Berlin Der Befund ist eindeutig: Viele Unternehmen in Deutschland sind laut einer jüngst veröffentlichten Umfrage nur unzureichend auf die neue europäische Datenschutz-Grundverordnung vorbereitet. Die Befragung von 509 Datenschutzverantwortlichen in Unternehmen ab 20 Mitarbeitern im Auftrag des Digitalverbands Bitkom ergab, dass die neuen Regeln für fast die Hälfte aller Firmen (44 Prozent) aktuell noch kein Thema sei.
Die Zurückhaltung mag daran liegen, dass die Frist für die Umsetzung der künftigen zahlreichen neuen Informations- und Dokumentationspflichten noch in weiter Ferne liegt. Bis spätestens Mai 2018 haben die Unternehmen Zeit, sich auf die gesetzlichen Vorgaben einzustellen. Was auf die Wirtschaft zukommt, ist aber nicht ohne. Völlig neu ist etwa, dass der Datenschutz künftig bei der Produktentwicklung (Privacy by Design) berücksichtigt oder eine Datenschutz-Folgenabschätzung durchgeführt werden muss.
Vor diesem Hintergrund ist es nicht zu unterschätzen, dass laut der Bitkom-Umfrage 32 Prozent der Befragten die neuen Anforderungen zwar kennen, sich aber noch nicht damit beschäftigt haben. Noch schwerer dürfte wiegen, dass weitere 12 Prozent davon noch nicht einmal gehört haben. Von großem Nutzen könnte daher sein, dass die Unternehmen mit staatlicher Unterstützung bei der Umsetzung der neuen europäischen Datenschutz-Grundverordnung rechnen können.
Das geht aus dem Entwurf eines Thesenpapiers der Plattform „Verbraucherpolitik in der digitalen Welt“ hervor, das an diesem Mittwoch auf dem Nationalen IT-Gipfel in Saarbrücken beschlossen werden soll. Die Plattform wird vom Parlamentarischen Staatssekretär im Verbraucherschutzministerium, Ulrich Kelber (SPD), und Martina Koederitz, Vorsitzende der Geschäftsführung IBM Deutschland, geleitet.
In dem Papier, das dem Handelsblatt vorliegt, heißt es: „Die Datenschutzaufsichtsbehörden sollten zusätzlich personell in die Lage versetzt werden, die Privatwirtschaft und öffentliche Stellen bei Bedarf bei der Entwicklung von Privacy-by-Design-Konzepten zu beraten.“ Insgesamt sei bei der Aufsicht „auf eine einheitliche Auslegung der rechtlichen Vorgaben der Datenschutzgrundverordnung hinzuwirken“.
Warum Big-Data und Datensparsamkeit kein Widerspruch sind
Kelber betonte die Vorteile des Konzepts „Privacy-by-Design“ für Unternehmen. Es biete die Möglichkeit, „schon bei der Planung und Gestaltung digitaler Angebote den Verbraucherdatenschutz technisch und organisatorisch von Anfang an mitzudenken“, sagte der SPD-Politiker dem Handelsblatt. „Datensparsamkeit, Zweckbindung und die eigenverantwortliche Steuerung der Datenflüsse müssen gerade in einer zunehmend digitalisierten, vernetzten und vollautomatisierten Welt auch technisch untersetzt werden“, fügte Kelber hinzu. „Andernfalls steht die Selbstbestimmung und Datensouveränität von Verbrauchern - insbesondere beim Internet der Dinge - grundlegend auf dem Spiel.“
In dem Thesenpapier, das auf Basis von Gesprächen mit Unternehmen entstanden ist, wird hierzu auf die „besondere Erfordernis“ hingewiesen, „Privacy-by-Design zu verankern, indem dem Verbrauchern die Möglichkeit gegeben wird, autonom darüber zu entscheiden, welche Daten wo gespeichert oder verarbeitet werden, zum Beispiel durch Verarbeitung auf dem Gerät des Verbrauchers einschließlich lokalem Backup, oder die aggregierte oder unmittelbare Weitergabe an den Anbieter“.
Dem Grundsatz der Datensparsamkeit müssen die Unternehmen ebenfalls Rechnung tragen, da auch dieses Prinzip europaweit bindend sein wird. In dem Thesenpapier wird denn auch dazu geraten, schon bei der Planung der Datenverarbeitung zu beachten, „ob und inwieweit Personenbezüge überhaupt erforderlich sind, ob bereits eine anfängliche Anonymisierung erfolgen kann oder wenigstens eine frühzeitige Pseudonymisierung alternativ möglich ist und so eine Zuordnung zumindest erschwert wird“.
