Das Problem der Sammlung personenbezogener Daten
"If you're not paying for something, you´re not the customer, you're the product being sold! Lange Zeit veranschaulichte dieser Ausdruck den Tauschhandel unserer persönlichen Daten gegen Dienstleistungen für die wir nicht bezahlen. Kommt Ihnen das bekannt vor? Große Unternehmen bemühen sich ständig darum, Daten noch präziser von jedem Einzelnen zu sammeln: Aber welches sind die wirklichen Probleme bei der Erhebung und Verwendung personenbezogener Daten?
Die europäischen und einige andere Staaten der Welt haben Vorschriften in Kraft gesetzt, die strenge Vorgaben bei der Nutzung und Speicherung personenbezogener Daten enthalten. Dadurch können große Unternehmen nicht alles mit den gesammelten Daten machen was sie sich vorstellen, unabhängig davon, welche rechtliche Methode sie bei der Sammlung angewandt haben. Wenn Sie wissentlich der Nutzung Ihrer Daten zugestimmt haben, geben Sie dem Unternehmen die Mittel, alle über Sie gesammelten Daten auszubeuten und mindestens für seine eigenen Interessen zu nutzen. Sie können rechtlich gesehen auch erlauben, dass Ihre Daten an Dritte verkauft werden. Wenn Sie das nicht möchten, denken Sie daran die Nutzungsbedingungen erneut anzuschauen und nicht alle Felder anzukreuzen, die angezeigt werden. Es ist auch möglich ein Unternehmen dazu zu verpflichten, dass alle persönlichen Daten, die es besitzt, gelöscht werden. Dann wird es rechtlich daran gebunden sein, diese Vorgabe auch zu erfüllen.
Wirtschaftlich, rechtlich, sicherheitsrelevant…
Was sind die Gründe dafür, dass Unternehmen ihren Schwerpunkt auf das Sammeln Ihrer Daten legen? Das ist ziemlich leicht zu verstehen. Persönliche Daten ermöglichen es Firmen kommerzielle Projekte unter Berücksichtigung von statistischen Ergebnissen aus Referenzdaten zu entwickeln. Diese Daten bieten dabei insbesondere Wettbewerbsvorteile bei der Entwicklung neuer Produkte und Dienstleistungen für die Firmen. Die Themen sind dabei die gleichen, unabhängig von der jeweiligen Branche. Die am meisten davon profitierenden Unternehmen sind diejenigen, die ihre Produkte und Dienstleistungen der breiten Öffentlichkeit anbieten oder diejenigen die sich im Feld der Gesundheit oder in der Forschung tummeln.
Wenn Daten als „persönlich“ bezeichnet werden, dann deshalb, weil sie nicht anonymisiert sind. In vielen Fällen sind Daten, die von Firmen verkauft wurden, selten und werden in der Regel anonymisiert genutzt, weil es nicht gestattet ist sowohl den Vornamen und Nachnamen einer Person mit einer E-Mail-Adresse, Kreditkartennummer, Sozialversicherungsnummer, Telefonnummer, Adresse usw. zu verknüpfen und weiterzugeben.
Auf der juristischen Ebene ist das Rechtsrisiko zu groß. Beispielsweise ist in Frankreich die CNIL (Commission Nationale de l'Informatique et des Libertés (nationale Datenschutzbehörde) der Garant für die Überwachung bei der Verwendung personenbezogener Daten. Aber sie ist auch in Bezug auf die Konsequenzen der Verwendung der Daten durch Dritte verantwortlich. Eine kommerzielle Datei muss deklariert werden.
Darüber hinaus muss auch der Speicherprozess an sich hier besonders sicher sein, um die Gefahr des Hackings abzuwenden, denn ein Datenleck kann sehr teuer für Unternehmen und Einzelpersonen werden. Ein Fall eines massiven Datenlecks kann das Ansehen eines Unternehmens stark gefährden und im Extremfall sogar zu seiner Schließung führen. Zwar können Haftpflichtversicherungen solche Situationen abfedern, aber die Folgen sind in der Regel trotzdem beklagenswert, selbst für internationale Konzerne.
Das Opt-in für die Datenbank
Wenn der 27018 ISO-Standard nunmehr den Rahmen für die Datenspeicherung setzt (inklusive der Cloud-Angebote – was nicht gleichzeitig bedeutet, dass auch alle Cloud-Dienste den ISO-Standard respektieren – gibt es gute Praktiken, wie es Unternehmen gelingt, personenbezogene Daten zumindest zu ihren Gunsten zu nutzen. Das Opt-in Verfahren oder auch die „Mitgliedschafts-Option“ ist ein Weg, um sich die Verwendung von personenbezogenen E-Mail-Adressen für die Verwendung zu kommerziellen Zwecken genehmigen zu lassen: Es kann so auch als „Permission (for) Marketing“ (Genehmigung (für das) Marketing) genannt werden. Das Double Opt-In ist eine zusätzliche Möglichkeit, bei der der Anwender gebeten wird durch Rücksendung einer E-Mail die Annahme der Bedingungen (unter Angabe der Herkunft der Anfrage) zu bestätigen. Jedes Opt-In erfordert gleichzeitig ein Opt-Out, das ist der zweite Vorteil dieses Verfahrens: Wenn Sie also eine Marketing-E-Mail erhalten, wie beispielsweise einen Newsletter, muss es einen Abmeldelink- und/oder einen Link zur Veränderung der gespeicherten Daten geben. In der Tat ist es so, dass professionelle E-Mail-Plattformen wie Emailing.com (auf Französisch), Mailchimp.com (auf Englisch) und viele andere diese Details für Unternehmen beachten und organisieren. E-Mail-Plattform wie Mailchimp.com ermöglichen es den Empfängern komplette Kontrolle über die Datenbank, die in direktem Zusammenhang mit einer Webseite steht (Registrierung, Abmeldung etc.), zu ermöglichen, bei gleichzeitiger Gewährleistung eines sicheren Rahmens für die erhobenen personenbezogenen Daten.
Dieser Artikel kann niemals erschöpfend sein. Er soll in erster Linie zur Sensibilisierung beim geschäftsmäßigen Datensammeln und zur Reflexion über die damit verbundenen Themen beitragen…
