Data Privacy Act

Woran der Datenschutz im Unternehmen krankt

19. September 2014
Ralph Nüsse ist seit über 15 Jahren in der IT tätig. Bei Compuware arbeitet er zurzeit als Architekt bei der Umsetzung von Datenschutz-Projekten mit Hilfe der statischen Datenanonymisierung. Er hat eine Reihe europäischer Kunden dabei unterstützt, Strategien für den Testdatenschutz zu entwickeln und umzusetzen.
Deutschland besitzt mit die strengsten Datenschutzrichtlinien in Europa. Doch in der Praxis halten sich die Unternehmen nicht immer an die Vorgaben.

Viele Unternehmen sammeln und verarbeiten riesige Datenmengen über Kunden und Nutzer. Damit können sie ihre Angebote an deren individuelle Bedürfnisse und Vorlieben anpassen. Obwohl vor allem Privatkunden häufig ein mulmiges Gefühl beschleicht, erwarten sie andererseits aber die Auswertung ihrer persönlichen Daten, um optimal bedient zu werden. Jedoch ist inzwischen allen Beteiligten klar, dass diese Praxis auch das Risiko von Datenspionage oder der unbeabsichtigten Veröffentlichung persönlicher Informationen deutlich erhöht.

Hinzu kommt, dass inzwischen viele Firmen ihre Geschäfte über Landesgrenzen hinweg tätigen. Viele Datenschutzgesetze sind jedoch landesspezifisch und werden in der heutigen globalen Business-Welt kaum beachtet. Denn die Aufsichtsbehörden sind oft machtlos, die Vorgaben bei international tätigen Unternehmen durchzusetzen. Entsprechend schwierig ist es auch, jemanden zur Verantwortung zu ziehen, wenn es zu einer Datenpanne kommt.

Datenschutz in Deutschland und Europa

Wie sieht die Situation hierzulande konkret aus? Deutschland besitzt mit dem Bundesdatenschutzgesetz (BDSG) eine der fortschrittlichsten Regelungen in Europa, da sie persönliche Daten berücksichtigt. Der Fokus liegt dabei auf der "Primärnutzung" dieser Daten und dem entsprechenden Schutz. Dies betrifft vor allem Daten, die zur Erbringung von Dienstleistungen erfasst und verarbeitet werden, etwa zum Führen eines Bankkontos.

Allerdings werden die Regelungen im operativen Geschäft nicht ausreichend bei der "Sekundärnutzung" der persönlichen Daten berücksichtigt. Dazu gehört zum Beispiel deren Verwendung für Test- und Forschungszwecke oder für Analysen. Dabei ist in Deutschland jedoch die Sekundärnutzung in der Gesetzgebung genauso abgedeckt wie die Primärnutzung.

Da es auch in Europa unterschiedliche Ländergesetze gibt, arbeitet die Europäische Union (EU) derzeit an einer neuen Direktive - dem Data Privacy Act. Dieser soll die Gesetzgebung in den EU-Mitgliedstaaten vereinheitlichen. Für deutsche Nutzer bedeutet dies, dass ihre Daten dann nicht nur im eigenen Land, sondern auch europaweit sicher sind - oder zumindest sicherer als jetzt. Sobald dieser Act im jeweiligen Land umgesetzt ist, müssen die dort tätigen Unternehmen eine moderne und durchgängige Datensicherheit gewährleisten. In der Regel dürften sie etwa zwei Jahre dafür Zeit bekommen, doch da große Teile der Regelungen bereits auf Landesebene zur Verfügung stehen, könnte der Zeitraum auch kürzer sein.