Datenschutz
GDPR

Europäischer Datenschutz: Warum und wozu?

Daten sind der Treibstoff der digitalen Wirtschaft. Prinzipiell gilt daher völlig zu Recht: Je mehr davon ein Unternehmen erfasst, ob zu Kunden, Partnern oder den eigenen Mitarbeitern, desto besser. Das scheint ein altes Sprichwort zu bestätigen: Der Zweck heiligt die Mittel. Nur ganz so einfach ist es nicht. Zwar gibt es ein legitimes kommerzielles Interesse, das natürlich genauso für die digitale Wirtschaft gilt. Allerdings gibt es daneben andere legitime Ziele. Eines davon ist der Schutz der Privatsphäre, den die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) stärkt.

Divergierende Rechtsauffassungen

Als ich noch zur Schule ging, kann ich mich noch sehr gut an die großen Demonstrationen in Deutschland gegen die Volkszählung 1987 erinnern. Vorausgegangen war ein wegweisendes Urteil des Bundesverfassungsgerichts von 1983, das ein Grundrecht auf informationelle Selbstbestimmung aus dem allgemeinen Persönlichkeitsrecht und der Menschenwürde ableitete. Nur wer Einfluss darauf nehmen kann, welche Informationen zu seiner Person und seinem Verhalten gespeichert und verarbeitet werden, ist in seiner freien Persönlichkeitsentfaltung nicht eingeschränkt.

Das ist dieselbe Rechtsauffassung, auf der die europäische „General Data Protection Regulation“ (GDPR) beruht. Der Schutz personenbezogener Daten hat damit in Europa einen höheren Rang als ein normales Bürgerrecht, das weniger eng gefasst ist und einen größeren Änderungsspielraum hat, wie etwa in den USA der Fall. Ein Aspekt dieser Rechtsauffassung sind die Zwecke, für die Unternehmen personenbezogene Daten vorhalten und nutzen – dem zweiten der sechs Grundsätze der Verordnung. Sind diese Zwecke legitim? Sind sie überhaupt definiert? Sind sie eindeutig? Wird die Privatanschrift nur für die korrekte Lieferung und Rechnungsstellung verwendet oder landet diese auch bei Drittanbietern? Vielleicht sogar unabsichtlich? Gibt es eine Liste mit den Zwecken der Speicherung personenbezogener Daten?

Die schwierige Frage nach dem Warum und Wozu

Die scheinbar einfache Frage, warum und wozu ein Unternehmen personenbezogene Daten speichert, ist bei genauerem Hinsehen gar nicht so einfach zu beantworten. Zudem handelt es sich hier nicht um eine Frage für die IT-Abteilung allein, im Gegenteil: Gilt es zum Beispiel zu klären, ob Zwecke – im rechtlichen wie geschäftlichen Sinne – legitim sind, muss das Management genauso wie die Rechtsabteilung Auskunft geben.

Eines aber steht fest: Die Antworten sind nicht in den Daten selbst zu finden. Dafür braucht es Informationen – auf vielen verschiedenen Ebenen eines Unternehmens und aus unterschiedlichen Abteilungen. Ob digitalisiert oder nicht, liegen Informationen in vielen verschiedenen Formaten vor – in Form von Verträgen, Präsentationen, E-Mails, Prozessbeschreibungen etc. – und sind in der Regel an unterschiedlichen Orten abgelegt: auf Dateiservern, in E-Mail-Archiven, in ERP- oder BPM-Systemen oder Aktenschränken etc.

Um diese Informationen zu finden, zu bündeln, lückenlos zu dokumentieren und zu managen, brauchen Unternehmen eine Plattform für prozessorientiertes Informationsmanagement. Nur damit lassen sich nicht nur sämtliche gespeicherten personenbezogenen Daten ermitteln, sondern auch die Zwecke für diese Speicherung sowie die genaue Zuordnung zwischen diesen und den Daten. Dabei kann sich sehr schnell herausstellen, dass einige Datensätze gelöscht werden müssen – oder aber umgekehrt, dass sie unvollständig sind und ergänzt gehören.

Europäischer Datenschutz: Die Antwort liegt in den Informationen

Eine solche lückenlose und gleichzeitig kontextabhängige Sicht auf personenbezogene Daten hilft nicht nur dabei, die Grundverordnung zu erfüllen. Vielmehr schafft sie die Grundlage für die optimale Analyse von Unternehmensinformationen und ihr Management generell.

Wer also beim Lesen dieses Beitrags zu Beginn den Eindruck gewonnen hat, der strenge europäische Datenschutz sei ein Hindernis für den Erfolg in der digitalen Wirtschaft, dürfte spätestens jetzt die Chance erkennen, mit einer Plattform für unternehmensweites Informationsmanagement dauerhaft Wettbewerbsvorteile zu erringen. Ich bin sicher, andere Länder und Regionen werden uns bald um unseren Datenschutz beneiden.

Über Peter Stadler

Peter Stadler
Peter kam über die Akquisition der Enterprise Content Division von DellEMC im Januar 2017 zu OpenText. Seit dem 1. Juli 2017 verantwortet er als Vice President Enterprise Sales die Region BeNeLux, Switzerland & Austria. Den Fokus legt er in seiner Region auf Stärkung und Weiterentwicklung der bestehenden Kundenbeziehungen sowie der Neugewinnung von Kunden im Kernbereich des Enterprise Information Management. Durch die Nutzung von OpenText Lösungen sollen Kunden schneller wachsen können, Operational Cost, Information Governance und Security Risks reduziert werden indem Business Insights, Impact und Process Speed verbessert werden.