Article

Mega-Thema Datenschutz: Neue Regulierung in einem brisanten Kernbereich der Digitalisierung

Die neue EU-DSGVO ist Herausforderung und Chance zugleich

Es ist soweit: Am 25. Mai 2018 wird die Datenschutz-Grundverordnung der Europäischen Union wirksam. Und trotz des sperrigen Namens ist das Regelwerk alles andere als ein Papiertiger. Unternehmen drohen bei Verstößen hohe Bußen. Um eine stringente Implementierung führt also kein Weg herum – eine enorme Aufgabe quer durch die Unternehmensbereiche. Über die nötige Compliance hinaus gibt es aber noch weitere gute Gründe, jetzt das Mega-Thema Datenschutz in den Fokus zu rücken. Die attraktiven datengetriebenen Geschäftsmodelle der Zukunft sind ohne ihn nämlich überhaupt nicht denkbar: Datenschutz ist ein Kernbestandteil digitaler Wertschöpfung. Dieser Artikel verschafft Ihnen einen Überblick über die Anforderungen der Grundverordnung – und die Wettbewerbsvorteile, die das Zukunftsfeld Data Privacy Unternehmen auf dem Weg in die Digitalisierung eröffnet.

Datenschutz ist aktuell in aller Munde: Diverse Skandale, etwa um soziale Netzwerke, bewegen die Öffentlichkeit und immer mehr auch die Märkte. Man denke nur an die Folgen des Falls Cambridge Analytica für Facebook. Solche Vorfälle kommen wie gerufen zum bevorstehenden Geltungsstart der neuen EU-Verordnung. Die zweijährige Übergangsfrist der EU-DSGVO läuft aus, die Vorgaben werden am 25. Mai 2018 verbindlich.

Ein umfangreiches, überaus komplexes Thema für deutsche Unternehmen, das verschiedenste Fachbereiche involviert und existenzielle Bedeutung für die Zukunft hat. Worum geht es? Worauf zielt der verschärfte Schutz? Wie setzen Unternehmen die Vorschriften um? Und vor allem: Wie verzahnen sie Datenschutz mit ihren aktuellen und zukünftigen Geschäftsmodellen? Im Zeitalter der Digitalisierung sind das drängende Fragen, denn wo die Menge der Daten exponentiell steigt, gibt es natürlich auch exponentiell mehr zu schützen.

Worum es geht: Das Recht an den eigenen Daten

Die Daten der Person sind unantastbar: So könnte man den hohen Stellenwert umschreiben, den Datenschutz für den Gesetzgeber hat. Gemeint sind damit nicht allgemeine IT-Security oder operative Sicherheit („Safety“), sondern alle Informationen über natürliche Personen („Privacy“). Vom Kunden über den Mitarbeiter bis hin zum Geschäftspartner: jeder betroffenen Person wird informationelle Selbstbestimmung eingeräumt, also eine weitreichende Befugnis, über alle Daten selbst zu bestimmen, die das Unternehmen von ihr vorhält oder verarbeitet. Selbst solche, die nur indirekt Rückschlüsse auf die Einzelperson zulassen.

Neben der Adresse und anderen typischen personenbezogenen Daten aus der Vertragsbeziehung treten dabei heutzutage immer neue Kategorien von Informationen, die dank Digitalisierung, Mobilität und Internet of Things Details aus der Privatsphäre enthalten können – vom Smartphone übertragenen Ortsdaten über die per Fitness-App ermittelte Pulsfrequenz bis hin zu hoch präzisen Hinweisen auf Konsumpräferenzen etwa aus Browserdaten und der Kaufhistorie im Internet. Die neue, schärfere Grundverordnung zielt auf diese rapide wachsende Datenmenge in Unternehmen. Insbesondere bei solchen, bei denen Daten das Kerngeschäft ausmachen, zunehmend aber auch bei Unternehmen mit konventionellen Geschäftsmodellen.

