CIO 013 – Datenschutz mitdenken, so wird Digitalisierung möglich – Interview mit Dr. Jana Moser

Viele Unternehmen sind gerade dabei sich auf Datenschutz und digitale Geschäftsmodelle vorzubereiten. Ich würde sagen. Es gibt eigentlich keinen wirklichen Status. Gefühlt befinden sich alle in den Startlöchern und alle auf der Startlinie. Es gibt schon ein paar, die losgerannt sind. Wobei die sich meistens glaube ich, gar nicht so sicher sind, ob sie bereits schon in die richtige Richtung laufen.

Aber ich würde sagen, die sogenannte Awareness, also insgesamt das Gefühl, dass Daten, Datenschutz in Zukunft mit wettbewerbsentscheidend werden, das ist glaube ich mittlerweile bei fast allen angekommen und dementsprechend bereiten sich gerade sehr, sehr viele Unternehmen darauf vor, indem sie vor allem auch vielleicht Datenschutzbeauftragte einstellen oder entsprechende Datenprojekte starten.

00:03:22-2

Also ich glaube schon, dass Datenschutz zukünftig noch wesentlich wichtiger werden wird und zwar aus zweierlei Gründen. Zum einen, weil sich die Regulierung ändern wird mit der Umsetzung im Mai 2018 mit der Datenschutzgrundverordnung und mit den Strafen, die dort festgelegt sind, von 4 Prozent des jährlichen Umsatzes des Konzerns oder 20 Millionen Euro. Je nachdem, was eben höher ist. Das ist sicherlich immer ein Grund, sage ich jetzt mal, dass auch Datenschutz oder generell Regulierung Auswirkungen hat nachher auf Unternehmen. Aber, was ganz, ganz wichtig ist.

Die Kunden selber, die Nutzer werden immer mehr aufmerksam auf das ganze Thema Datenschutz und zwar nicht nur unbedingt, weil es sie selber unmittelbar betrifft, weil Datenschutz, ich sage jetzt mal, Schäden merkt man gar nicht so richtig auf den ersten Blick und man kennt auch gar nicht so viele Personen, die wirklich durch Missbrauch von Daten unmittelbar einen besonders großen Schaden erlitten haben. Aber das Entscheidende ist, dass Unternehmen immer mehr tatsächlich auf die Einhaltung von Datenschutz hingewiesen werden.

Wir kennen ja Google, Facebook und so weiter. Also alles, was momentan noch mit Whatsapp in der Presse ist. Das führt dazu, dass die Nutzer insgesamt immer mehr sich Gedanken darübermachen. Und dadurch, dass eigentlich erwartet wird, dass man mit dem Datenschutz sich beschäftigt als Unternehmen und auch Antworten hat auf Datenschutzfragen.

00:04:56-4

Also mit der Datenschutzgrundverordnung hat man, also hat vor allem Deutschland versucht natürlich den Datenschutzstandard von Deutschland jetzt auch in Europa noch weiter hineinzutragen. Es gab auch schon vorher immer andere Länder, die an vielen Stellen durchaus restriktiv waren. Also zum Beispiel im Rahmen der Cookie-Regulierung hat eine ganze Weile auch die Niederlande da einen Vorreiter gespielt. Auch in anderen Ländern gibt es hier und da durchaus Regelungen, die etwas restriktiver sind.

Also Deutschland ist da nicht immer alleine sehr restriktiv. Aber ich glaube, dass wir uns da so ein klein wenig angenähert haben. Also das ganze Prinzip, dass die Einwilligung weiter das entscheidende Instrument sein wird, das werden wir zukünftig auch haben und im Ergebnis wird sich für uns an vielen Stellen gar nicht so viel ändern. Wir haben aber leider durch die Regulierung an vielen Stellen trotz alledem noch viele offene Themen, die nicht 100 Prozent geregelt sind jetzt und wo es jetzt drauf ankommt, dass die entsprechenden Juristen und Experten die Auslegung auch so vornehmen, dass sie praktikabel ist. Also, dass das Ergebnis der Auslegung nachher praktikabel ist und dass es uns nicht weiter verschlechtert, sondern uns vielleicht an der ein oder anderen Stelle die Möglichkeit gibt auch international wettbewerbsfähig zu sein als Unternehmen.

