Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

Diese Strategie schützt am besten vor DSGVO-Verstößen

(Grafik: Shutterstock.com)

Die DSGVO tritt in Kraft und Unternehmen rätseln, wie sie auf die Anforderungen reagieren sollen. Was aber, wenn man den Datenschutz unabhängig davon zur eigenen Tugend macht und Software von Beginn an „privat“ denkt?

Am 25. Mai tritt sie nun endgültig offiziell in Kraft: die Datenschutzgrundverordnung (DSGVO). Mit ihr verpflichtet die Europäische Union (EU) die Unternehmen, bei der Erhebung und Verwaltung von personenbezogenen Daten strenge Regeln einzuhalten. Bei Verstößen drohen nicht nur der Verlust des Kundenvertrauens und Imageschäden, sondern auch empfindliche Bußgelder von bis zu vier Prozent des weltweiten Umsatzes. Am Rande bemerkt: Einige Studien deuten interessanterweise darauf hin, dass Datenschutzverstöße sich kaum auf den Aktienkurs von Unternehmen auswirken dürften.

DSGVO: Kompromisslos „private“ Software als Lösung

Unternehmen treiben die Entwicklung ihrer IT-Infrastruktur aber immer schneller voran, um wettbewerbsfähig und innovativ bleiben zu können – oft auf Kosten des Datenschutzes. Zwar herrscht generelle Einigkeit darüber, dass Datenschutz wichtig ist. Doch nur wenige Unternehmen stellen sich gegen die Maxime des schnellen Wachstums und entwickeln Lösungen, die die Privatsphäre der Nutzer in den Vordergrund rückt. Dabei sind die Nutzer längst nicht mehr so gleichgültig wie einige Unternehmen vermuten. Sie beschäftigen sich mit Datenschutzeinstellungen, fordern Rechenschaft ein und machen mobil gegen Plattformen oder Dienste, die den Datenschutz nicht ernst nehmen.

Die Grundstimmung bei den Nutzern hat sich also geändert und wird sich weiter in Richtung eines starken Bewusstseins für digitale Privatsphäre verschieben. Unternehmen sollten sich darauf einstellen. Dafür wird es aber nicht genügen, die Bestimmungen der DSGVO und anderer Regelungen einfach nur stur einzuhalten. Denn Vorschriften ändern sich, werden aufgehoben oder ersetzt. Stattdessen erscheint ein radikalerer Weg sinnvoll: die Entwicklung von grundsätzlich „privaten Lösungen“, also Software, die Datenschutz nicht nur erfüllt, sondern auf den entsprechenden Prinzipien beruht. Dafür gibt es einige sinnvolle Grundregeln:

1. Daten schrittweise erfassen und nur dann, wenn sie wirklich benötigt werden

Die Nutzer akzeptieren es immer weniger, wenn eine Software umfangreiche Zugriffsfreischaltungen erfordert, ohne die Gründe dafür zu erläutern. Viel vertrauenswürdiger und transparenter ist es aber, wenn eine Applikation zunächst erklärt, warum sie beispielsweise Zugriff auf die E-Mail-Kontakte des Users benötigt. Denn die willkürliche Verwendung von Daten ist nicht nur unerfreulich, es ist auch ein Datenschutzverstoß. Unternehmen sollten eindeutig benennen können, warum sie welche Daten der Nutzer erfassen und was mit ihnen passiert. Erscheint das dem Nutzer notwendig und sinnvoll, wird er sein Einverständnis geben.

2. Verwendung der Daten und den Nutzen für die User klar benennen

Die DSGVO untersagt es, erklärende Sachverhalte rund um den Datenschutz zu verklausulieren oder in schwer verständliche Begriffe zu verpacken. Der Nutzer muss verstehen, wozu seine Daten gerade erhoben werden. Verlangt eine Shopping-App etwa nach der Eingabe des Namens, der Adresse und dem E-Mail-Kontakt, so muss dem Einkaufenden klar sein, dass diese Daten für die Lieferung notwendig sind. Das ist soweit logisch, aber oft werden weit mehr Daten abverlangt als eigentlich nötig sind. Ebenso wichtig ist eine Erklärung des Anbieters, dass die Daten nicht in Spam-Verteilern landen oder gar verkauft werden.

Zusammengefasst ergeben sich daraus einfache Regeln: Die Daten gehören dem Nutzer und er hat die Kontrolle über deren Verwendung. Erteilt er einem anderen das Recht, seine Daten zu verwenden, gilt dieses Recht auch nur für diesen Zweck. Daten können nur dann verwendet werden, wenn der Nutzer aktiv seine Einwilligung gegeben hat.

3. Aktive und informierte Zustimmung für jede Datenverwendung einholen

Ist eine Softwarelösung im Sinne des Datenschutzes konsequent „privat“, hat das konkrete Folgen: Gibt ein Nutzer kein Einverständnis für die Verwendung seiner Daten, darf der Anbieter sie auch nicht verwenden. Zustimmungen, die für eine bestimmte Anwendung gegeben werden, gelten auch nur dafür und dürfen keinesfalls für andere Anwendungen benutzt werden – so wie es heute oft praktiziert wird.

Der Nutzer muss seine Zustimmung aktiv geben. Das bedeutet: Eine bereits aktivierte Klickbox genügt nicht, da der Benutzer sie nicht aktiv ausgewählt hat. Darüber hinaus soll die Zustimmung informiert geschehen. UI-Tricks wie große, rote Boxen für Einwilligung und kleine, graue für Ablehnungen sollten ausgedient haben. Vertrauen kann nur entstehen, wenn Unternehmen offen kommunizieren und sich klar auf die Seite des konsequenten Datenschutzes stellen.

4. Bestätigung der Einverständniserklärung

Es ist eine Überlegung wert, Nutzern, die das Einverständnis für die Verwendung ihrer Daten gegeben haben, eine Art Beleg dafür zuzusenden. Hierin könnte nochmals transparent aufgelistet sein, welche Daten erhoben werden und was damit passiert. Das erweckt nicht nur Vertrauen, sondern hat auch Vorteile für den Software-Anbieter. Im Zweifelsfall kann das Unternehmen nachweisen, dass es den Nutzer umfassend informiert hat.

5. Einfaches Opt-out – Nutzer ihre Meinung ändern und ihre Daten mitnehmen lassen

Je mehr sich das Bewusstsein für den Schutz der eigenen Daten entwickelt, umso mehr Menschen werden ihre Meinung ändern und bereits gegebene Zustimmungen rückgängig machen wollen. Anbieter, die dies ermöglichen, haben dann eindeutig die besseren Karten. Das lässt sich derzeit an Facebook beobachten: Viele Mitglieder löschen ihren Account, weil das einfacher ist, als die Datenfreigabe zu deaktivieren oder individuell zu konfigurieren. So etwas kann ein Unternehmen schnell viele Kunden kosten. Besser sind Anwendungen, die ein Opt-out ermöglichen und darüber aufklären, was das im konkreten Fall bedeutet. Die Datenfreigaben sollten individuell einstellbar und jederzeit änderbar sein. Entschließt sich ein Nutzer, einen Dienst ganz zu verlassen, sollte er seine Daten mitnehmen können, denn sie gehören ihm – auch die, die erst durch die Nutzung der App entstanden sind.

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.