Die Rohdaten sind mein, die Erkenntnisse dein (DSGVO)

Die Umsetzung der DSGVO duldet keinen Aufschub. Der Stichtag rückt näher, die Übergangsphase ist jetzt. Panik? Nicht doch! Atmen Sie durch und priorisieren Sie. Fragen Sie sich, über welche Bereiche die Regulatoren und Verbraucher am ehesten „stolpern“ könnten. Schließlich stellt die DSGVO auch eine Chance dar. Viele Unternehmen, die teilweise seit Jahren damit kämpfen, ein umfassendes Data Governance Framework aufzubauen, haben jetzt einen guten Grund, dieses Vorhaben in die Tat umzusetzen. Wem gehören welche Daten ab Mai? Diese Themen waren Gegenstand des CI Connection Circle von SAS in Nizza. Lesen Sie auch hier eine aktuelle Studie zum Thema.

Auch wenn sich die Ereignisse im Mai überschlagen werden: Niemand ertrinkt in DSGVO

Doch gehen wir ins Detail: Ein heiß diskutiertes Thema beim Customer Intelligence Connection Circle (CI Connection Circle), den SAS erstmals Ende vergangenen Jahres in Nizza veranstaltet hat, war besagte Datenschutzgrundverordnung (DSGVO). Das ist eine echte Hürde für alle, die mit personenbezogenen Daten zu tun haben. Hier nochmal die wichtigsten Diskussionspunkte aus Nizza. Übergreifend zeigte sich eine große Unsicherheit in sämtlichen Bereichen. Das fängt mit der genauen Gesetzeslage an und der Frage, wie die Vorgaben ausgelegt werden. Wird es eine nachsichtige Behandlung der Richtlinien geben oder greifen die Regulatoren gleich durch und schaffen spektakuläre Präzedenzfälle?

Zu diesen externen Herausforderungen kommt eine ganze Reihe interner Stolpersteine. So mangelt es der Führungsetage oft noch an einem Bewusstsein für die Dringlichkeit des Themas. Das liegt sicherlich zum Teil an der Unklarheit in Bezug auf die Inhalte und Umsetzung der Verordnung. Zudem herrscht Unsicherheit, wie mit den Daten umzugehen ist; Verantwortlichkeiten und Ownership der Daten sind zudem zu klären. Wo liegen die Daten? Wie werden sie verwendet, wie lassen sie sich löschen? Wie kann ich das „Recht auf Vergessen“ umsetzen? Und die Anforderungen kommen nicht nur von den Regulierungsbehörden: Verbraucher können jetzt auf Unternehmen zugehen und jede Menge Anfragen stellen. Auch unbequeme wie: Wie sind Sie zu der Entscheidung gekommen, mir den Kredit nicht zu geben?

Wie sich das alles bewerkstelligen lässt? Mit einem automatisierten Prozess – wobei auch berücksichtigt werden muss, welche nachgelagerten Investitionen (Geld und Zeit) dieser für die Anpassung der Systeme bedeutet. Das ist gerade insofern wichtig, als noch nicht abzusehen ist, wie die Regulierungsbehörden die Richtlinien konkret durchsetzen und wie die Verbraucher reagieren werden. Solche Prozesse sind auch im Falle einer Datenschutzverletzung zwingend notwendig. Nur so lässt sich schnell bestimmen, was geschehen muss, wenn jemand Daten stiehlt oder ein Mitarbeiter das Passwort für den Datenbankzugang verliert.

Jetzt schnell einrichten

Zu den wichtigsten Maßnahmen, die Unternehmen jetzt kurzfristig ergreifen können, gehört die Integration der Einverständniserklärung in die rechtlichen Systeme und Prozesse. Eine fundierte Informationspolitik etablieren, damit die Kunden über die Verwendung ihrer Daten aufgeklärt werden. Und nicht zuletzt gilt es, eine zuverlässige Dokumentation zu schaffen, damit Unternehmen auf Anfrage des Kunden nach Verwendung der persönlichen Daten sofort auskunftsfähig sind.

Eine spannende Frage ist auch, auf welche Daten genau der Kunde ein Anrecht hat. Betrifft dies nur seine Stamm- sowie von ihm generierte Transaktionsdaten? Oder auch die Schlüsse, die das Unternehmen über ihn gezogen hat? Die mehrheitliche Meinung der Teilnehmer auf der SAS Veranstaltung war, dass die Rohdaten zwar dem Verbraucher, die daraus gewonnenen Erkenntnisse jedoch dem Unternehmen gehören (daher würden Verbraucher auf letztere darauf auch keinen Zugriff bekommen).