00:06:22-9

Ja ich glaube ehrlichgesagt. Nein. Und zwar aus einem Grund. Es kommt nicht darauf an, dass man ein besonders großartiges Datenschutzkonzept hat. Das sieht der Nutzer in der Regel nicht. Es kommt natürlich auch immer auf die Daten drauf an. Also hochsensible Daten, Versicherungsdaten, Bankdaten, da erwarte ich natürlich als Kunde, dass meine Daten entsprechend auch verarbeitet werden und geschützt sind und dass keiner sie – in Anführungsstrichen – klauen kann.

Aber bei anderen, ich sage jetzt mal Dienstleistungen, Services, Plattformen, Apps, da steht für die meisten Nutzer meines Erachtens doch ganz klar so eine User Experience und die Bedienbarkeit und das Design schlichtweg im Vordergrund. Und deswegen glaube ich selbst dann, dass, wenn man ein besonders tolles Datenschutzkonzept hat, es immer noch darauf ankommt, ob das Produkt gut ist. Wenn das Produkt nicht gut ist, dann bringt auch das beste Datenschutzkonzept nichts.

00:07:22-3

Ja sobald, also ich glaube, da kommt es ein bisschen darauf an wie offensichtlich das ist, dass es datenschutzrechtlich nicht gerade das Optimum ist. Wir haben es jetzt, wir haben es früher gesehen mit Facebook, klar da waren viele noch nicht so informiert, was den Datenschutz anbelangt, aber auch, was anderen Themen anbelangt. Also bestimmte Location Based Services und so weiter. Viele lassen einfach konsequent ihre Ortung ihres Handys eingeschaltet oder ein Bluetooth eingeschaltet oder machen Adressbuchabgleiche.

Einfach, weil es in diesem Moment einfach einfacher ist, weil sie dann bestimmte Services nutzen können. Und es geht also primär eher darum. Können bestimmte Services mir mein Leben erleichtern? Und wenn das dann ein großartiger Service ist und ich nicht gerade einen großartigen Datenskandal mit diesem Service habe, weil bestimmte Daten abhandengekommen sind, glaube ich, dass die Nutzer da drüber leider an vielen Stellen doch hinwegschauen, ob das Ganze besonders datenschutzfreundlich ist.

00:08:32-5

Ja der Datenschutzbeauftragte momentan ist glaube ich für viele Unternehmen wie so ein kleines Stiefkind. Es ist irgendwie, keiner will ihn so richtig haben. Häufig werden, gerade in kleineren Unternehmen, ich sage jetzt mal, da wird die Sekretärin mal schnell zur Datenschutzbeauftragten.

00:08:56-2

Schon erlebt. Also es ist jetzt nicht erfunden. Es ist wirklich, habe ich selber erlebt. Eine Datenschutzschulung, also zum Datenschutzbeauftragten. Das hat mich sehr gewundert. Ich glaube, dass sich das zukünftig ändern wird. Und ich bin damals schon als Datenschutzbeauftragte von StudiVZ, ich hatte immer so einen kleinen Button bei mir an meinem Revers oder an meinem Pullover dran. Da stand immer drauf, Datenschutz ist sexy. Also nicht, dass ich jetzt mit dem Frauenklischee spielen wollte, aber damit kann man eigentlich sehr, sehr gut zeigen, dass Datenschutz und auch Datenschutz vor allem im Unternehmen etwas ist, was verkauft werden muss.

