Datenschutz-Interview: »Wir wollen CRM nicht bremsen«

4. Mai 2015 Kommentar Link zu diesem Artikel –  Erschienen in: acquisa

Zwei Jahre tüftelte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) an einem staatlich geförderten Social-CRM-Datenschutzprüfsystem. ULD-Chef Weichert und Rainer Alt, Professor am Institut für Wirtschaftsinformatik, im Gespräch.

acquisa: Was bringt der »Datenschutz-by-Design«-Ansatz von Sphere der CRM-Praxis?

Prof. Dr. Rainer Alt: Das System beurteilt schon in der Planung von CRM-Maßnahmen, ob sich der Social-Media-Einsatz – die Nutzung von Social Media für das CRM – gesetzeskonform und nach internen Richtlinien umsetzen lässt. Mit anderen Worten: Wir untersuchen, welche Daten in einem bestimmten Verwendungszusammenhang erhoben und wie verarbeitet werden dürfen. Und welche spezifischen Einwilligungen dafür bereits vorliegen beziehungsweise benötigt werden.

Dr. Thilo Weichert: Das ist wichtig, um frühzeitig einschätzen zu können, ob sich die Nutzung von personenbezogenen oder gar sensiblen Daten wie Religionszugehörigkeit datenschutzrechtlich kritisch gestaltet. Denn dies beschleunigt wiederum so manche Konzeptionsphase – wenn auch dieses Prozedere nicht die vollwertige juristische Bewertung ersetzt.

acquisa: Was motiviert Unternehmen, ihre CRM-Prozesse datenschutzkonform beherrschen zu wollen?

Alt: Für E-Commerce- Kunden ist der Datenschutz häufig wichtiger als Services oder Produktqualität. Wir wollen daher den systemischen Datenschutz vor allem für das Marketing attraktiv machen. Dazu muss dieser jedoch schnelle Erkenntnisse und qualitativ hochwertige Hinweise liefern. Ansonsten findet der Datenschutzbeauftragte nicht das notwendige Gehör, um den Datenschutz zu gewährleisten. Unser Ansatz beruht auf einer computerunterstützten Prüfung. Ein Expertensystem, das eine Wissensbasis mit umfassenden Verwendungsregeln enthält, untersucht die Datenverwendung. Idealerweise gelingt dies, ohne das CRM auszubremsen.

acquisa: Unter welchen Voraussetzungen vereinfacht systemischer Datenschutz das Leben aller Beteiligten?

Weichert: Er muss die Akteure frühzeitig an einen Tisch bringen. Es geht darum, unterschiedliche Zugänge und Befindlichkeiten zu bündeln – beispielsweise die von IT-lern und Datenschutzbeauftragten in Bezug auf Software-Werkzeuge. Am Ende müssen alle Gruppen in derselben Sprache nachvollziehen: Was passiert? Und wo schlummern datenschutzrechtliche Gefahren? Alt: Erst im Dialog während der Entwicklung von Social-CRM-Maßnahmen können etwa die schnell agierende Social-Media-Abteilung, die IT und der Jurist im Hause miteinander Schritt halten: Nach unseren Beobachtungen gehen Probleme bei der Bewertung auf Datenschutzkonformität häufig nicht von den technologischen Werkzeugen aus. Oft rühren sie von der beabsichtigten Verwendung in Marketing- oder Serviceprozessen her.

acquisa: Womit haben Unternehmen bei der Datenschutzprüfung im CRM-Prozess am meisten Schwierigkeiten?

Weichert: Die Komplexität ist groß. In Unternehmen liegen oft unterschiedliche Kenntnisstände vor. Und die Ziele pro Abteilung klaffen meist weit auseinander. Während die IT sich für die Leistungsmerkmale einer Monitoring-Software interessiert („Was kann die alles?“), will der Datenschutzbeauftragte die Ziele einer Maßnahme kennenlernen. Nur so kann er strukturierte Freigabe- und Prüfprozesse ausloten, den Hosting-Ort von Daten als sicher oder unsicher einstufen und der Dokumentationspflicht Genüge tun. Mitunter hat der Betriebsrat ein Wörtchen mitzureden, wenn Mitarbeiterfotos in eine Kampagne einfließen sollen. Kurzum: Aus den Fragestellungen der Akteure wird schnell ein vielschichtiger Prozess.

acquisa: Welches wäre eine beispielhafte Schwachstelle in einem Prozess-Design? Und wie reagiert Sphere?