Wichtig ist dabei, dass Personendaten und die damit einhergehenden Rechte nicht nur den unmittelbaren Business-to-Consumer-Bereich betreffen. Im Datenschutz ist die Abgrenzung zwischen B2B oder B2C nicht immer einfach. Denn im Zuge der Digitalisierung werden Informationen in ganz neuem Maßstab ausgelagert und von Dienstleistern weiterverarbeitet. Big Data, Advanced Analytics und neue datenbasierte Businessmodelle jenseits des traditionellen Kerngeschäfts bedeuten z. B., dass hier auch Auftragsverarbeiter, also Dienstleister oder andere Gesellschaften im Konzernverbund oder außerhalb, berücksichtigt werden müssen.

Umfassend, streng, weitreichend: Die Neuerungen in der EU-DSGVO

Welche einzelnen Regelungen machen die DSGVO nun so bemerkenswert? Vorweg sei gesagt: Nicht alle Vorschriften und Betroffenenrechte sind neu. Insbesondere in Deutschland waren einige Bereiche ähnlich schon von den Regeln im bisherigen Gesetz abgedeckt. Dadurch ergibt sich teilweise sogar ein gewisser Wettbewerbsvorteil. Etwa beim Thema des Datenschutzbeauftragten, der hierzulande bereits fest etabliert ist. Hier sind deutsche Unternehmen im europäischen Kontext vergleichsweise gut aufgestellt. Und wenn sie in einzelnen Bereichen noch Nachholbedarf haben, dann ist es jetzt höchste Zeit für eine Umstellung. Denn auch die Sanktionen werden in der neuen Verordnung stark verschärft.

Hohe Bußgelder

Drakonische Strafen drohen: bei Verstößen können je nach Schwere Bußgelder in Höhe von bis zu drastischen 20 Millionen Euro oder 2 bis 4 Prozent des weltweiten Umsatzes der betroffenen Firma erhoben werden – je nachdem, welcher Wert der höhere ist. Nachlässigkeit in der Compliance können sich Unternehmen in Zukunft buchstäblich nicht mehr leisten. Über das neue „Marktortprinzip“ sind auch außereuropäische Unternehmen von diesen Regelungen und Sanktionen betroffen, sofern sie auf dem EU-Gebiet oder auf Bürger der EU bezogene Daten verarbeiten.

Rechenschaftspflicht

Befolgen genügt nicht: Unternehmen müssen das Befolgen der Regeln darüber hinaus auch ausführlich dokumentieren. Diese Vorschrift betrifft somit auch alle anderen. Das bisher schon von der deutschen Gesetzgebung geforderte Verfahrensverzeichnis wird erweitert. Folgenabschätzungen zum Datenschutz gehören in Zukunft daher ebenfalls zu den Pflichten der Unternehmen.

Privacy by Design

Datenschutz von Anfang an: zukünftig muss der Privacy-Aspekt schon in die Entwicklung von Produkten und Dienstleistungen einfließen. Eine Win-Win-Regelung, denn dieser Ansatz ist ohnehin wirtschaftlicher als aufwändige Änderungen im Nachhinein.

Privacy by Default

Restriktion ab Werk: Voreinstellungen müssen sicherstellen, dass ausschließlich erforderliche personenbezogene Daten erhoben werden und diese z.B. in Profilen nicht allgemein zugänglich sind.

Löschprinzip / Übertragbarkeit

„Recht auf Vergessen“: das gab es teilweise schon bisher. Die Umsetzung bleibt technisch und organisatorisch anspruchsvoll. Bislang unterschätzt wird allerdings das neue Recht auf Daten-Übertragung. Es hat sich aber noch nicht herauskristallisiert, wie es optimal praktiziert werden sollte. Relevante Rechtsprechung steht noch aus. Hier könnten nach Ansicht der Deloitte Experten industriespezifische Standards und Plattformen eine künftige Lösung darstellen.

Meldepflicht

72 Stunden: so kurz ist die Frist, die den Unternehmen für die Meldung schwerer Datenschutzvorfälle an die örtliche Aufsichtsbehörde bleibt. Nur mit klarem Workflow und durchdachter Organisation ist diese Vorgabe einzuhalten. Dazu gehört auch eine umfassende interne Pflicht zur Dokumentation aller Vorfälle, selbst wenn sie wegen mangelnder Schwere gar nicht meldepflichtig sind.