Das ist einfach, es ist ein sehr, sehr trockenes Thema und es ist auch immer nicht ganz einfach zu verstehen. Aber es führt dazu, dass man ein bisschen mehr Aufwand darauf verwenden muss, das ganze Thema auch intern zu verkaufen. Und das wird später und jetzt mit der Datenschutzgrundverordnung sicherlich wegen der doch relativ hohen Strafen im Verhältnis zu heute sich auch noch ändern. Es werden sich viele Unternehmen lieber einen guten Datenschutzbeauftragten leisten, der ihnen erklären kann, warum Datenschutz wichtig ist. Der das ganze Thema ins Unternehmen tragen kann und zwar mit dem Blick auf das Unternehmen und ich glaube, dass insofern die Position des Datenschutzbeauftragten zukünftig gestärkt werden wird.

Die Datenschutzbeauftragten, die momentan eher so, ich sage jetzt mal, ein Halbwissen haben, bei denen wird das so sein. Die werden wahrscheinlich auch nicht unbedingt dann zukünftig weiter Datenschutzbeauftragte sein und im Umkehrschluss wird der Run auf die Datenschutzbeauftragten, die sehr, sehr gut sind und vor allem werden es viele Juristen sein, der wird jetzt langsam losgehen und spätestens kurz vor Mai 2018 oder danach, wenn vielleicht die ersten Datenskandale dann da sind, die ersten Strafen, Strafzettel sozusagen reingeflattert sind, dann werden sich wahrscheinlich viele Datenschutzbeauftragte, gute Datenschutzbeauftragte vor Anfragen kaum retten können.

00:10:46-7

Ja. Absolut. Also das wird sicherlich also eines der nächsten Sachen sein in Zukunft, wenn die Unternehmen es denn dann verstanden haben. Viele Unternehmen scheuen ja aktuell auch noch davor den Datenschutzbeauftragten einzustellen und nehmen lieber externe Datenschutzbeauftragte.

Ich persönlich halte davon nicht so viel, weil ein Unternehmen, was den Datenschutzbeauftragten inhouse hat, hat den enormen Vorteil, dass derjenige wirklich die Prozesse intern kennt und viel mehr, wenn er gut ist natürlich, viel mehr aktiv mitdenken kann. Was wirklich im Sinne des Unternehmens ist. Wie die einzelnen Prozesse sind, wie die Sachen zusammenspielen. Und deswegen glaube ich, dass es sinnvoller ist, intern jemanden zu finden. Und klar, je schneller man jetzt anfängt sich die guten Leute raus zu picken, umso besser wird man dann dran sein und auch vorbereitet zu sein, weil jetzt muss man anfangen mit der Datenschutzgrundverordnung-Vorbereitung und nicht erst im April 2018.

00:11:53-6

Genau.

00:11:58-0

Ja ich glaube vor allem, wenn wir mal über das Management gehen. Das ist ja sehr viel oder sehr, sehr häufig, was man erlebt, ist, dass entsprechende Anbieter mit den scheinbaren Allround-Lösungen im Sinne von, ich kann die CRM Daten zusammenführen mit Tracking-Daten und personalisiert und kann dann alles ausspielen und dann auch noch Werbung machen und E-Mails verschicken.

00:12:40-4

Dann freuen sich alle und die Manager freuen sich auch alle und sagen. Mensch genau das ist das, was wir haben wollen. Super, binden wir ein und wir schließen jetzt den Vertrag. Erstes Problem. Von Anfang an muss eigentlich der Datenschutz mit einbezogen werden. Warum? Weil alleine das Zusammenführen von Daten nicht einfach möglich ist. Es kommt immer auf den Einzelfall an. Es gibt auch keine Pauschalantwort.

Aber im Groben kann man sagen, wenn Daten von unterschiedlichen Töpfen, bildlich gesprochen, in einen Topf zusammengerührt werden, dann sorgt das dafür, dass man Daten, die zu unterschiedlichen Zwecken mal verarbeitet worden sind, auf einmal zu einem neuen Zweck verarbeitet werden. Und genau das entspricht eigentlich genau oder widerspricht eigentlich genau dem Zweckfindungsgrundsatz, den unser Datenschutzrecht jetzt und auch in Zukunft vorsieht. Das heißt, man muss von Anfang an auch, wenn man sich überlegt, ist das, was wir als Tool möglicherweise jetzt lizensieren oder eine Kooperation eingehen oder einen Dienstleister beauftragen, ist das, was der da anbietet überhaupt zukunftsfähig? Brauche ich möglicherweise nicht eine Einwilligung von dem Nutzer? Das heißt, das sind alles Themen, die ich einmal vorher abklären muss, bevor ich darauf überhaupt ein Geschäftsmodell aufbaue.

