Datenschutz als Qualitätsmerkmal
Lidl, Telekom, Deutsche Bahn – die Kette namhafter deutscher Unternehmen, die wegen Problemen im Zusammenhang mit Datenschutzverstößen in der Presse landen, wird zusehends länger. Die dann oft recht hilflosen Äußerungen der Verantwortlichen vor laufenden Kameras verschlimmern das Ganze dann meist noch. Wie erst kürzlich Hartmut Mehdorn, Vorstandvorsitzender der Deutschern Bahn AG schmerzlich erfahren musste, als er sich auf Druck der Gewerkschaften für die Ausspähung hunderttausender Mitarbeiter öffentlich entschuldigen musste.
Kein Zweifel – Datenschutzthemen werden von der breiten Öffentlichkeit inzwischen ähnlich sensibel bewertet wie Gammelfleischskandale oder giftiges Spielzeug. Der damit verbundene Imageverlust kann für Firmen drastische bis ruinöse Folgen haben. Zwar weiß kaum jemand, was die nur 46 Paragraphen des Bundesdatenschutzgesetzes (BDSG) nun konkret beinhalten. Aber für Qualitätsfragen sind auch diejenigen Verbraucher sensibel, die keine Experten für Lebensmittelrecht oder Produkthaftung sind.
Gerade für Selbständige und Unternehmer lohnt es sich daher, sich über Fragen des Datenschutzes Gedanken zu machen. Auch ohne das Gesetz und die dazugehörigen Kommentierungen der Rechtsprechung im Einzelnen gelesen und verstanden zu haben, kann das Datenschutzniveau eines Unternehmens aus Kundensicht bereits durch die Anwendung einiger weniger Grundprinzipen deutlich verbessert werden.
Datensparsamkeit
Das Grundprinzip der Datensparsamkeit bedeutet, dass nur so viele Daten erhoben und verarbeitet werden, wie für den damit verfolgten Zweck unbedingt nötig sind. Und nicht mehr. Für das Verschicken eines Newsletters ist eine gültige Mailadresse nötig, kein komplettes Interessenprofil und keine Telefonnummer. Für die Zustellung einer Ware werden ein Namen und eine Postanschrift sowie die Zahlungsdaten benötigt, kein Lebenslauf, keine Kenntnis der zuvor besuchten Webseiten des Käufers und keine Konsumprofile. Schon mit der damit gerne verbundenen automatisierten Schufa-Abfrage bewegt man sich in genau genommen in einer rechtlichen Grauzone, die sich hauptsächlich aus althergebrachter Gewohnheit aber durch sonst nichts rechtfertigt.
Datenvermeidung
Für viele geschäftliche Vorgänge sind gar keine personenbezogenen Daten erforderlich. In jedem Supermarkt, an jeder Tankstelle und jedem Kiosk werden Waren völlig ohne Daten anonym verkauft. Niemand käme auf die Idee, sich irgendwo zu registrieren und einzuloggen, um beim Discounter seinen Einkauf zu bezahlen. Diese Praxis ist überhaupt erst durch den e-Commerce aufgekommen, wäre aber auch dort längst nicht in dem Maße erforderlich wie heute üblich.
In vielen Geschäftsprozessen werden mehr Daten erhoben und verarbeitet, als für Ablauf und Zielsetzung des Vorgangs nötig sind. Ziel ist dabei oft ein Sekundärnutzen durch Aneignung dieser Daten, um daraus Informationen über die Kunden gewinnen zu können. Das dies ohne ausdrückliche Zustimmung der Kunden zu dieser, über die reine Geschäftsabwicklung hinausreichende, Nutzung gar nicht zulässig und damit illegal ist, entgeht vielen Datensammlern.
Fremde Daten wie fremdes Eigentum respektieren
Das Verarbeiten personenbezogener Daten anderer Menschen ist datenschutzrechtlich betrachtet erst mal verboten, es sei denn es wurde durch ein Gesetz, eine vertragliche Grundlage oder eine Einwilligung der Betroffenen im Einzelfall und bezogen auf einen ganz bestimmten Zweck erlaubt. Man spricht auch von einem Verbot mit Erlaubnisvorbehalt. Damit soll sichergestellt werden, dass jeder selbst Eigentümer seiner persönlichen Daten bleibt, dass dieses Dateneigentum respektiert wird und der Dateneigentümer mit seinen Daten machen kann was er selbst will (das Recht auf informationelle Selbstbestimmung).
Ist man sich daher nicht wirklich sicher, ob man die personenbezogenen Daten Dritter verwenden darf, sollte man im Zweifel eher darauf verzichten. Oder sich eben die Einwilligung dieser Personen besorgen. Alle Datenschutzskandale der jüngeren Vergangenheit hatten ihren Ursprung darin, dass man personenbezogene Daten Dritter nutzte, ohne diese vorher um Erlaubnis zu bitten oder sie auch nur darüber zu informieren (so dass sie der Verwendung ihrer Daten nicht widersprechen konnten).
Für viele Dinge im e-Business ist die Nutzung personenbezogener Daten von Kunden allerdings wirklich nötig. E-Shop-Systeme, e-Learning-Plattformen, Forensysteme oder Web 2.0-Anwendungen sind da nur einige Beispiele. Gerade bei kommerziellen Projekten kann es da sinnvoll sein, den Respekt vor anderer Leute Daten sowie die Berücksichtigung datenschutzrechtlicher Vorgaben durch ein Prüfsiegel nachzuweisen.
So hat z.B. die Initiative D21 [1], ein gemeinnütziger Verein zur Förderung der Verbreitung und Nutzung des Internets in Deutschland, einen Katalog von Qualitätskriterien für kommerzielle Internet-Angebote [2] zusammengestellt, der auch datenschutzrechtliche Auflagen umfasst. Auf der Website internet-guetesiegel.de [3]werden zudem fünf Prüfsiegel von unterschiedliche Prüfgesellschaften vorgestellt, mit denen man das Qualitätsniveau des Datenschutzes für Kunden deutlich sichtbar auf der Webseite nachweisen kann.
Verfasst von Guido Strunck, Betreiber des Fachblogs http://itsicherheit.wordpress.com, beruflich tätig als IT-Prüfer und Produktspezialist für Software.
Kontakt: http://www.guidostrunck.de oder per Mail: Guido.Strunck@gmx.net
[1]: http://www.initiatived21.de
[2]: http://www.internet-guetesiegel.de/docs/D21_Qualitaetskriterien_2007.pdf
[3]: http://www.internet-guetesiegel.de
Keine Kommentare vorhanden