Einwilligung

Ohne Rechtsgrundlage geht gar nichts: Die Verarbeitung von Daten braucht immer eine zweckgebundene Begründung. Dieses juristische Fundament kann sich aus der unmittelbaren Vertragserfüllung selbst ergeben, wenn sie das Vorhalten personenbezogener Daten notwendig macht, was ja schon mit der Rechnungsadresse beginnt. Der Zweck kann darüber hinaus in der Erfüllung von anderen gesetzlichen Auflagen wie etwa der Geldwäscheprävention begründet sein. Oder eben auch durch eine explizite Einwilligung des Kunden zu einer über den unmittelbaren Vertrag hinausgehenden Verarbeitung. Das Vorliegen und Fortbestehen einer solchen Einwilligung hat natürlich elementare Bedeutung für die neuen datengetriebenen Geschäftsmodelle, die ja regelmäßig über das konventionelle Vertragsverhältnis hinausgehen.

Kluges und transparentes „Consent Management“, also das Bemühen um die Einwilligung des Kunden zu dieser Form der Datenerhebung und -verarbeitung, ist daher ein unabdingbarer Baustein der digitalen Wirtschaft. Dazu gehören auch ganz zentral die Aspekte einer effizienten Kommunikation und persönlichen Ansprechbarkeit des Unternehmens in puncto Datenschutz. Sonst macht der Kunde womöglich den rosigen Big-Data-Aussichten mit wenigen Mausklicks einen Strich durch die Rechnung.

Potenziale jenseits bloßer Compliance: Datenschutz als wertvolles digitales Kernthema

Die vielen Verschärfungen machen den Handlungsdruck in Folge der DSGVO offensichtlich. Doch auf die Vorschriften nur zu reagieren, wäre deutlich zu wenig. Wichtig für Unternehmen ist vielmehr eine aktive Umsetzung. Denn beim Datenschutz handelt sich um weit mehr als nur eine lästige Pflicht. Mit dem richtigen Ansatz lässt sich das Thema von einer externen Auflage zum strategischen Trumpf aufwerten, der bedeutende Vorteile beim Aufbruch in die Zukunft der Digitalisierung generieren kann. Das sind die wesentlichen Chancen:

Datenmanagement im Unternehmen verbessern

Willkommener Anlass: die EU-DSGVO ist die ideale Gelegenheit, um IT- und Data Governance-Strukturen auf den neuesten Stand zu bringen. Einerseits können im Vorfeld der Einführung der Grundverordnung eventuell noch vorhandene Altlasten endlich ausgeräumt werden. Dabei ist die Vermeidung der stark erhöhten Bußgelder sicher ein attraktiver Zusatzanreiz. Andererseits kann das Momentum aus der Implementierung der Datenschutz-Bestimmungen auch weitergehende Benefits über die „bloße“ Compliance hinaus erzielen.

Im Rahmen der Vorbereitung auf die DSGVO bietet sich eine Überprüfung und vielleicht auch Neuordnung der bestehenden Daten und Strukturen zur Datenverarbeitung an. Die Pflege von Datensätzen und Datenorganisation, etwa durch Beseitigung von Doubletten und bessere Standards, führen zu einer höheren Qualität und damit auch Werthaltigkeit der vorhandenen Daten.

Reputation stärken

Der Ruf zählt: Die IT-Technologie und ihre Verwertung hat sich in den letzten Jahren explosionsartig weiterentwickelt. Doch das Bewusstsein in der Gesellschaft und in den Medien hinkte bei Themen im Bereich Datenschutz lange hinterher. Bereitwillig nutzten die Verbraucher die neuen Dienste, ohne sich groß um das Kleingedruckte zu scheren. Das ändert sich jetzt aber grundlegend, wie die jüngsten Skandale im Bereich Privacy zeigen. Der Schutz der eigenen Privatsphäre ist heutzutage zu einem gesellschaftlichen Trend geworden. Auch Nutzer ohne spezielles Wissen über Computer & Co. interessieren sich neuerdings verstärkt für „Überwachung“ beim Surfen im Internet oder technische Features wie die Ende-zu-Ende-Verschlüsselung bei Messengern. Gut für solche Player, die Datenschutz im Markenkern verankert haben und sich in diesem Punkt nichts zu Schulden kommen lassen. Ihnen wird der Verbraucher in Zukunft logischerweise eher sein Vertrauen schenken.

