Ratgeber

Artikel merken

Diese Strategie schützt am besten vor DSGVO-Verstößen

Die DSGVO tritt in Kraft und Unternehmen rätseln, wie sie auf die Anforderungen reagieren sollen. Was aber, wenn man den Datenschutz unabhängig davon zur eigenen Tugend macht und Software von Beginn an „privat“ denkt?

Lesezeit: 6 Min.
(Grafik: Shutterstock.com)

Am 25. Mai tritt sie nun endgültig offiziell in Kraft: die Datenschutzgrundverordnung (DSGVO). Mit ihr verpflichtet die Europäische Union (EU) die Unternehmen, bei der Erhebung und Verwaltung von personenbezogenen Daten strenge Regeln einzuhalten. Bei Verstößen drohen nicht nur der Verlust des Kundenvertrauens und Imageschäden, sondern auch empfindliche Bußgelder von bis zu vier Prozent des weltweiten Umsatzes. Am Rande bemerkt: Einige Studien deuten interessanterweise darauf hin, dass Datenschutzverstöße sich kaum auf den Aktienkurs von Unternehmen auswirken dürften.

DSGVO: Kompromisslos „private“ Software als Lösung

Unternehmen treiben die Entwicklung ihrer IT-Infrastruktur aber immer schneller voran, um wettbewerbsfähig und innovativ bleiben zu können – oft auf Kosten des Datenschutzes. Zwar herrscht generelle Einigkeit darüber, dass Datenschutz wichtig ist. Doch nur wenige Unternehmen stellen sich gegen die Maxime des schnellen Wachstums und entwickeln Lösungen, die die Privatsphäre der Nutzer in den Vordergrund rückt. Dabei sind die Nutzer längst nicht mehr so gleichgültig wie einige Unternehmen vermuten. Sie beschäftigen sich mit Datenschutzeinstellungen, fordern Rechenschaft ein und machen mobil gegen Plattformen oder Dienste, die den Datenschutz nicht ernst nehmen.

Die Grundstimmung bei den Nutzern hat sich also geändert und wird sich weiter in Richtung eines starken Bewusstseins für digitale Privatsphäre verschieben. Unternehmen sollten sich darauf einstellen. Dafür wird es aber nicht genügen, die Bestimmungen der DSGVO und anderer Regelungen einfach nur stur einzuhalten. Denn Vorschriften ändern sich, werden aufgehoben oder ersetzt. Stattdessen erscheint ein radikalerer Weg sinnvoll: die Entwicklung von grundsätzlich „privaten Lösungen“, also Software, die Datenschutz nicht nur erfüllt, sondern auf den entsprechenden Prinzipien beruht. Dafür gibt es einige sinnvolle Grundregeln:

1. Daten schrittweise erfassen und nur dann, wenn sie wirklich benötigt werden

Die Nutzer akzeptieren es immer weniger, wenn eine Software umfangreiche Zugriffsfreischaltungen erfordert, ohne die Gründe dafür zu erläutern. Viel vertrauenswürdiger und transparenter ist es aber, wenn eine Applikation zunächst erklärt, warum sie beispielsweise Zugriff auf die E-Mail-Kontakte des Users benötigt. Denn die willkürliche Verwendung von Daten ist nicht nur unerfreulich, es ist auch ein Datenschutzverstoß. Unternehmen sollten eindeutig benennen können, warum sie welche Daten der Nutzer erfassen und was mit ihnen passiert. Erscheint das dem Nutzer notwendig und sinnvoll, wird er sein Einverständnis geben.

2. Verwendung der Daten und den Nutzen für die User klar benennen

Die DSGVO untersagt es, erklärende Sachverhalte rund um den Datenschutz zu verklausulieren oder in schwer verständliche Begriffe zu verpacken. Der Nutzer muss verstehen, wozu seine Daten gerade erhoben werden. Verlangt eine Shopping-App etwa nach der Eingabe des Namens, der Adresse und dem E-Mail-Kontakt, so muss dem Einkaufenden klar sein, dass diese Daten für die Lieferung notwendig sind. Das ist soweit logisch, aber oft werden weit mehr Daten abverlangt als eigentlich nötig sind. Ebenso wichtig ist eine Erklärung des Anbieters, dass die Daten nicht in Spam-Verteilern landen oder gar verkauft werden.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Zusammengefasst ergeben sich daraus einfache Regeln: Die Daten gehören dem Nutzer und er hat die Kontrolle über deren Verwendung. Erteilt er einem anderen das Recht, seine Daten zu verwenden, gilt dieses Recht auch nur für diesen Zweck. Daten können nur dann verwendet werden, wenn der Nutzer aktiv seine Einwilligung gegeben hat.

3. Aktive und informierte Zustimmung für jede Datenverwendung einholen

Ist eine Softwarelösung im Sinne des Datenschutzes konsequent „privat“, hat das konkrete Folgen: Gibt ein Nutzer kein Einverständnis für die Verwendung seiner Daten, darf der Anbieter sie auch nicht verwenden. Zustimmungen, die für eine bestimmte Anwendung gegeben werden, gelten auch nur dafür und dürfen keinesfalls für andere Anwendungen benutzt werden – so wie es heute oft praktiziert wird.

