Daten-Koppelungsverbot der DSGVO Im Widerspruch zur sparsamen Datenerhebung

2. Dezember 2017

Die Weiterverarbeitung von personenbezogenen Daten wird von der Europäischen Datenschutzgrundverordnung (EU-DSGVO) geregelt. Hier ist beispielsweise das Koppelungsverbot  zu beachten. Ursprünglich war es in vielen Anwendungsfällen das Ziel, Daten miteinander zu verkoppeln, um beispielsweise potentielle Kunden oder Zielgruppen genauer anzusprechen. Nun wird mir dies zu einem gewissen Teil untersagt, trotzdem möchte das ein oder andere Unternehmen bestimmte Daten miteinander verknüpfen. Lösungen dazu diskutierten DSGVO-Experten im Roundtable von Line-of.biz.

Kopplungsverbot

Thomas Biedermann, Managing Director der DWA; Qurelle: Florian Huttenloher

Wer passende Datentöpfe miteinander koppeln kann, der ist in der Lage, interessante Erkenntnisse – über seine Kunden oder über seine Zulieferer – zu bekommen. Dieses Konzept stößt in vielen Business Intelligence-Anwendungen auf großes Interesse. Doch mit dem Inkrafttreten der EU-DSVO ist das nicht mehr so leicht: es gilt, das Koppelungsverbot zu beachten.

Für Thomas Biedermann, Managing Director der DWA GmbH, zeigen sich dabei aber in der EU-DSGVO auch Widersprüche: „Das Koppeln von Daten wird explizit untersagt. Doch wenn in einem Unternehmen sich zum Beispiel das Produktionsteam mit den Kundenbetreuern kurzschließen muss, müssten beide Abteilungen die Daten separat voneinander erheben und die Kunden quasi mehrfach abfragen. Doch das widerspricht einer anderen Vorgabe: Die DSGVO fordert auch zur ‚sparsamen Datenerhebung‘ auf.“ Das sei eine paradoxe Situation, da könne man heutzutage noch keine Aussagen treffen, wie das künftig geregelt wird. Zwar können man in derartigen Situationen auch entsprechend intern dokumentieren – etwa dass von Abteilung A personenbezogene Daten zu Abteilung B übermittelt wurden. Doch das bedeute für das betreffende Unternehmen auch einen hohen Dokumentationsaufwand.

„Beim Kopplungsverbot handelt sich es eher um eine rechtliche Herangehensweise und weniger um eine technische Lösung“, ist Gerald Pernack, Archer eGRC Solutions Consultant bei RSA Security, überzeugt. „Dabei ist eher gemeint, dass ich Daten von einem Kunden, der ein bestimmtes Produkt gekauft hat, nicht mit weiteren Anfragen von anderen Produkten, die aber vom selben Hersteller verkauft werden, bombardiert werden soll. Sprich es ist eher als Schutz vor Werbemaßnahmen zu sehen. Allerdings wird ‚Direktwerbung‘ als berechtigtes Interesse der Unternehmen angesehen, etwa nach dem Erwägungsgrund 47 in der DSGVO.“

Generell sieht Biedermann eine klare Linie durch die DSGVO: „Ich darf niemanden ansprechen, den ich nicht vorher um Erlaubnis geben habe. Mit der DSGVO kommt nun noch hinzu, dass jeder Kommunikationskanal einzeln freigegeben werden muss. So ist das Telefonmarketing von Email-Versand getrennt zu bestätigen, sprich es muss separat nach der Erlaubnis gefragt werden.“

Das Thema „Einwilligung“ ist für Michael Schröder, Business Development Manager New Technologies bei der ESET Deutschland GmbH, ein pikantes Thema: „Auch die Form der Einwilligung spielt eine Rolle, denn es ist zu überlegen, wie man dieses Thema gut transportieren kann, und wie wird dem Interessent klar, welche Daten er für was freigegeben hat. Um hier eine vernünftige Verfahrensweisen zu entwickeln, sollten sich die Unternehmen wieder auf eine Geschäftsethik besinnen. Doch da fehlt es teilweise am Feingefühl.“

Frage der Fristen

Falls es zu einem Vorfall in den Unternehmen kommt, werden von der DSGVO bestimmte Fristen für die nötigen Reaktionen vorgegeben. Das betrifft zum Beispiel Punkte wie ‚In welchen Zeitraum sind die Daten zu löschen‘, oder ‚Wie schnell müssen die Kunden bei einem Datenleck benachrichtigt werden‘. Nach Ansicht von Michael Schröder kommt da nicht allzu viel Neues auf die Unternehmen zu: „Fristen gab es bisher auch schon, nur wurden diese Vorgaben in der DSGVO weiter verschärft. Beispielsweise bleiben einem Unternehmen 72 Stunden, um das aufgetretene Problem zu melden. Doch dabei ist es egal, ob es abends, nachts oder am Sonntagnachmittag aufgetreten ist.“

