Datenschutz und Unternehmerschutz vereinbaren
Zu viele Informationsrechte können die IT lahmlegen
Ansturm auf den Server
Datenschutz und Unternehmerschutz vereinbaren
Das Hinterletzte, was man als IT-Chef brauchen kann ist ein unerwarteter und unkontrollierbarer Ansturm auf die Kapazität Ihres Systems. Als ehemaliger Chief Information Officer, bei Egg, der Online-Bank mit ca. vier Millionen Kunden, war ich der Unglücksrabe, auf den die urplötzlichen, überschwappenden Wogen von Kundenaktivitäten niederprasselten.
Das kann buchstäblich kritische Teile des betrieblichen Räderwerks zum Stillstand bringen und ist genau die Gefahr, der sich die IT-Chefs in naher Zukunft ausgesetzt sehen, wenn die Verbraucher mit immer größerem Nachdruck Zugriff auf ihre persönlichen Informationen fordern.
In einem Gutachten, das im Januar von der britischen Datenschutzbehörde erstellt wurde, haben 56 Prozent der britischen Verbraucher angegeben, dass sie sich Sorgen darüber machen, wie mit ihren persönlichen Daten umgegangen wird. In Deutschland, dem Land der Technikphobiker, sind es sicherlich noch mehr.
Mehr als die Hälfte der Verbraucher wollen wissen, wem sie bekannt sind, warum sie bekannt sind und welche Entscheidungen mit iesen Informationen getroffen werden. Und in den meisten EU-Staaten haben wir nun mal Gesetze, die den Verbrauchern die Macht in die Hände spielen, eben das herauszufinden.
In England enthält das Gesetz über den Datenschutz ein mächtiges Instrument, das als “Subject Access Request” (Auskunftsersuchen über personenbezogene Daten) bekannt ist. In Deutschland heißt etwas Ähnliches “Informationsfreiheitsgesetz” und bezieht sich lediglich auf Daten bei Behörden – aufgrund der negativen Erfahrungen (die Behörden kommen nicht nach) ist die Gefahr, dass das Gesetz auf Unternehmen ausgeweitet wird, gering. Da habt Ihr Deutschen uns Briten etwas voraus.
Schlechte Presse durch mangelnde Informationsfreiheit
Datenschutz und Unternehmerschutz vereinbaren
Ein britisches Auskunftsersuchen wird von einer Einzelperson schriftlich an eine Organisation oder ein Unternehmen gerichtet und enthält die Anfrage welche “persönlichen Daten” diese Organisation über sie verarbeitet und wie sie verwendet werden Außerdem – es sei denn es gelten Ausnahmeregelungen – hat die Person das Recht, eine Kopie dieses Informationsmaterials zu erhalten.
Das Auskunftsersuchen kann sowohl umfassend als auch eng begrenzt sein. Ich kann darum bitten, dass man mir alles sagt, was man über mich weiß oder ich kann Sie bitten, mir eine Kopie der E-Mail zu geben, die Sie über mich am 21.1.2004 an den Geschäftsführer geschickt haben. Ihre Organisation oder Ihr Unternehmen hat 40 Tage Zeit für eine Antwort und wenn der Datenschutzbeauftragte involviert wird, dann kann die Verweigerung dieser Informationen – nach einer Mahnung – zu Geldbußen und sogar Strafverfolgung führen, was den Nöten des Unternehmers bezüglich einer eventuell negativen Presse noch die Krone aufsetzt.
Arbeit für “Compliance”-Team
Datenschutz und Unternehmerschutz vereinbaren
Viele Unternehmen haben wahrscheinlich vorgesorgt, um diese gelegentlichen Anfragen zu bearbeiten. Der erste Ansprechpartner ist für gewöhnlich die Rechtsabteilung oder das verantwortliche Team zur Einhaltung der betrieblichen und gesetzlichen Richtlinien (Compliance-Team), welche im Allgemeinen nicht gerade die kundenfreundlichsten Sparten des Unternehmens verkörpern.
Manchmal hat der Verbraucher die Nase dermaßen voll von den “Verständnisfragen” (request for clarification) seitens des Unternehmens, dass er sich einfach nicht die Mühe macht, die Sache weiter zu verfolgen. Meistens schafft es ein Großteil der Unternehmen, auf dieses einmalige Ersuchen mit ein paar persönlichen Daten innerhalb der vorgeschriebenen Frist zu antworten.