Der Nutzer muss seine Zustimmung aktiv geben. Das bedeutet: Eine bereits aktivierte Klickbox genügt nicht, da der Benutzer sie nicht aktiv ausgewählt hat. Darüber hinaus soll die Zustimmung informiert geschehen. UI-Tricks wie große, rote Boxen für Einwilligung und kleine, graue für Ablehnungen sollten ausgedient haben. Vertrauen kann nur entstehen, wenn Unternehmen offen kommunizieren und sich klar auf die Seite des konsequenten Datenschutzes stellen.

4. Bestätigung der Einverständniserklärung

Es ist eine Überlegung wert, Nutzern, die das Einverständnis für die Verwendung ihrer Daten gegeben haben, eine Art Beleg dafür zuzusenden. Hierin könnte nochmals transparent aufgelistet sein, welche Daten erhoben werden und was damit passiert. Das erweckt nicht nur Vertrauen, sondern hat auch Vorteile für den Software-Anbieter. Im Zweifelsfall kann das Unternehmen nachweisen, dass es den Nutzer umfassend informiert hat.

5. Einfaches Opt-out – Nutzer ihre Meinung ändern und ihre Daten mitnehmen lassen

Je mehr sich das Bewusstsein für den Schutz der eigenen Daten entwickelt, umso mehr Menschen werden ihre Meinung ändern und bereits gegebene Zustimmungen rückgängig machen wollen. Anbieter, die dies ermöglichen, haben dann eindeutig die besseren Karten. Das lässt sich derzeit an Facebook beobachten: Viele Mitglieder löschen ihren Account, weil das einfacher ist, als die Datenfreigabe zu deaktivieren oder individuell zu konfigurieren. So etwas kann ein Unternehmen schnell viele Kunden kosten.
Besser sind Anwendungen, die ein Opt-out ermöglichen und darüber aufklären, was das im konkreten Fall bedeutet. Die Datenfreigaben sollten individuell einstellbar und jederzeit änderbar sein. Entschließt sich ein Nutzer, einen Dienst ganz zu verlassen, sollte er seine Daten mitnehmen können, denn sie gehören ihm – auch die, die erst durch die Nutzung der App entstanden sind.

6. Konsequente Datenverschlüsselung während der Übertragung und so sicher wie möglich

Wenn Daten übertragen werden, sollten sie in jeden Fall so stark wie möglich verschlüsselt sein. Es ist schlicht inakzeptabel, eine unverschlüsselte Anwendung zur Verfügung zu stellen, da der Aufwand dafür sehr gering ist. Statt eine eigene Verschlüsselung zu entwickeln, sollten Unternehmen auf Industriestandards zurückgreifen und ihre Anwendungen immer auf den neuesten Stand bringen.

7. Nutzern erläutern, wie automatisierte Entscheidungen getroffen werden

Wenn Anwendungen Daten sammeln, geschieht dies beispielsweise, um auf dieser Basis Produktempfehlungen oder ähnliches zu geben. Oder die Daten werden zusammengeführt und ausgewertet, damit weitere Services möglich werden. Das ist für ein gutes Kundenerlebnis sinnvoll, sollte den Nutzern aber erläutert werden: Welche Daten wurden zugrunde gelegt und wie kommt es zu den zusätzlichen Empfehlungen? In einigen Branchen, wie etwa im Privatbanken-Sektor, ist diese Art der Transparenz schon seit längerem vorgeschrieben. So müssen beispielsweise bei Kreditentscheidungen die Informationen, auf deren Basis die Entscheidung getroffen wurde, offengelegt werden.

8. Verstehen, dass echte Anonymisierung von Daten nahezu unmöglich ist und veröffentlichte Daten immer Gefahr laufen, missbraucht zu werden

Organisationen veröffentlichen häufig anonymisierte Daten mit guten Intentionen, um sie beispielsweise anderen Entwicklern oder Forschern zur Verfügung zu stellen. Das können Auswertungen aus Tracking-Erhebungen oder ähnliches sein. Leider ist dabei fast immer möglich, die Daten zu deanonymisieren und Personen nachzuverfolgen. Das Entfernen von klassischen persönlichen Daten wie Namen, Adressen und Telefonnummern reicht nicht aus. Mit Datenpunkten wie Ort und Tageszeit ist es immer noch möglich, ein recht gutes Bild von einem Benutzer zu erstellen. Unternehmen sollten sich dessen bewusst sein und entsprechend sensibel entscheiden.

9. Klare Kommunikation mit den Benutzern im Falle einer Datenschutzverletzung

Datenschutzbedenkliche Vorfälle sind heutzutage kaum zu vermeiden. Klare Kommunikation und ein transparentes Vorgehen sind deshalb wichtig, um das Vertrauen der Nutzer zu erhalten. Generell sollten Unternehmen schon im Voraus darüber informieren, welche Maßnahmen eingeleitet werden, falls es zu einer Datenpanne kommen sollte: Wie sieht der konkrete Prozess aus und welches Team kümmert sich darum? Wo werden aktuelle Informationen bereitgestellt? Wie können Nutzer bei einem Vorfall ihre Zustimmung zurückziehen?

Datenschutz ist nicht nur eine Richtlinie, die Unternehmen umsetzen sollten, um gesetzlichen Anforderungen wie der DSGVO zu genügen. Wenn Dienstleister lediglich das erforderliche Minimum erfüllen, wird das den Kunden schon auf kurze Sicht nicht mehr genügen. Datenschutz zählt für jeden Verbraucher zu den wichtigsten Kriterien bei der Auswahl von Anwendungen und Services. Wird er gut umgesetzt, kann er Anbietern zu einem Wettbewerbsvorteil verhelfen.

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder