Vergangene Woche hat uns die Datenschutzexpertin Aurélie Pols darauf geantwortet, wo die GDPR herkommt, welche Auswirkungen sie haben wird und wie sie persönliche Daten definiert. Jetzt geht es mit dem zweiten Teil des Interviews weiter. Darin geht Aurélie darauf ein, was die GDPR für Digital Analytics, die internationale Datenübertragung, Profiling, Unternehmensstrategien und das Nutzerverhalten bedeutet.
Worüber sollten Unternehmen sich Gedanken machen, wenn sie mit IT-Anbietern zusammenarbeiten? Welche Voraussetzungen sollte zum Beispiel ein Digital Analytics-Partner erfüllen?
Bei der GDPR-Compliance geht es um das Risiko durch die Nutzung von Daten. Daten können ein großer Vorteil für Ihr Unternehmen sein, aber auch viel Ärger machen, wenn die damit verbundenen Bedingungen nicht eingehalten werden. Zwei Zahlen kommen ins Spiel, wenn man berechnen will, welches Risiko die Arbeit mit Daten für Ihr Unternehmen mit sich bringen kann: 20 Millionen Euro oder 4 % Ihres globalen Umsatzes. Denn das GDPR legt die jeweils höhere Summe als Strafe fest.
Um sich gegen ein solches Risiko abzusichern, empfiehlt es sich eine Risikoabschätzung (DPIA – Data Privacy Impact Assessment) vorzunehmen und sich von Ihren potentiellen Partner die passenden Antworten auf wichtige Fragen zu holen.
Außerdem geht es beim Datenschutz und den Pflichten für die Privatsphäre immer mehr darum, dass sich Ihr Unternehmen und Ihre Partner, die die Daten verarbeiten, abstimmen. Besonders heute, da Daten so einfach mit anderen geteilt werden können und zur Ware geworden sind. Die GDPR fordert eine lückenlose Kette bei der Verantwortlichkeit. Ihr Unternehmen steht bei den gesetzlich festgelegten Anforderungen an die Compliance zuerst in der Schusslinie. Ihre Partner bei den Daten müssen deshalb für Sie geradestehen, wenn es darum geht die Vertragsbestimmungen zu erfüllen und Funktionen für den Schutz der Privatsphäre zu implementieren. Damit stellen Sie sicher, dass Ihr Unternehmen den gestiegenen Anforderungen durch diesen Standard gerecht wird, der fast schon auf einem globalen Level ist.
Wie Ihre Partner und Ihre Supportmitarbeiter über das Thema reden, sollte Ihnen bereits einen Hinweis darauf geben, wie gut sie für dieses Thema geschult wurden und ob sie sich optimal um Ihren Bedarf und Ihre Verpflichtungen als „Controller“ von Daten kümmern können. Man muss nicht alle Begriffe wie „PII“ bis ins letzte Detail definieren können, aber Sie sollten bei Wissenslücken darüber, was die neuen Bestimmungen fordern, misstrauisch werden.
Sie müssen einen Weg finden die Rechte der Bürger mit Ihrem Service Provider in geeigneten Prozessen und Vorgaben umzusetzen. Zum Beispiel das Recht auf Zugang zu den Daten – das zunehmend auch in Staaten der USA Anwendung findet. In Illinois ist es das „Right to Know“.
Wie können diese Zugriffsrechte sichergestellt werden, wenn die Daten an andere Unternehmen übergehen? Wer ist der Ansprechpartner oder die zuständige Abteilung? Wie schnell muss die Antwort auf eine Anfrage erfolgen? Gibt es (versteckte) Kosten, die man für Backups einplanen muss, falls Einträge gelöscht oder berichtigt wurden?
Das bedeutet für Sie: Sie können die Prozesse für sich selbst nutzen um zu entscheiden, wie Individuen identifiziert werden können, die ihre Rechte wahrnehmen wollen.
Klare Entscheidungsprozesse sollten in Ihrem Unternehmen vorhanden sein, um zu bestimmen, ob eine Berichtigung und / oder Löschung von Daten vorgenommen werden muss. Ihre Partner für die Datenverarbeitung arbeiten für Sie nach Ihren Anweisungen. Es sollte also klar sein, was Sie von ihnen erwarten und auch was nicht in ihren Verantwortungsbereich fällt. Ohne klare Entscheidungsprozesse geht das nicht.
Externe Partner können diese Aufgaben teilweise übernehmen und überwachen. Wenn Sie sicherstellen, dass die Verantwortung sinnvoll zwischen den Beteiligten aufgeteilt ist und zusätzliche Dokumente für Best Practices im Bereich Sicherheit zur Verfügung stehen, sowie die Branchenstandards erfüllt werden, weist das darauf hin, dass die GDPR eingehalten wird. Ein DPO ist ein gutes Zeichen dafür, dass Ihr Partner sich an den grundlegenden Zweck der GDPR hält die Arbeit mit den Daten zu einem Erfolg zu führen. Dafür müssen alle Bedürfnisse berücksichtigt werden: Vertragspflichten, interne Ressourcen und Best Practices. Darüber hinaus ist Hilfe bei Data Governance Frameworks, der Bestimmung, welche Sicherheitsmaßnahmen notwendig sind und eine verlässliche Pseudonymisierung sinnvoll. Damit lässt sich sicherstellen, dass das Risiko der Datennutzung kontrollierbar bleibt.
