Google+ Facebook Twitter XING LinkedIn GoogleCurrents YouTube

Datenschutz

Kommt die EU-DSGVO zu spät?

| Autor / Redakteur: Esther Niederhammer / Stéphane Itasse

Ab Mai wird es ernst: Die Übergangsfrist zur Umsetzung der EU-Datenschutzgrundverordnung läuft ab.
Ab Mai wird es ernst: Die Übergangsfrist zur Umsetzung der EU-Datenschutzgrundverordnung läuft ab. (Bild: ©jd-photodesign - stock.adobe.com)

Am 25. Mai endet die Übergangsfrist für die Europäische Datenschutz-Grundverordnung (EU-DSGVO) und Datenschutzverstöße werden mit hohen Strafen belegt. Kurz vor diesem Stichtag herrscht helle Aufregung um die Facebook-Datenpanne. Ob unter den 50 Mio. betroffenen Kunden auch EU-Bürger sind, ist noch unklar. Doch schon jetzt kann man aus dem Facebook-Debakel zweierlei lernen: Erstens, wie man es nicht macht. Zweitens, wie man es selbst besser macht.

Facebook – gefällt mir nicht mehr! Wie sehr diese Umkehrung des weltweit erfolgreichen Slogans den Facebook-Gründer schmerzen muss, ist kaum auszudenken. Der Stolperstein: eine missglückte Datenschutzstrategie, die mit Datensammlung und Datennutzung begann und mit Datenhandel, Datenvernachlässigung, Datenmissbrauch und Vertrauensverlust zu enden scheint. Natürlich gilt auch hier, wie bei jeder klassischen Tragödie: je höher der Status, desto tiefer der Fall.

Noch weiß man nicht, wie diese Geschichte ausgehen wird, doch dass die britische Datenanalysefirma Cambridge Analytica Zugriff auf Daten von 50 Mio. Facebook-Nutzern hatte, sorgte für ein PR-Debakel und ein finanzielles Desaster. Facebook verlor an der Börse binnen drei Tagen ab Bekanntwerden dieser Informationen bis zu 50 Mrd. US-Dollar an Unternehmenswert. Die Süddeutsche Zeitung titelte zu diesem Zeitpunkt sogar „Der blaue Riese wankt“. Und mit jedem weiteren Detail, das ans Licht kam, geriet das Unternehmen mehr ins Schleudern, denn es gab ohne Zustimmung der Nutzer offenbar besonders heikle Formen der Datennutzung, möglicherweise sogar eine Beeinflussung des US-Wahlkampfes.

Ergänzendes zum Thema
 
EU-DSGVO auf den Punkt gebracht

Datenpannen passieren täglich und überall

Dass langjährige Facebook-Gegner jetzt zur Schadenfreude neigen, ist einerseits verständlich. Sich aber ausschließlich an Facebook festzubeißen oder sich auf dieser Seite des großen Teiches sicherer zu fühlen, ist weder sinnvoll noch angebracht. Datenverlust und Datenklau sind in allen Branchen und Ländern an der Tagesordnung. Der IT- und Telekommunikationsnachrichtendienst Heise.de – ein guter Gradmesser, da dort neben technischen Neuerungen und Produkttests auch Technikpannen und Datenschutzpleiten zusammengetragen und verarbeitet werden – wies im März 2018 auf einen Trojaner hin, der auf 40 günstigen Android-Smartphones aus Asien schon vorinstalliert ist und so unbemerkt in die Taschen und Leben der Smartphonenutzer wandert, inklusive Update der Malware. Ebenfalls in den letzten Monaten betroffen: der Fahrdienstleister Uber (Beute: persönliche Daten von 57 Mio. Fahrgästen und 7 Mio. Fahrern), das 4G-LTE-Netz (Forscher entdeckten gefährliche Schwachstellen), Apple (Unlock-Software ermöglicht Auslesen von I-Phones vom Typ iOS 10 und 11) und Regierungen mehrerer Staaten (weltweiter Hackerangriff auf Regierungsnetze, darunter 17 Rechner der Bundesregierung). Die Liste ließe sich endlos fortsetzen.