Ich glaube, da sind viele Buzz-Wörter, die momentan rumgeschmissen werden und miteinander vermengt werden ohne allerdings darauf zu achten, dass möglicherweise doch einige Restriktionen gerade im Datenschutz dazu führen, dass man nicht jedes Datum mit einem anderen Datum einfach verbinden kann und erst recht nicht direkt personalisiert dann verwenden kann für Werbung oder für Ansprachen.

00:14:17-4

Ja. Absolut. Also einmal zu dem Opt-In. Da ist glaube ich ganz wicht, da gibt es häufig immer ein Missverständnis. Es gibt quasi das datenschutzrechtliche Opt-In. Das heißt, wenn eine Rechtsgrundlage im Gesetz nicht ausreicht, um etwas mit Daten zu tun, dann gibt es ein anderes rechtliches Vehikel und das ist eben diese Einwilligung des Nutzers, dass man ihn danach fragt, ob man etwas dann doch mit den Daten noch tun darf. Und dann gibt es die Einwilligung überhaupt E-Mails unmittelbar zu verschicken. Das geht eher nach Wettbewerbsrecht. Das sind zwei unterschiedliche Sachen. Das wird sehr, sehr häufig miteinander vermengt und verwechselt.

00:15:17-2

Zu dem Thema, ich sage jetzt mal Konzernprivileg oder wenn Unternehmen im Konzern etwas miteinander machen, ist es so, dass es in Deutschland und auch zukünftig kein Konzernprivileg in diesem Sinne gibt. Also nur, weil Unternehmen zu einer Gruppe zusammengehören, heißt das noch nicht, dass sie miteinander ohne Grenzen Daten teilen können oder etwas miteinander tun können. Zukünftig wird es da eine kleine Regelung geben, die zumindest sowas wie ich sage jetzt mal die Holding stellt die Personalabteilung und die Verarbeitung von Personaldaten für die gesamte Gruppe zur Verfügung.

Solche Sachen könnte man wahrscheinlich zukünftig mit einer Regelung, die in der Datenschutzgrundverordnung vorhanden sein wird, rechtfertigen. Aber da sind die Grenzen wahrscheinlich sehr, sehr eng. Aktuell ist das alles sehr, sehr schwierig. Muss man das immer alles im Detail begründen, aber im Großen und Ganzen muss man auch da sagen. Es gibt kein Privileg, dass Konzerngesellschaften untereinander dazu berechtigen würde, Daten miteinander zu teilen.

00:16:22-6

Mhm (bejahend). Also (lacht) ganz ehrlich. Ich glaube, es gibt keine Aussage Big Data ist zulässig oder unzulässig. Es kommt auch da immer wieder drauf an wie man es nachher tatsächlich umsetzt. Ich glaube, aus meiner Perspektive und das, was ich so an ich sage mal Umsetzungen schon gesehen und von gehört habe, es gibt durchaus Varianten wie man Big Data oder ich würde es eher sagen Smart Data also wie ich Daten so intelligent zusammenführen kann, dass sie mich in meinem Geschäft und mit meinem Geschäftsmodell weiter vorantreiben oder möglicherweise neue Geschäftsmodelle begründen können diese Daten, dass da durchaus Varianten vorhanden sind. Also vor allem mit Blick auf Pseudonymisierung, auch auf Anonymisierung.