Seit 1995 fordert die Data Protection Directive von europäischen Unternehmen, dass sie wissen, welche Art von Daten sie verarbeiten. Manche Länder schreiben sogar vor, dass einzelne Dateien bei den Datenschutzorganisationen registriert werden müssen. Diese administrativen Belastungen fallen unter der neuen Regelung weg. Europäische Unternehmen sind auch zunehmend bereit einige dieser Schutzmaßnahmen bei ihren digitalen Vorhaben anzuwenden.
Worauf sollten Unternehmen achten, um sicherzustellen, dass ihr Analytics-Anbieter die GDPR einhält?
Zertifizierungen entwickeln sich beständig weiter. Auch bewährte Sicherheits-Praktiken sind nur eines der Anzeichen für Compliance. Um den Datenschutz erfolgreich als Vorteil nutzen zu können, braucht man darüber hinaus auch ausgefeiltere, langfristige Maßnahmen. Dazu gehören die Definition von Standards und der Aufbau von guten Beziehungen zu den zukünftigen Kontrollbehörden. So zeigt man, dass man die GDPR schon jetzt ernst nimmt.
Es geht um die Nutzerrechte und darum zu definieren, wie diese Rechte genau ausgedrückt werden. Dafür muss man ein Auge auf die Paragraphen haben und mit dem anderen Auge nach einem Weg suchen, Daten besser zu strukturieren, damit alle Beteiligten von einer nahtlosen Informationsübermittlung profitieren können.
Die Diskussion wird häufig nicht darüber geführt, ob Daten nachverfolgt werden können, sondern darüber wie und wann sie überhaupt mit Bürgern oder anderen Interessenten geteilt werden müssen. Diese Frage wird nicht hinter verschlossenen Türen gestellt, sondern in Zusammenarbeit zwischen dem Analytics-Anbieter, dessen verschiedenen Abteilungen und Ihrem Unternehmen.
Welche Auswirkungen wird die GDPR auf den Datenaustausch über Ländergrenzen hinweg haben?
Wie bereits erwähnt, spricht die GDPR über Gleichwertigkeit: Die Tatsache, dass die Rechte von EU-Bürgern respektiert werden müssen und dass diese Rechte untrennbar mit ihren Daten verbunden sind.
Wenn wir von einem juristischen Standpunkt aus über internationale Abkommen zum Datenaustausch sprechen, wie PrivacyShield, dann weiß ich nicht, ob die aktuelle US-Administration den richtigen Blickwinkel darauf hat. Man muss sich nur ihre Entscheidungen zum FCC (und viele andere) ansehen.
Deshalb gehe ich davon aus, dass mehr Daten auf EU-Territorium gehostet werden. In Deutschland, Frankreich, Irland usw. wird zunehmend mehr Cloud-Infrastruktur angekündigt.
Daneben sind mehr Maßnahmen zur Anonymisierung / De-Identifizierung vorstellbar, wenn Daten nach wie vor in den USA gehostet werden. Aber das hängt davon ab, wir hoch Unternehmen das Risiko einschätzen und wie sie generell mit Daten umgehen.
Da sich der Schutz persönlicher Informationen nicht von den Daten trennen lässt, schreibt die GDPR noch etwas vor: Man muss sicherstellen, dass die Einwilligung und der Verwendungszweck sichergestellt bleiben. Ein vertrauenswürdiger Anbieter, der offen über diese Sachen spricht, hätte meine volle Aufmerksamkeit.
Wie werden sich Strategien und Gewohnheiten von Unternehmen durch die GDPR mit der Zeit ändern?
Wie ich es schon vor über einem Jahr beim Center for Digital Democracy formuliert habe: Ich bringe meinen Kindern das Lügen bei, besonders im Internet. Als Mutter finde ich nicht gut, dass ich dazu gezwungen bin!
Ich denke wir sind bei der Privatsphäre noch ganz am Anfang. So wie ich jetzt ein Jahrzehnt lang Tom Davenports „Konkurrenzkampf bei Analytics“ beobachten konnte, werden wir das auch bei der Privatsphäre beobachten können.
Unternehmen haben mit einem ständig sinkenden Kundenvertrauen zu kämpfen. Das ist eines der Phänomene einer zunehmend globalen Welt, in der Effizienz und Workarounds Gang und Gäbe sind. Optimierungen sind nur auf einen höheren Profit für Unternehmen ausgelegt.