Natürlich kann Datenprotektionismus jetzt nicht die Lösung sein. Ohne Daten läuft weltweit nichts mehr. Personenbezogene Daten werden benötigt für die Auftragsabwicklung, die gezielte Werbeansprache, für Neukundenakquise und Kundenbindung. „Datenprotektionismus, wie man ihn früher oder auch vor zehn Jahren noch verstanden hat, ist nicht mehr möglich“, sagt auch Nicolas Woltmann, Diplom-Jurist und wissenschaftlicher Mitarbeiter an der Forschungsstelle Robot-Recht der Universität Würzburg. „Die Verarbeitung von Daten wird immer wichtiger und immer mehr Unternehmen setzen darauf, weil sie wichtige Informationen für ihr Unternehmen erhalten, zum Beispiel wie man Produkte und Dienstleistungen verbessern kann.“ Natürlich stehen Facebook, Google, Amazon für eine besondere Datensammelwut. Doch auch von Unternehmen, an die man in diesem Zusammenhang nicht unbedingt denkt, werden immer mehr Daten gesammelt. „Das hat eine Eigendynamik entwickelt, die auch das Datenschutzrecht komplett überholt hat. Und je mehr von diesen persönlichen Daten gesammelt werden, desto größer wird die Gefahr, dass es auch zu Lecks oder Cyberangriffen kommt, wo große Datensätze erbeutet werden“, sagt Woltmann. „Hier versucht das Regelwerk der EU-DSGVO anzusetzen. Es schafft Rahmenbedingungen, um den Missbrauch von Daten einzudämmen.“

Ergänzendes zum Thema
 
Interview mit Nicolas Woltmann
Diplom-Jurist und wissenschaftlicher Mitarbeiter an der Forschungsstelle Robot-Recht, Lehrstuhl Prof. Dr. Dr. Eric Hilgendorf, Universität Würzburg

Unfreiwillige Datenschutz-Lektionen durch Facebook

Die Debatte über Facebook wirkt wie ein Weckruf für die Umsetzung der EU-DSGVO. Sie spielt Datenschützern und kritischen Konsumenten in die Hände. Daher ist die große Öffentlichkeit jetzt ebenso schmerzhaft wie gut. Die Industrie sollte also das Facebook-Debakel zum Anlass nehmen, um zu lernen. Und es selbst besser zu machen.

Was haben Facebook und Uber also falsch gemacht? Auf den ersten Blick fast alles. Zunächst war man sich seiner Sache offenbar allzu sicher, hat sich auf Vermarktungsstrategien konzentriert und auf Erfolgen des eigenen Geschäftsmodells ausgeruht. Dabei sind wesentliche, kritische Aufgaben im Alltagsgeschäft vergessen oder halbherzig bis schlampig erledigt worden. Oder gar nicht. Auch das passiert allen und überall täglich; es ist zutiefst menschlich. Facebook steht vielleicht wie kein anderes Unternehmen im Fokus der Kritik, weil man diesen Technik- und Innovationsfreaks aus dem Silicon Valley die notwendigen technischen Fähigkeiten und auch die hohe Priorisierung des Datenschutzes zutraute und sie auch besonders erwartete.

Ergänzendes zum Thema
 
So reduzieren Sie das Risiko für Datenverlust in Ihrem Betrieb

Trotz Warnungen und langjähriger Kritik von Datenschützern hat Facebook die Dringlichkeit und auch das Risiko des eigenen Datengeschäfts nicht verstanden oder nicht ernst genug genommen. In diesem Zusammenhang ist Facebook nicht einfach Opfer von kriminellen Machenschaften geworden, auch wenn Zuckerberg in einer Pressemitteilung äußert: „Das ganze Unternehmen ist entsetzt darüber, dass wir hintergangen wurden“. Man hat die vorhandenen Daten nicht effizient genug und nach Stand der Technik geschützt. Zu viele unterschiedliche Menschen hatten Zugriff auf zu viele Daten. Das Unternehmen hatte keine ausreichenden technischen oder vertraglichen Hürden, die Datenmissbrauch in dieser Form unterbunden hätten. Auch gab es keine verlässlichen Warnsysteme, die den Abfluss von Daten an interne oder externe Datenschutzstellen gemeldet hätten. Die Strukturen und Prozesse sind offenbar zusätzlich so ungegliedert oder schlecht dokumentiert, dass Facebook-Gründer Mark Zuckerberg nach erstem Schweigen und sicher intensiven Beratungen durch Juristen im Hintergrund vor der Presse formulieren musste: „Es ist schwer zu sagen, was wir finden werden.“

Um nun selbst nicht nur über Facebook zu schwadronieren: In fast allen Datenschutzskandalen geht es um die gleichen Nachlässigkeiten und Fehler im Umgang mit personenbezogenen Daten. Uber, ein weiteres Schwergewicht mit einer großen Erfolgsgeschichte, hat einen zusätzlichen Kapitalfehler begangen: Statt ab dem Tag X transparent mit der eigenen Datenpanne umzugehen und den Verlust von Kfz-Kennzeichen von rund 600.000 US-Fahrern zu melden sowie die Kunden vor weiteren Schädigungen zu bewahren, zahlte Uber den Tätern 100.000 Dollar, um den Vorfall zu vertuschen. „Das ist die schlechtestmögliche Art, mit sowas umzugehen“, sagt Woltmann. „Es wird ja häufig von der Salamitaktik gesprochen, dass man genau so viel nach außen preisgibt, wie unbedingt nötig ist. Das scheint ein Grundsymptom zu sein bei großen Unternehmen.“

Wie steht es um die DSGVO-Vorbereitungen in Deutschland?

