Die EU-DSGVO (im Englischen GDPR) ist ab Mai 2018 von allen Unternehmen anzuwenden. Sie bereitet den Boden für den zeitgemäßen Schutz persönlicher Daten – denn jegliches Merkmal, das direkt oder indirekt auf die Person, den realen Kunden schließen lässt, gehört geschützt. Das kann eine IP-Adresse sein oder auch eine Ortsangabe vom Smartphone. Lassen Sie uns jenseits des Hypes handeln ... Machen Sie mit beim #SASchat auf Twitter am 14. Oktober ab 15 Uhr.
Um ein realistischen Eindruck von den neuen Tönen zu bekommen, die hier jüngst in Brüssel angeschlagen werden, schauen wir uns im Folgenden die erweiterte „personal data“-Definition mal genauer an: Zeitlich kein Zufall bei jenen Potentialen rund um Cloud, IOT und mobile Massendaten – die Regulation hinkte da ja bisher eher hinterher, ließ „die Facebooks“ allerlei wertvolle Puzzlestücke absammeln und verknüpfen.
Unternehmen müssen handeln. Und haben in diesem Herbst mitunter ernsthafte Bedenken beim Abgleich der übermächtigen Gesetzeslage mit dem „gel(i)ebten Goldschürfen“ in ihren Hinterzimmern. Reicht dem Chef ein „Prozesse prüfen und ermahnen“? Oder muss man manches Datenmanagement gar neu bauen?!
Vier Faktoren des aktuellen Wandels
1) Mehr Strafverfolgung
Die EU-Vorgaben sind bindend: eine abgeschwächte, deutsche Variante entfällt. Bis zu vier Prozent des Jahresumsatzes als Strafandrohung: da horcht der Vorstand auf. Wenn vor fünf Jahren noch bei solch Datenschutz-Dingen „der Compliance-Beauftragte“ mit Jahresberichten beruhigte – in 2016 ist die DSGVO auf Augenhöhe mit z.B. kritischen Verstößen im Wettbewerbsrecht angekommen. Kompromisslos.
2) Erweiterte Haftung
Haftung meint: Ihr Unternehmen muss im Einzelnen nachweisen, wie und – schlimmer – wie gut die Personendaten geschützt werden. Und was überhaupt welche sind. Ein Paradigmenwechsel weg vom formalen Vorschriftenverwalten, hin zum realen Geschäftsprozess und dessen Funktionieren: wer darf, wer tat, wer prüfte? Statt „Persilschein“ sind jene gefragt, die Personendaten überhaupt (er)kennen! Menschen, wie auch IT-Werkzeuge.
3) Eingebauter Datenschutz (Privacy-by-Design)
Den Fluss der Kundendaten durch Ihr Unternehmen zu erforschen, das wird die erste Übung sein: Jede Abteilung dieser Prozesskette hat das sicherzustellen. Mag sein, sie tut das schon – nun muss sie das Dritten nachweisen, im Kontext des gesamten Weges (mit seinen teils pragmatischen „Abkürzungen“). Knifflig, denn das fängt schon damit an, persönliche Daten als solche zu benennen. SAS bietet für diese dokumentierende Identifikation bewährte Lösungen im analytischen Datenmanagement an.
4) Individuum im Mittelpunkt
Das Recht auf Vergessen: die „heiße Kartoffel“, nicht bloß für Suchmaschinen. Hier steht der Kunde nicht nur „im Mittelpunkt“ sondern schlimmstenfalls mit seinem Anwalt in Ihrem Büro, um all seine Daten gleich abzuholen. Damit wird seine Privatsphäre zu Ihrem Geschäftsauftrag. Der Vorteil: Vertrauen bindet Kunden, auch neue, die vom Konkurrenten überwandern, der (verlassen) bloß auf seinen AGBs beharrte. Die Chance jenseits regulatorischem Gegängelt-Werdens.
Umfassende Innovationskultur an der Basis
Es werden neue Modelle im Umgang mit Kunden und ihren Schutzbedürfnissen entstehen. Neue Mitbewerber buhlen laut am Markt um jene Gunst, den Schatz der Daten des einzelnen zu heben. Ob FinTechs, Service-Anbieter mit künstlicher Intelligenz oder traditionelle Unternehmen im Wandel: offen, wer in dieser digitalen Revolution gewinnt.
Jenseits allen Hype-Pathos bleibt festzuhalten: Der Datenmarkt ist noch kaum reguliert. Das ändert sich innerhalb der nächsten 20 (!) Monate. Und mal wieder geht die Reise in Europa los; andere rund um den Globus werden nachziehen müssen. Bei dieser (noch fernen) Harmonisierung der Handelsschranken gilt es, sich heute zu rüsten – richtig angegangen wird das zu einem weiteren Vorteil für Ihr Unternehmen in der EU!
Dieser Blog-Artikel basiert auf einem Interview mit Kalliopi Spyridaki, Chief Privacy Strategist, Europe/ Director EU Public Policy & Legal Counsel (Beitrag SAS Belgien).