Der Datenschutz in Deutschland ist aus einem Dornröschenschlaf erwacht. Im Oktober 2015 scheiterte Safe Harbor nach 15 Jahren. Das Abkommen erlaubte es Unternehmen, personenbezogene Daten aus der EU in die USA zu transferieren und dort weiter zu verarbeiten.
Eine bindende Nachfolgeregelung gibt es derzeit noch nicht – aktuell haben sich USA und EU vorerst auf ein so genanntes Privacy Shield Abkommen festgelegt. Zudem haben sich im Dezember 2015 Europarat, Europäisches Parlament und Europäische Kommission auf eine EU-Datenschutzgrundverordnung geeinigt. Eine Geldstrafe in Höhe von 4% vom globalen Jahresumsatz droht Konzernen ab 2018 bei Verstößen. Unternehmen und Marketers, die sich um den Schutz ihrer Kundendaten kümmern und alle neuen Entwicklungen genauestens verfolgen, sichern sich also ab. Außerdem haben sie das Vertrauen der Kunden und Partner auf ihrer Seite, womit sie einen klaren Wettbewerbsvorteil gewinnen.
In den letzten Jahren haben die deutsche Regierung und Fachexperten immer wieder über Grundsätze zum Datenschutz diskutiert; Grund waren häufig US-amerikanische Unternehmen wie Facebook oder Amazon, die auch in Deutschland tätig sind und einen eher laxen Umgang mit persönlichen Daten pflegen. Auch der NSA-Skandal hat ein trübes Licht auf den Datenschutz geworfen. Klar ist, weitermachen wie bisher können nur die Verbraucher, nicht aber die Unternehmen, bei denen persönliche Daten Teil des Geschäftsmodells sind. Das Kippen des Safe-Harbor-Abkommens und die neue EU-Datenschutzgrundverordnung zwingen Unternehmen nun zum Handeln. Die Entscheidungen sind eindeutig ein Weckruf.
Das Scheitern von Safe Harbor: Fluch oder Segen für europäische Unternehmen?
Seit dem Jahr 2000 war es Unternehmen erlaubt, personenbezogene Daten aus der EU in die USA zu transferieren. Rechtliche Grundlage bildete das sogenannte Safe-Harbor-Abkommen. Das ist seit dem 6. Oktober 2015 Geschichte, denn der Europäische Gerichtshof (EuGH) erklärte das Abkommen für ungültig. Informationen seien in den USA nicht ausreichend vor Geheimdiensten und anderen Behörden geschützt, so die Begründung. Aktuell wird das Nachfolgeabkommen „Privacy Shield“ viel diskutiert und untersucht. Bis zu einer rechtlichen Einigung zwischen EU und USA sind die Unternehmen auf der sicheren Seite, die lokalen gesetzlichen Regelungen immer strikt einhalten.
Betroffen von der Safe-Harbor-Entscheidung sind alle Unternehmen, die mit personenbezogenen Daten arbeiten, vor allem Soziale Netzwerke und andere Internetunternehmen in und aus den USA sowie US-amerikanische Cloud-Anbieter und -Dienstleister – aber auch alle Marketingabteilungen, die Kundendaten für ihre Kampagnen heranziehen. Und natürlich deren Geschäftskunden, die ihre Dienste zur Speicherung der personenbezogenen Daten von EU-Bürgern nutzen. Laut Wirtschaftswoche sind weit mehr Unternehmen davon betroffen als die 4.400 Unternehmen, die nach Safe Harbor gelistet sind. Ob und wie das „Privacy Shield“ Abkommen Safe Harbor ablöst, wird sich zeigen. Voraussichtlich werden von den Datenschutzbehörden die aktuell geltenden Standardvertragsklauseln und die Binding Corporate Rules, mit denen auch Daten ins Ausland übermittelt werden können, hinterfragt. Darüber müssen sich dann Unternehmen und die EU-Kommission, eventuell unter erneuter Hilfe des EuGH, verständigen.
Unternehmen drohen Bußgelder in Höhe von 4% Prozent des globalen Jahresumsatzes
Im Dezember 2015 hat die Europäische Union sich auf die konkreten Inhalte ihrer bisher nur diskutierten EU-Datenschutzgrundverordnung geeinigt. Somit ist der Schutz sensibler Daten innerhalb der EU sichergestellt und EU-weite Standards in Sachen Datenschutz gesetzt. Mit ihrem voraussichtlichen in Krafttreten 2018 sind auch US-amerikanische Unternehmen betroffen, die bisher dem Safe Harbor-Abkommen unterlagen. Ein Grund mehr zu handeln und auf Datenschutz zu setzen.
