Die Zukunft des Datenschutzes

Die Wogen um die EU-Datenschutz-Grundverordnung (DSGVO) haben sich seit dem Stichtag im Mai 2018 etwas gelegt. Viele Unternehmen haben in den vergangenen zwölf Monaten mehr oder weniger engagiert ihre Datenschutzerklärungen angepasst und die Besucher von Internetseiten klicken die aufpoppenden Einwilligungen reflexartig weg. War’s das?

Wohl kaum. Eine angepasste Datenschutzerklärung stellt zwar das erste, sichtbare „Schutzschild“ dar, die wirklichen Hausaufgaben (u.a. Dokumentation und Anpassung von Prozessen, Verträge mit Auftragsdatenverarbeiter) sind damit nicht erledigt.

Viele Unternehmen haben hier eine Güterabwägung vorgenommen: Weitere Ressourcen werden erst dann investiert, wenn jemand ernsthaft kritische Fragen stellt. Dieses Verhalten ist nachvollziehbar, da es für KMU ohne Beizug von Spezialisten kaum möglich ist, die Datenhaltung verlässlich zu analysieren und daraus die notwendigen rechtlichen und organisatorischen Schlüsse zu ziehen. Das Risiko einer „Datenschutzrevision“ durch eine Datenschutzbehörde (Art. 58 Abs. 1 lit. b DSGVO) dürfte in der Praxis noch recht gering sein. Für schweizer Unternehmen, soweit für diese die DSGVO anwendbar ist, noch viel geringer. Dienste wie Cookiebot helfen den Unternehmen, um eine erste Überprüfung ihrer online-Datenschutzkonformität vorzunehmen. Es ist anzunehmen, dass die europäischen Datenschutzbehörden bald noch viel mächtigere Tools einsetzen werden.

War’s das?

Wohl kaum. Das Thema wird mit der rasant fortschreitenden Verdatung unserer Welt – Stichwort „Internet-of-Things“ – an Bedeutung gewinnen, denn Datenschutz ist nicht Schutz von Daten, sondern Schutz der Persönlichkeit. Die unserer Kunden. Und diese Daten werden zunehmend wichtiger, um das Kundenverhalten besser verstehen und gezielt reagieren zu können. Unternehmen gehen daher heute ein grosses Reputations- und zunehmend auch finanzielles Risiko ein, wenn ein nachlässiger Umgang mit Kundendaten publik wird. Über kurz oder lang werden das auch Facebook und Co. zu spüren bekommen. Die französische Aufsichtsbehörde hat Ende Januar 2019 gegen Google die Rekordbusse von 50 Mio. Euro ausgesprochen. KMU’s können sich solche Eskapaden nicht leisten.

Kunden wollen Transparenz

Im Kern geht es um das Vertrauen, das uns Kunden schenken. Sie wollen jedoch zunehmend wissen, wie mit den uns anvertrauten Daten umgegangen wird. Und sie haben das Recht dazu. Eine fünfseitige, in schwer verständlichem Juristendeutsch verfasste Datenschutzerklärung dürfte kaum geeignet sein, das Vertrauen des Kunden zu gewinnen. Sich zum Datenschutz zu bekennen – wie viele Unternehmen in ihren Datenschutzerklärungen vollmundig erklären – heisst, dem Kunden übersichtlich, klar und vollständig mitzuteilen, was man mit seinen uns anvertrauten Daten genau macht – und was nicht. Vertrauen durch Transparenz!

Unklare Globalerklärungen, in die ein Benutzer mit einem Klick einwilligt, sind zwar rechtskonform, aber das Vorgehen manifestiert auch die Gesinnung, die ein Anbieter von seinen Kunden hat. Respekt geht anders. Besser wäre es, wenn der Kunde seine dem Unternehmen eingeräumten Rechte individuell „ein- und ausschalten“ kann. Einige Unternehmen sind bereits dazu übergegangen, dem User auf ihren Websites die differenzierte Wahl für die Verwendung von Cookies einzuräumen. Die Flut an Einverständniserklärungen für Newsletters, welche im vergangenen Sommer in unseren Mailaccounts anbrandete, zeigte auch, dass es bezüglich der Einwilligungserklärungen noch an einfachen, für den Benutzer bequemen, sicheren und vertrauensbildenden Lösungen fehlt.

