Daten optimieren im Zeitalter der DSGVO
Autor: Todd Ruback, CPO, Evidon, Inc. Die Datenschutz-Grundverordnung (DSGVO) sorgt bei den Unternehmen zwar für viel Unsicherheit und Angst, erinnert zugleich aber auch an das Jean-Baptiste Alphonse Karr zugeschriebene Epigramm: „Je mehr sich die Dinge ändern, desto mehr bleibt alles beim Alten“. Ich würde behaupten, dass die DSGVO Unternehmen in ihrem Geltungsbereich bereits dazu zwingt, ihre Abläufe auf radikale und oft schmerzhafte Weise zu prüfen und zu ändern. Dabei geht die Verordnung kein neues Problem an. Die DSGVO ist eigentlich nur eine Überarbeitung bereits davor gültiger (und veralteter) Gesetze zum Datenschutz der einzelnen EU-Mitgliedsstaaten. Der Hauptzweck, Einzelpersonen Kontrolle über ihre personenbezogenen Daten zu geben, ist nicht neu. Das Geniale an der DSGVO ist jedoch, dass sie uns aus einer frischen Sichtweise heraus zum Originalzustand zurückführt und eine klare Roadmap für gute Data Governance aufzeigt. Anders als in den Vereinigten Staaten, wo es leider kein landesweites Gesetz zum Datenschutz gibt, sieht die EU den Datenschutz einer Person als fundamentales Menschenrecht an. Sie betont dabei, dass dieser eine Aspekt bei der Vorbereitung auf die DSGVO Unternehmen einen besseren Dienst leistet, als die meisten anderen. Anzuerkennen, dass die personenbezogenen Daten, die ein Unternehmen sammelt, der Person und nicht dem Unternehmen gehören, und dies daher als unantastbares Menschenrecht anzusehen ist, mag vielleicht zunächst wie eine Überspitzung klingen, ist es aber nicht. Dieser prinzipiengesteuerte Ansatz zu Daten ist die Grundlage einer Data-Governance-Strategie, die das Verhältnis des Unternehmens zu Daten rundum verändern wird. Wenn neue Technologien zur Sammlung von Daten aufkommen oder neue und innovative Arten zur Nutzung von Daten erscheinen, hilft es bei der Entscheidung, ob ein Unternehmen diese neuen Technologien oder Nutzerfälle implementieren soll oder kann, wenn man sich in Erinnerung ruft, dass Datenschutz ein fundamentales Menschenrecht ist. Ist dieser Gedanke einmal in der Unternehmenskultur verwurzelt, wirken die dazugehörigen Geschäftsregeln zum Umgang mit Daten als selbstverständlich. Oder anders ausgedrückt: Bei Unternehmen mit einem Geschäftsmodell, das durch Offenheit und Ehrlichkeit respektvoll mit personenbezogenen Daten und transparent mit den eigenen Datenpraktiken umgeht, kann man sich unschwer vorstellen, wie das neue Geschäftsmodell Erfolg haben wird, unabhängig von der Technologie. Bitte halten Sie mich nicht für einen Utopisten. Das bin ich nicht. Meine Freunde würden mich sogar als abgebrühten New Yorker bezeichnen, der nichts und niemandem so schnell traut. Trotzdem bin ich optimistisch, dass ein neues Geschäftsmodell, das auf digitalem Handel mit dynamischer und in mehreren Rechtsprechungen gültiger Datensammlung beruht, aufgrund der und aus der DSGVO entstehen kann. Die Ironie dieses zukünftigen Geschäftsmodells besteht allerdings darin, dass es auf nichts Neuem basiert. Es geht prinzipiell nur darum, „das Richtige zu tun“, moralisch und menschlich vorzugehen und Kunden und Mitarbeiter so zu behandeln, wie man selbst behandelt werden will. Wenn ich mich nicht täusche, hat dies überraschende Ähnlichkeiten mit der „goldenen Regel“ – andere so zu behandeln wie man selbst behandelt werden möchte – die im Mittelpunkt vieler Weltreligionen steht. Je mehr ich darüber nachdenke, desto mehr überrascht es mich, dass dies nicht bereits die Norm ist. Ich bin aber trotzdem sehr dankbar für die DSGVO, die der lang ersehnte Auslöser für den bevorstehenden Wechsel sein kann. Von der Philosophie einmal abgesehen, ist die Operationalisierung der DSGVO sicherlich kein Kinderspiel, ganz im Gegenteil. Während sich der Futurologe in mir die Welt der Möglichkeiten vorstellt, weiß ich auch, dass der Alltag im Sinne der DSGVO schwer sein wird, sehr schwer. Zu den Herausforderungen vieler Unternehmen gehört die klare Kommunikation der Datenpraktiken, um die verordnete Transparenz zu erreichen, und gleichzeitig die Bereitstellung benutzerfreundlicher Tools zur Schulung und Befähigung einer Person bezüglich ihrer DSGVO-Rechte, wie etwa das Recht auf Vergessenwerden, auf den Zugriff und die Korrektur der Daten und auf den Einspruch gegen automatische Profilierung (Code zum Online-Tracking, auf den die Werbeindustrie gebaut ist). Weitere Herausforderungen bestehen darin, zu identifizieren, abzurufen und zu teilen, welche personenbezogenen Daten ein Unternehmen sammelt und wie es sie nutzt, und der Person gleichzeitig zu ermöglichen, über Consent Management selbst Kontrolle auszuüben. Und das sind nur die nach außen gerichteten Herausforderungen, die Unternehmen operationalisieren müssen. Intern wird vorausgesetzt, dass Unternehmen ein umfassendes Verständnis von ihrer Datensammlung und -nutzung haben, genau wissen, wo jedes Datenelement zu jedem beliebigen Zeitpunkt sitzt, und konkrete Datenelemente auf Anfrage aufrufen können. Als wäre das noch nicht genug, muss das ganze System von hieb- und stichfester Dokumentation begleitet werden, die den entsprechenden Datenschutzbehörden auf Anfrage vorgelegt werden kann. Im Anbetracht dieser Herausforderungen ist ein Paradigmenwechsel im Bereich Data Governance absehbar und notwendig. Ich möchte die schwierige Aufgabe, die uns bevorsteht, nicht schönreden, bin aber optimistisch, dass innovative Technologien, von denen ich viele bereits kenne, auf den Markt kommen und Unternehmen bei der Überwindung dieser Herausforderungen helfen werden. Automatisierte Tools werden sich natürlich als die Norm durchsetzen und es würde mich nicht überraschen, wenn das nächste große Tech-Unternehmen aus dieser Situation heraus erwächst. Ich gehe sogar noch weiter und erkläre hiermit öffentlich, dass das nächste große Tech-Unternehmen in der EU gegründet wird, mit dem konkreten Zweck, die gewaltigen Herausforderungen der DSGVO anzugehen. Aber: Je mehr sich die Dinge ändern, desto mehr bleibt alles beim Alten.