Diese Fristen laufen auch in Zeiten weiter, bei denen vielleicht keiner im Unternehmen tätig ist. Ab dem Bekanntwerden eines Data-Breach fangen die 72 Stunden an zu „laufen“, und das größte Problem ist dabei sicherlich: Wen muss ich benachrichtigen, sprich welche Kunden sind zu informieren, wenn zum Beispiel ein Unternehmens-Notebook abhandengekommen ist? „Kann ich die Betroffenen nicht identifizieren und benachrichtigen, müsste ich das Latenleck öffentlich bekannt geben, etwa über Zeitungsannoncen“, wirft Schröder ein. „Daher kann ich jedem Unternehmen nur ans Herz legen, einen zuverlässigen Notfallplan aufzustellen, und diesen auch mehrfach durchzuspielen.“

„Einbrüche ins Unternehmensnetzwerk werden sehr häufig nicht durch das betroffene Unternehmen publik gemacht, sondern in der Regel von Dritten“, gibt Gerald Pernack zu bedenken. „Entweder durch irgendwelche Gruppen oder die Daten landen in einem Postfach und werden für Spam oder ähnliches verwendet. Ganz wichtig in diesem Kontext ist die Datenverschlüsselung. Diese Maßnahme bieten ja bereits die meisten aktuellen Betriebssysteme. Muss ich nun ‚Meldung‘ erstatten, stehe ich schon einmal besser dar, wenn das abhanden gekommene Notebook mit den Kundendaten zumindest nach dem Stand der Technik verschlüsselt wurde.“

Damit ein Unternehmen genau feststellen kann, welche Daten in welchen Umfang wohin geflossen ist, kann es ein Monitoring-System nutzen. Das bringt noch einen weiteren Aspekt ins Spiel: Auch die Qualität der Dokumentation ist ein wichtiger Faktor, ergänzt Pernack: „Kann ich einer Aufsichtsbehörde in einem strukturierten System die benötigten Daten bereitstellen, macht es sicherlich einen besseren Eindruck wie eine ‚Zettelwirtschaft‘ bei der unterschiedliche Blätter unstrukturiert in diversen Ordnern umherflattern. Auch daran könnte eine Behörde dann das Strafmaß festlegen, falls es zum Data-Breach kommen sollte.“

Prozesse und Technologie

Die Punkte Prozesse sowie Technologie und Kommunikation mischen sich permanent: Daher wird eine Einzelbetrachtung der Punkte nicht funktionieren, ist Michael Schröder überzeugt. „Es gilt immer das ‚große Ganze‘ zu betrachten.“ Beim Thema meldepflichtige Datenschutzpanne sei aber anzumerken, dass Verluste von Geräten, die über eine wirkungsvolle Verschlüsselung verfügen, gar nicht meldepflichtig sind. Doch der Nachweis der Wirksamkeit aus „internen Compliance-Gründen“ wird notwendig sein.

Es geht für Schröder vielmehr um die Frage: Wie kann man technologisch verhindern dass Daten das Unternehmen ungewollt verlassen? „Hier kommt man schnell zum Punkt Data-Leckage-Prävention. Leider sind diese Systeme für KMUs oft nicht finanzierbar oder mit der eigenen IT nicht zu managen. Und genau für diese Klientel sollte es passende Lösungen geben, um diese Punkte einfach und effizient abzusichern.“

Hier sieht Schröder die Security-Hersteller in der Pflicht: „Da sind ganz klar die Anbieter gefragt, etwa mit modularen Lösungen. Eine Aussage wie ‚Virenschutz ist installiert‘ greift hierbei zu kurz und sollte künftig nicht mehr akzeptiert werden. Dagegen sollten sich die Hersteller zusammen mit den Anwenderunternehmen Gedanken machen, wie die IT-Sicherheit modular gesteigert werden kann, und wie das Management der Security-Funktionen mehr oder weniger zentral gesteuert werden kann. Schließe ich die Haustür nicht ab, brauche ich im Keller keine Stahltüre einbauen“, so Schröder weiter. Der Standard der IT-Security in den KMUs ist meist erschreckend niedrig – so lautet zumindest seine Erfahrung.

Rainer Huttenloher

Lesen Sie auch