Wir sind daher gezwungen, bestehende Abläufe und Geschäftsmodelle ständig zu überdenken und dies nicht nur, weil es dazu eine rechtliche Verpflichtung gibt, sondern – noch nicht alle haben es erkannt – weil Kunden dies zunehmend einfordern. Jüngere Kunden („digital native“) bewegen sich sicher in der digitalen Welt – sind auch viel achtsamer mit ihren persönlichen Daten. Schon Achtjährigen wird in der Schule beigebracht, sich im Internet wie ein „Geheimagent“ unerkannt zu bewegen. Die Fragen, was mit dem elektronischen Bewerbungsdossier nach der Absage passiert, weshalb die Internetseite ein chinesisches Cookie brauche, die Auskunftsbegehren (welche Daten, zu welchem Zweck, an welche Personengruppen, wie lange) werden daher zunehmen.

Vertrauen ist gut, Kontrolle ist besser

Jedem Google-, Instagram-, Twitter-, LinkedIn-, Facebook-, Android- etc. Benutzer dürfte inzwischen klar sein, dass er mit diesen Anbietern einen umfassenden, einseitigen Tauschhandel eingegangen ist. Und der Tauschhandel betrifft nicht nur personenbezogene Daten. Langsam wird auch sichtbar, dass Unternehmen untereinander einen regen Datenaustausch pflegen. Nicht nur mit Personendaten – selbstverständlich nur mit Einwilligung der betroffenen Person – sondern auch mit Geschäfts- und pseudonymisierten Daten.

Vermutlich befinden wir uns in den Anfängen des Überganges vom Finanz- zum Datenkapitalismus, wie der Oxford-Professor Viktor Mayer-Schönberger in seinem lesenswerten Buch „Das Digital“ detailliert ausführt. Der Autor weist zu Recht darauf hin, dass der globale Datenaustausch nicht einzelnen wenigen Datenkonzernen überlassen werden sollte. Rechtlich lassen sich solche Entwicklungen jedoch nicht lösen. Beobachtet man die Blockchain-Szene, so findet man dort viele StartUps wie etwa enigma.co, welche mit blockchain-basierten Technologien den Widerspruch von Öffentlichkeit und Kontrolle der Daten aufzuheben versuchen. Ziel dieser Technologien ist es, dass sowohl Kunden wie Unternehmen ihre wertvollen Daten zur Nutzung und Austausch freigeben und zuverlässig auch wieder zurückziehen können.

Vorteil solcher Lösungen wäre, dass die wertvollen Daten nicht einem Unternehmen anvertraut würde, sondern – stark verschlüsselt – einem unkontrollierbaren Netz von Computern. Die Nutzung der Daten wird ermöglicht, indem ich dem Berechtigten einen einmaligen digitalen Schlüssel dazu übergebe. Allerdings mit der Möglichkeit, den Schlüssel zu den Daten jederzeit „erlöschen“ zu lassen. Früher oder später werden sich solche technische Lösungen verbreiten. Vorerst aber müssen wir – wollen wir das Vertrauen der Kunden dauerhaft erhalten – eine individuelle Lösung entwickeln.

Konsequenz

Als Unternehmer ist Ihnen dringend angeraten, die datenschutzrechtlichen „Hausaufgaben“ möglichst rasch an die Hand zu nehmen! Denken Sie aber darüber nach, wie Sie Ihren Kunden wieder die Macht über die eigenen Daten übergeben können. Nicht primär aus rechtlichen Gründen, sondern weil Sie dem mündigen Kunden und seine Entscheide respektieren. Jüngere Kunden entscheiden sich zunehmend für Anbieter, welche für einen verantwortungsvollen Umgang mit Ressourcen – auch Daten – stehen! „Culture eats strategie for breakfast!“