Der wichtigste GDPR Grundsatz: Personenbezogene Daten gehören dem Nutzer, nicht dem mit der Datenverarbeitung befassten Internetdienst. So soll der Nutzer zukünftig leichter Zugang zu seinen Daten bekommen und auf Wunsch umgehend erfahren, welche Daten über ihn gesammelt werden. Das beinhaltet auch leicht verständliche Angaben zum Hosting und Verarbeiten seiner Daten. Die neuen Regelungen gelten für alle in Europa ansässigen Unternehmen. Wer sich nicht an die rechtlichen Vorgaben hält, muss mit hohen Bußgeldern rechnen – bis zu 4% Prozent des globalen Jahresumsatzes. Das kann für Großunternehmen schon einmal in die Millionen gehen.
Deshalb ist die Auseinandersetzung mit allen Prozessen, die personenbezogene Daten berühren, eine Versicherung für jedes Unternehmen.
Was bedeutet das nun konkret für europäische Unternehmen?
Mit dem kippen Safe-Harbor-Abkommen hat die Europäische Gemeinschaft Fakten geschaffen, die Unternehmen nicht mehr von der Hand weisen können. Die Positionen rund um die EU-Datenschutzgrundverordnung und Safe Harbor machen deutlich, wo die Datenschutz-Reise hingeht: Der Verbraucher und seine persönlichen Daten stehen unter dem Schutz gesetzlicher Regelungen. Und Unternehmen, die in Europa Geschäfte machen, müssen sich strikt daran halten. Das weist vor allem Chief Marketing Officers und IT-Entscheider eine ganz neue Rolle zu: Sie müssen einen ganz intensiven Blick auf den Datenschutz werfen und nun auch rechtliche Konsequenzen bei ihren Marketingstrategien bzw. IT-Investitionen bedenken.
- Unternehmen, die bisher Nutzerdaten aus der EU in die USA übermittelt haben, sollten nun auf Alternativen ausweichen. Alternativen sind in dem Fall Datacenter- und Cloud-Anbieter und Anbieter von Website-Services oder Apps, die sich konkret um Datenschutzsicherheit für ihre Kunden gekümmert haben – z.B. in Form von Zertifizierungen, Regelungen mit Drittanbietern oder Datacenter auf europäischem Boden. CRM-Anbieter können bei Marketing- und Datenschutzverantwortlichen viel bewegen. Beispielsweise Lassen sich Kundenprofile zentralisieren und Anwendungen bei der Datenverarbeitung integrieren. Das macht sie weniger angreifbar. Nach diesen Maßgaben haben wir unser Secure Customer Engagement Hub ProCampaign aufgebaut.
- Unternehmen, die nicht hundertprozentig wissen, wo ihre Kundendaten gehostet werden, sollten sich umgehend schlau machen. Dabei reicht es nicht, das Kleingedruckte in den AGBs des Cloud-Anbieters zu lesen. Es gilt direkt zu klären, wo die unternehmenseigenen Kundendaten gehostet werden und zu welchen Datenschutz- und Sicherheitsbestimmungen. Denn Datenschutz ist auch immer verbunden mit der genutzten Sicherheitstechnologie.
- Unternehmen, die mit personenbezogenen Daten arbeiten, sind nun in der Pflicht, sicherzustellen, dass es keine unerlaubten Zugriffe auf ihre Daten bzw. technischen Einrichtungen gibt. Das bedeutet, sie müssen sowohl technische als auch organisatorische Vorkehrungen für ihre Services treffen. Ein anerkanntes Verschlüsselungsverfahren (§ 13 Abs. 7 Telemediengesetz n.F.) ist wichtig, um alle personenbezogene Daten vor äußeren Angriffen zu schützen. Zudem sollten auch kleine Unternehmen unbedingt einen Datenschutzbeauftragten benennen und mit den nötigen Rechten ausstatten.
- Unternehmen, die einen sicheren CRM-Anbieter oder Datacenter-Betreiber suchen, sollten mit offenen Karten in die Verhandlungen gehen. Eine Vorabrecherche zeigt ihnen, welche Anbieter datenschutzkonform arbeiten: Gibt es Zertifizierungen, wo werden die Daten gehostet etc.? Wichtig ist, sich bis ins kleinste Detail erklären zu lassen, wo die Daten ihrer Kunden lagern werden und welches Verschlüsselungsverfahren angewendet wird. Konkrete Fragen nach Zertifizierungen lassen gewisse Vertragspartner bereits durchs Raster fallen. Bei der Auswahl des Anbieters können sich Kunden grundsätzlich an der Zertifizierung nach ISO 27001 orientieren.
Der Datenschutz in Europa hat neue Impulse bekommen. Die Auseinandersetzung mit allen Prozessen, die personenbezogene Daten berühren, ist somit eine Versicherung für jedes Unternehmen. Mein Appell an alle Unternehmen und Marketiers, die mit (sensiblen) Kundendaten arbeiten: Denken Sie um in Sachen Datenschutz – er ist nicht Ihr Feind, sondern Ihr Freund. Denn Datenschutz ist Markenschutz. Investitionen in sichere Daten zahlt sich aus, weil Kunden und Partner die Bemühungen zu schätzen wissen.
Andres Dickehut ist CEO der Consultix GmbH.