Digitale Geschäftsmodelle gestalten

Mehr als nur ein Add-on: Datenschutz ist keine Zusatzfunktion, sondern gehört zentral zur DNA digitaler Wertschöpfung. Nicht nur datenverarbeitende IT-Unternehmen, sondern auch konventionelle Firmen quer durch die Branchen weiten heute schließlich ihre Aktivitäten aus und suchen nach neuen datengetriebenen Geschäftsmodellen. Das gelingt aber nur mit dem Einverständnis und der Kooperation des Kunden. Das schon erwähnte „Consent Management“ ist das juristische und auch praktische A und O der Daten-Wirtschaft. Mit Transparenz schaffen Unternehmen Vertrauen – und zudem Benefits für den Kunden, die ihm allerdings auch deutlich kommuniziert werden müssen.

Dass Datenschutz zukünftig schlicht dazu gehört und obendrein auch noch sehr lukrativ sein kann, zeigt etwa die aktuelle Deloitte-Studie Automotive Data Treasure zur Datennutzung im Auto. Ein besonders spannendes Ergebnis daraus: Je informierter Kunden über Datenschutzthemen sind, desto mehr sind sie bereit, für digitale Dienste zu bezahlen (hier: Connected Car Services). Datenschutz ist also alles andere als ein Hindernis auf dem Weg in die Digitalisierung. Im Gegenteil: Für den aufgeklärten Kunden von morgen ist er geradezu eine Voraussetzung.

Komplexität meistern: Datenschutz implementieren mit Deloitte

Data Privacy sprengt die Grenzen der Fachbereiche: Die Implementierung des Datenschutzes ist beileibe nicht nur eine Aufgabe für die IT. Im Rahmen der Digitalisierung ist hierfür ein unternehmensweiter Bewusstseinswandel erforderlich, der umfassende Awareness und Accountability umfasst. Es handelt sich dabei also um ein echtes Transformations-Thema, für dessen Gelingen ein zentral aufgesetztes Transformationsprogramm entscheidend ist. Auch wenn im Unternehmen relevante Strukturen und Rollen wie die des Datenschutzbeauftragten vielleicht schon vorhanden sind, ist diese Aufgabe von ihnen kaum im Alleingang zu lösen.

Die Experten von Deloitte sind die idealen Partner für diese Transformation. Sie können auf einen außerordentlich breiten und tiefen Wissenspool zurückgreifen – sei es in den Bereichen Legal, Risk Advisory, Technology oder Security. Dazu kommt umfassende globale Erfahrung in den verschiedensten Branchen und Sektoren. Mit diesem Hintergrund kann Deloitte eine gründliche Bestands-Analyse, effiziente Umsetzung und vorausschauende Weiterbetreuung anbieten. Die Kräfte und Kompetenzen aus den unterschiedlichen Fachbereichen werden im jüngst gegründeten Deloitte Center for Data Privacy gezielt gebündelt.

Eine effizient strukturierte Datenorganisation im Unternehmen mit klaren Verantwortlichkeiten und effizienten Workflows wird im Zuge der Digitalisierung ein immer wertvolleres Asset. Mit den Fachleuten vom Center for Data Privacy die Datenschutz-Compliance als lohnende Investition in die Zukunft gestalten: so wird die Implementierung der EU-DSGVO zum nachhaltigen Erfolg.

Gestalten Sie mit uns die digitale Zukunft Ihres Unternehmens!

Datenschutzgrundverordnung (DSGVO / GDPR)