29.06.16
Home & Newsletterlauf: 26.07.16

Consultix: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Warum eigentlich Network Access Control? GDPR - praktische Tipps zur Compliance

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen