Was bitte bedeutet DSGVO? Was E-Privacy-VO?

Vorweg seien die Abkürzungen aufgeschlüsselt: DSGVO (auch DS-GVO, bzw. engl. GDPR) bezieht sich auf die EU Datenschutz-Grundverordnung, die im Mai 2016 in Kraft getreten ist und am 25. Mai 2018 wirksam werden und Unternehmen massiv betreffen wird. Eine Spezifizierung der DSGVO erfolgt durch die EU E-Privacy Verordnung, die derzeit zwar noch in Brüssel verhandelt wird, die aber, so der ambitionierte Plan der Parlamentarier, ebenfalls am 25. Mai 2018, spätestens aber 2019 Anwendung finden soll.

Beide Verordnungen gelten für die gesamte EU und brauchen nicht erst in nationales Recht umgewandelt oder durch nationale Parlamente bestätigt werden. Die Verordnungen gelten aber auch für Unternehmen, die Ihren Sitz außerhalb der EU haben, sofern sie innerhalb der EU digitale Dienstleistungen anbieten.

Warum ist insbesondere Marketing davon betroffen?

Im Zentrum der Regulierungen stehen private Daten und die Klärung der Bedingungen und Voraussetzungen unter der Unternehmen diese speichern und verarbeiten dürfen. Marketing, Vertrieb und PR sind neben Personalwesen dabei besonders gefordert, insb. im Zusammenhang mit der Nutzung von Big Data Lösungen (s.u.).

Für Unternehmen stellt sich zunächst die Frage, welcher Bedarf an welchen Daten besteht.  Als nächstes ist zu klären, wie begründet dieser Bedarf ist, welche Daten nach dem in der DSGVO angesprochen Prinzip der Datenminimierung (Art 5 (1) c DSGVO) tatsächlich erforderlich sind, um Geschäfte anzubahnen, abzuwickeln und Kunden zufriedenzustellen. Im Wortlaut:

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Es gibt so viele Möglichkeiten enorme Mengen an Daten über Kunden zu kaufen, zu generieren, zu sammeln, zu verknüpfen und anzureichern, dass es für viele Marketer eine enorme Herausforderung darstellt, von dem was möglich wäre abzusehen und sich statt dessen darauf zu beschränken, was notwendig ist. Wobei auch hier nachgehakt werden muss, da viele Marketer oftmals einen sehr großzügigen Begriff davon haben, was unter notwendig zu verstehen ist.

Die Gretchenfrage: Wie hältst Du es mit deinen Kunden?

Unternehmen, die Kunden in den Mittelpunkt stellen, also vorrangig vom Kunden her denken und entsprechend ihre Prozesse ausrichten, dürften die DSGVO und die EU-Privacy-VO begrüßen. Immerhin geht es doch dabei um Interessen ihrer Kunden und damit um ihre eigenen Interessen. Durch die Verordnungen wird der durch Unternehmen, die sich bislang nicht oder unzureichend an Datenschutzverordnungen gehalten haben, verzerrte Wettbewerb wieder entzerrt — das bleibt zumindest zu hoffen. Die hohen Strafdrohungen von bis zu 20 Mio. EUR oder 4 Prozent des Konzernumsatzes könnten sich durchaus als wirksam erweisen.

Erforderlich ist eine verändertes Mindset im Marketing und ‚Zähmung’ von Big Data

Consumer analytics is at the epicenter of a Big Data revolution. Technology helps capture rich and plentiful data on consumer phenomena in real time. ¹

Big Data. Die ungezähmte Macht bringt es die Deutsche Bank im Titel einer Studie zu Digitale Ökonomie und struktureller Wandel auf den Punkt (2014). Daten haben einen ökonomischen Wert. Die Begehrlichkeiten vieler Akteure, z.B. nach personenbezogenen Daten, steigen. Der Internetnutzer selbst könnte zum gehandelten Gut werden, ohne dass es ihm zu jeder Zeit bewusst ist oder er dadurch einen monetären Nutzen erfährt.   79 Prozent der deutschen Unternehmen mit mehr als 500 Mitarbeiter*innen analysieren laut Bitkom Research personenbezogene Daten. Bei Unternehmen mit 50 bis 500 Mitarbeiter*nnen sind es 55 Prozent. Zwar auf Basis des Bundesdatenschutzgesetzes (BDSG) aber ohne Kenntnis und Einwilligung der betroffenen Kunden oder Partner analysieren 36 Prozent der Unternehmen personenbezogene Daten.  

Ähnlich problematisch wie die Nutzung personenbezogener Daten ist die Nutzung von Transaktionsdaten. Immerhin 33 Prozent der deutschen Unternehmen analysierten bereits 2015 diese Daten. (Vgl. Bitkom Research. a.a.O.)