Anders als mancher Unions-Politiker sieht Kelber den Persönlichkeitsschutz nicht als Hindernis für die Wirtschaft, Daten ökonomisch zu verwerten. In einem Gastbeitrag für das Handelsblatt schlug er daher vor kurzem vor, die anstehende Harmonisierung des europäischen Datenschutzes dafür zu nutzen, „Konzepte zu entwickeln, wie Big-Data inklusive Datensparsamkeit aussehen und funktionieren kann, Datensparsamkeit 4.0 sozusagen“. Denn der Gegensatz zwischen Big-Data und Datensparsamkeit sei nicht so groß, wie dies Lobbyisten behaupteten. „Nur wer unbegrenzt werben, ausforschen und steuern möchte, muss wissen, welche Person sich hinter einem Datum verbirgt. Alle übrigen Analysen funktionieren sehr wohl erfolgreich mit anonymisierten Daten“, so Kelber.
Die CDU-Digitalexpertin Nadine Schön warnte hingegen davor, die Vorteile von Big Data durch zu strikte Regulierung zu verspielen. Denn um etwa intelligente Verkehrssteuerungssysteme, eine effizientere Energieversorgung oder eine bessere Gesundheitsversorgung zu schaffen, brauche man große Datenmengen, sonst seien sie nicht valide, sagte Schön kürzlich dem Handelsblatt. Dies sei aber kein Widerspruch zum Recht auf informationelle Selbstbestimmung oder zur Frage der Datensicherheit. „Diesem Bedürfnis muss durch entsprechendes Big-Data-Management Rechnung getragen werden.“
Union wirbt für „innovationsoffene Datenpolitik 4.0“
Im Übrigen seien nicht alle personenbezogenen Daten per se als kritisch einzustufen, sagte Schön weiter. Für die Mobilität könnten sie beispielsweise großen Nutzen bringen. „Auch kann so viel wie möglich mit anonymen und pseudonymisierten Daten gearbeitet werden.“ Nötig seien daher Transparenz auf der Grundlage klarer Standards und Kriterien sowie harte Strafen bei Verstößen gegen diese Standards. Die CDU-Politikerin plädierte für eine „innovationsoffene Datenpolitik 4.0“. „Nur so können entsprechende Geschäftsmodelle auch in Deutschland entstehen, nach unseren Standards“, sagte Schön.
Würde hingegen der Umgang mit Daten eingeschränkt, „indem wir krampfhaft am System der Datensparsamkeit festhalten, dann entstehen die Geschäftsmodelle in den USA oder Asien – nach dortigen Standards. Das kann niemand wollen“, betonte sie. Daher seien verantwortungsvolle Standards und Kriterien des Datenmanagements statt Datensparsamkeit eine „kluge Datenpolitik im Sinne der Menschen“.
In dem Thesenpapier der Plattform „Verbraucherpolitik in der digitalen Welt“ wird beispielsweise vorgeschlagen, nur die Informationen über die Nutzer abzufragen oder weiterzugeben, die für den Zweck der Datenerhebung „unbedingt erforderlich“ seien. Dies könne etwa dadurch erreicht werden, dass nicht mehr alle Details, sondern lediglich bestimmte Eigenschaften (z.B. Volljährigkeit statt Alter) abgefragt werden.
Um den Verbrauchern zu demonstrieren, dass die gesetzlichen Anforderungen an das „Privacy-by-Design“ auch eingehalten werden, regen die Experten zudem Zertifizierungen an. In ihrer jetzigen Ausgestaltung seien Zertifizierungen jedoch „zu starr und zu wenig an den Produkten und dem jeweils nötigen Schutz der personenbezogenen Daten orientiert“. Es wäre daher, wie es in dem Thesenpapier heißt, „wünschenswert, wenn vermehrt zur Zertifizierung von Privacy-by-Design differenzierte Ansätze genutzt werden würden, um die mit den Datenverarbeitungsprozessen verbundenen Risiken produktspezifisch und unternehmensindividuell in den Blick nehmen zu können“.
Als wichtige Ergänzung zu Privacy-by-Design werden überdies elektronische Maßnahmen und Programme zum „Selbstdatenschutz“ genannt. Ein Beispiel hierfür seien Werkzeuge zur Anonymisierung des Nutzerverhaltens im Internet, angefangen von effektiven „do-not-track“-Funktionen bis hin zu einem individuellen Präferenzmanagement. Bei Internetbrowsern kann der Nutzer beispielsweise durch Aktivierung der „Do-not-Track“-Funktion verhindern, dass sein Surfverhalten etwa von Werbetreibenden nachverfolgt wird.
Über Möglichkeiten, entsprechende Tools zu installieren, müssten Verbraucher „stärker aufgeklärt“ werden, heißt dazu in dem Thesenpapier. Solche Ansätze könnten zwar keine datenschutzfreundlichen Voreinstellungen ersetzen, aber ergänzen.