Zurück nach Deutschland, zurück zur Industrie im Zusammenhang mit dem Datenschutz. Eine Nachfrage von MM bei verschiedenen, auch renommierten Industrieunternehmen im August letzten Jahres anlässlich des ersten Schwerpunktartikels über die EU-DSGVO ergab – nichts. Betriebliche Datenschutz-Mailadressen liefen ins Leere, telefonische und schriftliche Anfragen zum Stand oder Aufwand der aktuellen Umsetzung der DSGVO wurden nicht beantwortet oder abgelehnt. Einige Monate später? Dasselbe Ergebnis. Desinteresse? Überforderung? Datenprotektionismus? Eingeständnis eines mangelnden Datenschutzes? Keine Zeit wegen fieberhafter Hintergrundarbeiten im Zusammenhang mit der DSGVO? All dies ist unklar. Natürlich waren dies nur Stichproben und die vorbildlichen Unternehmen in puncto Datenschutz gibt es auch. Dennoch sei die Frage erlaubt: Wie viel Facebook steckt ehrlicherweise in der täglichen Datenerhebung und -nutzung deutscher Unternehmen? Und ist es nicht Zeit, die Speicherung von personenbezogenen Daten zur Chefsache zu machen?

Ergänzendes zum Thema
 
So vermeiden Sie hohe Geldbußen im Falle einer Datenpanne

Die EU-DSGVO stellt die Weichen und es führt kein Weg an besserem Datenschutz vorbei. Natürlich bedeutet die Umsetzung der Maßnahmen einen erheblichen Aufwand, sowohl organisatorisch wie finanziell. Doch die massiven Datenpannen der letzten Tage, Monate und Jahre zeigen auch, dass der Datenschutz noch ernster genommen werden muss als bisher. Die neue Verordnung kann auch eine Chance sein, nämlich dann, wenn sie zum hilfreichen Antreiber gemacht wird, um sich selbst, persönlich, im eigenen Unternehmen oder als betrieblicher Datenschutzbeauftragter endlich um das gefürchtete oder immer wieder verschobene Thema Datenschutz zu kümmern.

Ein professionelles Datenschutzkonzept gehört in unserer vernetzten Welt zu einem Paket von unverzichtbaren unternehmerischen Maßnahmen, um den eigenen Standort und die Position innerhalb der Industrie zu sichern und dem Verlust der Kunden und Finanzmittel vorzubeugen, die jeder großen Datenpanne folgen. Damit Ihnen dies leichter fällt, sind die wichtigsten Punkte der Verordnung noch einmal für Sie zusammengefasst.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45246269 / Recht und Normen)

Themen-Newsletter Management & IT abonnieren.
* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.

Meistgelesene Artikel

Im Metall-3D-Druck-Zentrum von Audi

Aus der Praxis

Im Metall-3D-Druck-Zentrum von Audi

06.08.18 - Erfahrung und viel Eigeninitiative ist das Rezept von Audi zu einer erfolgreichen Additiven Fertigung im eigenen Haus. Wie sie es umsetzen, zeigt das 3D-Druck-Zentrum für den Metalldruck mit SLM-Verfahren. lesen

CE-Zeichen – und trotzdem nicht sicher

Fiessler

CE-Zeichen – und trotzdem nicht sicher

06.08.18 - Das Beispiel eines Maschinenimporteurs, der eine Gesenk­biegemaschine einführte, zeigt, dass man sich nicht immer auf das CE-Zeichen verlassen kann. Eine Überprüfung ergab, dass die Sicherheitssteuerung nicht vorschriftsgemäß in das Maschinenkonzept eingebunden war. Mit einer Nachrüstung konnte das Problem behoben werden. lesen

Pfiffiges Werkstoff-Know-how schafft stärkste Knarre aller Zeiten

Hazet und Matplus

Pfiffiges Werkstoff-Know-how schafft stärkste Knarre aller Zeiten

09.08.18 - Werkzeughersteller Hazet und Werkstoffspezialist Matplus, heißt es, kooperieren weiter, denn Ersterer will computerunterstützte Werkstoffsimulationen in Zukunft wieder nutzen, um innovative Werkzeuge zu entwickeln. Ein Ergebnis davon ist eine besonders robuste Knarre für Montagearbeiten. lesen