Gibt ja unterschiedliche Stufen, die das Gesetz dann entsprechend zulässt oder die das aktuelle Gesetz jedenfalls kennt. Das heißt, dass wenn ich möglicherweise nur meine Daten auswerte ex post, um sie dann die Informationen, die ich aus diesen Auswertungen gewonnen habe, verwende, um insgesamt meine Leistungen zu optimieren. Auch das ist ja eigentlich schon Big Data. Also ich lerne aus Daten.

00:17:44-0

Ich lerne auch daraus, was Kunden generell bei mir auf meiner Seite möchten. Das sind Sachen, die meines Erachtens, wenn man einen richtigen Grad an Anonymisierung und so weiter schafft, ohne Probleme möglich sind. Das Interessante wird allerdings dann, wenn ich anfange Daten intelligent so zu nutzen, dass ich in Echtzeit den Nutzer personalisiert bestimmte Angebote unterbreiten möchte. Entweder in Realtime direkt sozusagen innerhalb der App oder auf der Webseite oder vielleicht sogar dann etwas verzögert mit einer direkten E-Mail Ansprache. Dann fängt das an, dass das unmittelbar auf den Nutzer bezogen geht und dann reden wir auch von Profiling.

Klingt auch immer alles sehr, sehr negativ. Also Profiling klingt ja auch deshalb so negativ, weil es ja irgendwie so ein bisschen was mit diesem strafrechtlichen Gedanken dahinter ist oder dass ich ein Profil von jemandem erstelle und das dann alles immer ganz negativ und böse ist. Das muss auch nicht der Fall sein. Ich glaube, da ist es wichtig transparent zu sein und sich von vornherein bewusst darüber zu sein, welche Daten brauche ich eigentlich wirklich, um mein Angebot optimal zu unterbereiten. Und da ist meines Erachtens weniger manchmal mehr.

Und da müssen auch Unternehmen von Anfang an, wenn sie sich ein Smart oder Big Data Projekt überlegen, genau überlegen, welche Daten brauche ich eigentlich, um mein Geschäftsmodel zu optimieren und möglicherweise einen Use Case für mich zu erarbeiten aus Daten heraus. Und ich glaube, das ist eines der allerersten Sachen, wenn ich darüber nachdenken solle, möchte ich ein Datenprojekt haben oder nicht.

00:19:12-9

Keine Angst vor Datenschutz haben.

00:19:25-3

Ja. Weil Datenschutz, es klingt fürchterlich. Klingt in der Regel immer nach einer Blockade. Ist es aber nicht. Datenschutz ist etwas, was man einfach mitdenken muss. Und das ist wie bei vielen anderen Sachen auch. Ich überlege mir ja auch, wenn ich eine Software lizensiere, überlege ich mir auch, ob sie nachher skaliert. Und das sind alles Themen, das sind Sachen, die einfach sozusagen mit in das täglich Doing mit übergehen müssen. Und dazu gehört eben auch Datenschutz.

Datenschutz ist etwas, was man, wenn man von Anfang an alle Personen richtig abholt und alle da mitdenken, nichts, was einem das Geschäftsmodell verbaut. Ganz im Gegenteil, wenn man dadurch sogar seine Risiken innerhalb des Unternehmens minimieren kann, weil man Datenschutz von Anfang an mitbedacht hat, hat man ganz, ganz viel gewonnen, weil man im Nachhinein bei etwaigen Problemen nicht von vornherein alles wieder ändern muss und dadurch enorme Aufwände hat und möglicherweise seine eigenen Geschäfte nicht weiterentwickeln kann, weil man erstmal monatelang damit beschäftigt ist, seinen fehlenden Datenschutzstandard, den man am Anfang eben nicht bedacht hat, erstmal wieder einzubauen.

Und gerade bei großen Konzernen, wo vielleicht nicht unbedingt der Entwicklungssprint 2 Wochen ist, sondern vielleicht noch nach Wasserfall sechs, zwölf Monate lang entwickelt und programmiert wird, wäre das Worst Case.

00:20:43-0

Ja.

00:21:03-7

Ja. Sehr gerne. Dankeschön!

00:21:11-3