Sturm auf digitale Auskünfte
Datenschutz und Unternehmerschutz vereinbaren
Man male sich aber ein anderes Szenarium aus. Online-Verbraucher gewöhnen sich an eine andere Art von Beziehung mit den Firmen. Wir kennen unsere Rechte und wenn wir etwas wollen, feuern wir eine E-Mail ab und fordern es ein.
So kann man sich leicht ein Szenarium vorstellen, bei dem – sagen wir – eine Nachrichtenmeldung oder eine Enthüllung in einem einflussreichen Blog dazu führen, dass 10 Prozent Ihrer Kunden Sie mit einem Auskunftsersuchen über persönliche Daten bombardieren.
Jetzt wird?s interessant: Sie sind ein größerer Einzelhändler, und 5.000 Angestellte schicken am Montagmorgen der Personalabteilung eine Mail mit Auskunftsersuchen über persönliche Daten. Oder Sie betreiben eine Webseite für Partnersuche und eine Million Ihrer 11 Millionen Kunden schickt Ihnen an ein und demselben Tag ein derartiges Auskunftsersuchen. Ist das die digitale Version eines Sturms auf die Bank?
Automatisierung als Lösung
Datenschutz und Unternehmerschutz vereinbaren
Die meisten Unternehmen und Organisationen haben Erfahrung mit der Bearbeitung dieser “Auskunftsersuchen direkt aus der Hölle”, aber ich kenne kein einziges britisches Unternehmen, das darauf vorbereitet ist, auf eine wahre Sintflut dieser Auskunftsersuchen zu reagieren. Die deutschen Behörden haben es mit ihrem immerhin eingeschränkten Gesetz ja auch nicht geschafft.
Aber genau diese Hölle sehe ich kommen. Ich glaube fest daran, dass ich als Verbraucher das Recht habe, meine persönlichen Daten einzusehen und zu verstehen, was Sie damit machen. Schließlich dürfen auch Sie das Material speichern; ich will nur wissen wie Sie das tun.
Auch wünsche ich, dass Sie mir leichten Zugang zu diesen Daten verschaffen. Wenn alle meine Freunde gemeinsam mit mir entscheiden, gleichzeitig aktiv zu werden, ist das Ihr Problem und nicht meins. Sie müssen ausklamüsern, wie Sie es schaffen, zu antworten.
Die Lösung heißt Automatisierung. Der Schlüssel liegt In Ihrer Fähigkeit, persönliche Daten der Person zugänglich zu machen, die berechtigt ist, sie einzusehen und Informationen unternehmensweit in einer Art und Weise zuzuordnen, wie es in der Vergangenheit nicht erforderlich war.
Der IT-Chef wird’s schon richten…
Datenschutz und Unternehmerschutz vereinbaren
Es ist schwer genug, gut strukturierte Datenbanken unternehmensweit zu integrieren – aber die Integration der Personendaten ist eine riesige Herausforderung. Aber in einer Welt, wo mit einem Massenansturm von Auskunftsersuchen zu rechnen ist, haben Sie vielleicht keine Wahl. Semantische, webbasierte Methoden könnten hier eventuell hilfreich sein, wie z.B. einfache Verfahren, die dazu gedacht sind, ungleichartige Datenquellen mit einer vereinheitlichten Bedeutung zu vereinen und sie in einer genormten Weise neu zu veröffentlichen.
Was aber geht Sie das alles an? Ist das nicht Angelegenheit der Rechtsabteilung oder des Compliance-Teams? Nun, Sie wissen so gut wie ich: Wenn sich die Revisions- oder Risikokommission zusammensetzen und diese Szenarien unter die Lupe nehmen, richten sich alle Augen auf den IT-Chef – und zwar mit ein und derselben Frage: “Was gedenken Sie also zu tun?”
Der Autor
Tom Ilube ist Geschäftsführer der Firma Garlik, einem Start-up Unternehmen, das
den Verbrauchern helfen will, ihre persönlichen Daten im Web zu verwalten, vor Missbrauch zu schützen und sie vor Gefahren warnen, wenn der eigene Name irgendwo im falschen Zusammenhang im Netz auftaucht.