Big Data, das sind vor allem Facebook, Google und Amazon. Der Wert der enormen Datenmengen geht weit über Stammdaten, Transaktionsdaten, Logdaten, Sensordaten, CRM-Daten, Daten aus Social Media, Sprache/Video/Audio, Emails/Briefe/Faxe und Standortdaten hinaus. Die Verknüpfung dieser Daten, die Möglichkeiten der Mustererkennung etc., die Verdichtung von Informationen, die Interpretation mit Hilfe von selbstlernenden Algorithmen, perfektioniert durch Einsatz künstlicher Intelligenz reichern diese Daten derart an, dass Aussagen und Prognosen möglich werden, die selbst den betroffenen Personen oder Clustern nicht bewusst sind.

Deshalb gehören nicht nur die personenbezogenen Daten geschützt (DSGVO) oder Daten, die sich aus Transaktionen, Interaktionen etc. gewinnen lassen (EU-PrivacyVO), sondern sämtliche Daten, die auf deren Basis errechnet wurden.

Gerade die mittelständischen Unternehmen, die unsere Wirtschaft  prägen, sollten einsehen, dass ohne DSGVO und EU-PrivacyVO der Wettbewerb in einem Ausmaß verzerrt werden würde, dass nicht mehr wirklich von einem freien Markt gesprochen werden könnte. Daher sind beide Verordnungen im ureigensten Interesse der überwiegenden Zahl von Unternehmen — auch wenn viele Unternehmen das so noch nicht wahrnehmen können oder wollen.

Jedenfalls erfordert diese Einsicht eine Strategieänderung in der Marktbearbeitung, die nur dann zu erwarten sein wird, wenn ein zunehmend von digitaler Technologie und Automation getriebenes Marketing nicht der Faszination des Möglichen erliegt, sondern danach fragt, was denn Ziel und Zweck des Wirtschaftens ist. Die Lektüre der Publikationen des wohl einflussreichsten Marketers des 20 Jahrhunderts, Peter Drucker, könnte hier viele Ahas bewirken.

Wege der Risikominimierung

Ganz pragmatisch stellt sich für die überwiegende Zahl der Unternehmen die Frage, ob deren gegenwärtige Praxis im Umgang mit personenbezogenen Daten den Anforderungen der im Mai 2018 wirksam werdenden Datenschutz-Grundverordnung entspricht. Ist das nicht der Fall, so besteht das Risiko sehr hoher Strafen, die Unternehmen aufgrund deren Höhe in arge Liquiditätsengpässe  treiben könnten. Darüber hinaus werden Vergehen gegen den Datenschutz nicht mehr als quasi Kavaliersdelikte wahrgenommen werden, sondern als das, was sie sind: strafbare Handlungen. Entsprechend rangiert bei Unternehmen die Angst vor Imageverlust an zweiter Stelle, nach der Angst vor Strafen.

Um das zu vermeiden und fit für die DSGVO zu werden ist es erforderlich, dass sich Unternehmen

•   mit den Anforderungen der DSGVO und der EU-PrivacyVO vertraut machen
•   einen detaillierten und lückenlosen Soll-Ist Vergleich erarbeiten,
  insbesondere mit Blick auf die DSGVO Grundsätze
•   Rechtmäßigkeit
•   Transparenz
•   Zweckbindung
•   Dateminimierung
•   Integrität und Vertraulichkeit
•   Prozesse anpassen, z.B.
•   zur Datenportierung
•   zum Widerruf der Einwilligung
•   zur Überprüfung der Erlaubnistatbestände
•   zur Neubewertung unternehmerischer Risiken
•   bei Datenpannen
•   …
•   vorbereiten auf Auskunftsrecht und Recht auf Berichtigung,
•   auf die Meldepflicht bei Sicherheitsproblemen binnen 72 Stunden
•   …
  
  

Die Herausforderung ist nicht zu unterschätzen

Es gibt deutliche Hinweise darauf, dass viele Unternehmen, die Herausforderungen der DSGVO unterschätzen. Es mag sein, dass österreichische Unternehmen davon ausgehen, dass das DSVGO ähnlich moderat gehandhabt werden wird, wie das bisherige Datenschutzgesetz. Das könnte sich als verhängnisvoller Irrtum erweisen.

Den vom Kaspersky Lab entwickelten Selbsttest kann ich zur ersten Einschätzung empfehlen.

Abhängig von der Unternehmensgröße und dem Umfang der Verarbeitung von persönlichen Daten und Transaktionsdaten ist der Umsetzungs- und Anpassungsaufwand durchaus anspruchsvoll. Meine Empfehlung: beginnen Sie bald und lassen Sie sich dabei unterstützen.

¹ Erevelles, S., et al. (2015), Big Data consumer analytics and the transformation of marketing, Journal of Business Research