Weichert: Oft liegen Werbeeinwilligungen undifferenziert vor, weil diese sich nicht auf ein Medium wie die E-Mail beziehen. Sphere klopft hier die unterschiedlichen Voraussetzungen ab – die verarbeitende Stelle, die Zweckbindung, die Datenfelder und die technische Umsetzung. Das System bildet ab, ob die Einwilligung in Bezug auf den Datenschutz für den jeweiligen Zweck ausreichend ist.

acquisa: Welche Reparaturen sind angeraten, wenn es beim Datenschutzkonzept hakt?

Weichert: Gerade im Social CRM können Unternehmen theoretisch umfassend Daten abgreifen: Wer ist mit wem vernetzt? Wer hat welche Information „geliked“? Und so weiter. Aber: Je nach Parametern wie Personenbezug, sozialer Plattform – von Netzwerk bis Blog – und Art der Einwilligung untersucht Sphere, wann man einen „Marathonläu- fer“ auch als einen solchen ansprechen darf. Oder wann es angeraten ist, den Personenbezug zu reduzieren und den Sportler allgemeiner, etwa als „Leichtathleten“, anzusprechen. Ziel ist es, sich im datenschutzrechtlich konformen Bereich zu bewegen.

acquisa: Welches sind innovative Komponenten für den systemischen Datenschutz?

Alt: Wir unterscheiden fünf Bereiche: Erstens gelingt der beste Start für eine möglichst präzise datenschutzrechtliche Bewertung, wenn die Firmen ihre Fachabteilungen einbeziehen und Probleme sowie Maßnahmen beschreiben. Damit wächst zweitens die Wissensdatenbank: Diese lernt aus bisherigen Maßnahmen und kann angereichert werden, wenn neue rechtliche Rahmenbedingungen wie die geplante EU-Datenschutzgrundverordnung greifen. Drittens senkt ein Prüf-Algorithmus die Komplexität. Er klassifiziert, wann eine Pseudonymisierung, also das Reduzieren des Personenbezugs, die datenschutzrechtliche Lage verbessert.

acquisa: Und viertens?

Alt: Firmen kommen ihrer Dokumentationspflicht idealerweise abteilungsübergreifend dort nach, wo die Prozesse entstehen. Fünftens findet die Risikobewertung ganzheitlich statt, wenn Parameter wie „Netzwerk-Hosting in der Karibik“ versus „Server arbeitet auf hiesigem Datenschutzniveau“ entdeckt werden. Dies hat auch Auswirkungen auf die Außendarstellung der Unternehmen und das Sicherheitsgefühl der Nutzer.

acquisa: Inwieweit sind die Erkenntnisse aus dem Projekt Sphere anpassbar, erweiterbar und auf andere Rechtsbereiche übertragbar?

Alt: Wir haben ein möglichst agiles Social CRM vor Augen, denn: Dieser Bereich wirft mangels verfügbarer Gerichtsurteile noch viele Fragen auf. Ergehen zunehmend einschlägige Rechtsprechungen, lässt sich das Sphere-System um diese erweitern. Außerdem lassen sich die Inhalte um weitere Rechtsbereiche wie Verbraucherschutz, Wettbewerbs- oder Urheberrecht ergänzen.

acquisa: Welches ist für Ihre Forschung der nächste Schritt?

Weichert: Uns beschäftigt, wie sich die bisherigen Erkenntnisse auf Big Data, Industrie 4.0, Car-to-Car-Kommunikation und die Nutzung von sensiblen medizinischen Daten übertragen lassen. Und wie es auf diesem Terrain gelingt, umfassend die Persönlichkeitsrechte zu wahren.

Alt: Konsumenten wollen Transparenz über die Erhebung, Verarbeitung und Nutzung ihrer personenbezogenen Daten. Vor diesem Hintergrund glauben wir an eine stärkere Bedeutung des Selbstdatenschutzes, den der Nutzer steuert: Konsumenten regeln darin selbst, welche Daten sie gezielt für welchen Zweck freigeben. Dies erfordert zwar neuartige Werkzeuge und eine passende Risikobewertung. Beides ist für Konsumenten aber allemal besser als sich etwa Mobile-Apps zu versagen, nur weil man mit den derzeit dort geltenden Datenschutzbestimmungen nicht leben möchte.

SUMMARY

Das ULD, die Wirtschafts-IT-Wissenschaftler der Universität Leipzig (Projektleitung: Olaf Reinhold) und die CRM-Experten von Bowi in Landau haben an einem staatlich geförderten Social-CRM-Datenschutzprüfsystem getüftelt.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.