Die GDPR hat ein unterschiedliches Ansehen, abhängig von der Branche und der Verlässlichkeit der Daten (als Rohmaterial) für die Profit-Maximierung. Die Bandbreite reicht dabei vom völligen Ausblenden – und dem bösen Erwachen beim ersten Gerichtsprozess – bis zur gewissenhaften Vorbereitung. Letzteres gilt vor allem für stark reglementierte Bereiche wie Telekommunikationsanbieter, Banken, Versicherungen, Gesundheitsanbieter, …
Außerdem hört man immer wieder Stimmen, die ein Versagen der Behörden prophezeien. Sie hoffen darauf, dass man es bei den Kontrollen nicht so genau nehmen wird und es nur wenig Zusammenarbeit zwischen den Datenschutzbehörden geben wird.
Man sollte aber im Hinterkopf behalten, dass das wirtschaftliche Geflecht unserer Gesellschaften aus über 95 % kleinen und mittelständischen Unternehmen besteht. Die digitale Transformation nimmt überall zu, bei Unternehmen wie bei Bürgern. Jetzt müssen die Grundlagen für die Messung aber auch für die Rechenschaftspflicht gelegt werden. Das Internet der Dinge wird immer mehr zur Realität, aber die Systeme sind nicht darauf ausgelegt sicherzustellen, dass es unserer Gesellschaft gut geht. Die aktuellen Wahlen haben uns gezeigt, was “digital Nudging” hier bewirken kann.
Unternehmen können sich Compliance als Ziel setzen. Wenn sie dabei über die Risiken nachdenken (zum Beispiel anhand Artikel 30 zum Verzeichnis von Verarbeitungstätigkeiten), entwickeln sie sich hoffentlich weiter.
Oder Sie können sich auf bestimmte Erwägungsgründe konzentrieren. Zum Beispiel Erwägungsgrund 2 der aktuellen 95/46/ EC Datenschutzrichtlinie:
“Die Datenverarbeitungssysteme stehen im Dienste des Menschen; sie haben, ungeachtet der Staatsangehörigkeit oder des Wohnorts der natürlichen Personen, deren Grundrechte und -freiheiten und insbesondere deren Privatsphäre zu achten und zum wirtschaftlichen und sozialen Fortschritt, zur Entwicklung des Handels sowie zum Wohlergehen der Menschen beizutragen. ”
Oder Erwägungsgrund 4 der GDPR:
„Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.“
Jedes Unternehmen kann selbst entscheiden, wie weit sie die GDPR umsetzen will.
Wie wird die GDPR die Erwartungen der Verbraucher und ihr Verhalten mit der Zeit verändern?
Verbraucher werden weniger loyal, vorsichtiger und ausweichender in ihren Angaben, wo immer das möglich ist. Darum geht es beim Ad Blocking oder noch interessanter beim Vernebeln von Anzeigen-Informationen. Mein Beileid an die, die Daten sammeln wollen.
Verbraucher können Marken boykottieren, Organisationen schlechtreden und von ihrem Recht auf Transparenz Gebrauch machen. Dieses Recht steht ihnen schon in der bestehenden europäischen Datenschutz-Direktive zu.
Interessant ist, dass sich die Webanalyse und das Ökosystemen der digitalen Werbung, das wir alle kennen, gegenseitig in ihrer Entwicklung beeinflussen. Man stelle sich nur vor wie es wäre, wenn die Kunden mehr Einfluss hätten. Die Gesetzgebung bringt die Bürger zurück in die Gleichung. Sie sind die „Data Subjects“ im Ökosystem der Daten.
Damit ihre Stimme Gewicht bekommt, müssen sich die Bürger einbringen. Dafür müssen sie sehen können, welche ihrer Daten genutzt werden. Initiativen wie Paul-Olivier Dehayes Personal Data.IO sind neben juristischen Maßnahmen wie die GDPR Grundpfeiler, auf denen ein neues Gleichgewicht aufgebaut werden kann.
Die GDPR führt das Konzept des Profiling ein. Welche Online-Services gehören zu dieser Kategorie? Was sind die möglichen Konsequenzen für die Webanalyse-Branche?
Profiling ist in Artikel 4.4 definiert als “jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.
Man muss sich auch Artikel 22 über Automatisierte Entscheidungen im Einzelfall einschließlich Profiling ansehen. Dazu alle Verweise auf das Profiling in den Rechten, die von Artikel 15 bis 22 aufgelistet werden.
Erwägungsgründe 24, 60, 63, 70, 71, 72, 73 und 91 enthalten ebenfalls Informationen über das Profiling; Besonders Erwägungsgrund 72: “Das Profiling unterliegt den Vorschriften dieser Verordnung für die Verarbeitung personenbezogener Daten, wie etwa die Rechtsgrundlage für die Verarbeitung oder die Datenschutzgrundsätze. Der durch diese Verordnung eingerichtete Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) sollte, diesbezüglich Leitlinien herausgeben können.“
Ich bin mir sicher wir alle sind gespannt darauf, was das European Data Protection Board dazu sagen wird.
***
Ein großer Dank an Aurélie, dass Sie uns zur Vorbereitung auf den Mai 2018 diese Informationen aus Expertensicht mitgeteilt hat!
In folgendem Whitepaper erfahren Sie mehr über die Grundprinzipien des Datenschutzes und der Privatsphäre:
Comments are closed.