Datenschutz und Big Data: Pflicht und Chance
Titelbild: © Rawpixel.com/Shutterstock.com Posted on von Big Data | Sicherheit

Datenschutz und Big Data: Pflicht und Chance

Daten sind das Öl des 21. Jahrhunderts: Big-Data-Analysen machen sie zum begehrten Gut. Der Datenschutz setzt Unternehmen jedoch enge Grenzen, wenn sie Kundendaten nutzen wollen – er ist aber auch eine Chance, die Kundenbindung zu stärken.

Daten sind im Laufe der Jahre zum vierten Produktionsfaktor neben Arbeit, Kapital und Rohstoffen geworden. Während die Menge der von Geräten und Anwendungen erhobenen Daten stetig steigt – die Experten von Aureus Analytics haben für das vergangene Jahr ein Wachstum von 40 Prozent errechnet –, sinken zugleich die Kosten für deren Speicherung und Verarbeitung. Vor allem mithilfe von Big-Data-Analysen, die automatisiert große Mengen unstrukturierter Daten aus verschiedenen Quellen schnell verarbeiten können, personalisieren Unternehmen Werbung, betreiben Marktforschung oder verbessern ihre Produkte. Für Marketingabteilungen sind unter anderem folgende Parameter interessant:

  • Online-Nutzerdaten wie Klickraten, Nutzungsdauer, besuchte Websites
  • Daten aus Onlineshops wie gekaufte Produkte, Rückgabequote, Umsatz
  • Ortungsdaten, etwa von Mobilgeräten
  • und natürlich soziodemografische Daten

Der Kunde reagiert allerdings zunehmend sensibel, wenn es um die Weitergabe seiner Daten geht– was auch an den diversen Skandalen der letzten Jahre liegt: Facebook muss einräumen, dass einige seiner populärsten Spiele Nutzerdaten wie Name und Freunde an Werbefirmen weitergegeben haben. Microsofts Windows 10 erinnert Nutzer an private Termine – indem es ungefragt private E-Mails durchforstet. Sony schützt seine Server so nachlässig, dass Hackern die persönlichen Daten von Millionen Playstation-Spielern in die Hände fallen.

Personenbezogene Daten

Nicht nur mit Blick auf das Vertrauensverhältnis zum Kunden haben Unternehmen höchstes Interesse an rechtskonformen Big-Data-Analysen – also etwa in Übereinstimmung mit den Regelungen des Bundesdatenschutzgesetzes (BDSG) und bald auch der neuen EU-Datenschutz-Grundverordnung. Das betrifft vor allem personenbezogene Daten, laut BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Das können sein:

  • Name, Anschrift, Alter, Geschlecht, Beruf, Größe etc.
  • Telefonnummer, IP- und E-Mail-Adresse sowie Cookies
  • Bankdaten, Kreditkarten- und Personalnummern, Kfz-Kennzeichen

Alle Daten also, mit denen sich eine Person – direkt (bestimmt) oder indirekt (bestimmbar) – identifizieren lässt. Das deutsche Datenschutzrecht basiert auf dem Prinzip, dass das Sammeln und Verwerten personenbezogener Daten nur zulässig ist, wenn der Betroffene es erlaubt. Die jeweilige Person muss schriftlich oder, wenn es beispielsweise um einen E-Mail-Newsletter geht, per „Double-Opt-in“-Verfahren einwilligen: Der Kunde erhält nach Angabe seiner E-Mail-Adresse eine gesonderte Mail mit einem Bestätigungslink, den er anklicken muss. Erst dann darf der von ihm abonnierte Newsletter verschickt werden. Es reicht also nicht aus, eine Einverständnisklausel irgendwo in den AGB zu verstecken.

Anonymisierte Daten

Werden Kundendaten anonymisiert, indem Unternehmen personenbezogene Informationen aus einem Datensatz entfernen, kann eine Zustimmung unter Umständen ausbleiben. Das ist laut BDSG dann zulässig, wenn die einzelnen Angaben nicht mehr – oder nur mit einem unverhältnismäßig hohen Aufwand – einer bestimmten Person zugeordnet werden können.

Bereits bevor sie Kundendaten erheben, sollten sich Unternehmen fragen, welche Informationen sie wirklich benötigen. Lassen die erhobenen Daten keine Rückschlüsse auf einzelne Personen zu, ist auch keine datenschutzkonforme Anonymisierung erforderlich.

Datensparsamkeit, Pseudonymisierung, Zweckbindung

Ziel muss es ohnehin sein, so wenige personenbezogene Daten wie möglich zu erheben. Neben der Anonymisierung dient dazu auch die Pseudonymisierung, also das Ersetzen eines Identifikationsmerkmals beispielsweise durch einen Nummerncode. Wollen Unternehmen das allgemeine Kaufverhalten der Kunden analysieren, sind die Namen der Kunden ebenfalls nicht nötig. Werden sie durch ein Programm wie etwa ein Data Mining Tool automatisch durch einen zufälligen Wert ersetzt und lassen keine Rückschlüsse mehr auf einzelne Kunden zu, sind die betreffenden Daten pseudonymisiert und dürfen verwertet werden.

Verteilte Rollen, Datentrennung und Zweckbindung

Steht die Anonymisierung von Daten einer Big-Data-Analyse im Weg, bietet sich alternativ das Prinzip der verteilten Rollen an. Das heißt: Die Informationen werden aufgeteilt – etwa auf einen Website-Betreiber und auf einen Analyse-Anbieter –, sodass kein Beteiligter über den gesamten Datensatz verfügt. Die Informationen lassen sich nicht mehr mit der IP-Adresse verknüpfen, sodass eine Analyse zulässig ist.

Unternehmen dürfen Daten auch nicht ohne Weiteres aus unterschiedlichen Quellen zusammenführen, um weitere Erkenntnisse zu gewinnen – das Risiko, dass kombinierte Daten Rückschlüsse auf Einzelpersonen zulassen, ist zu hoch. Hier gilt das Prinzip der Datentrennung: Unternehmen müssen verschiedene Datensätze getrennt voneinander verwalten, der Betroffene muss einer Zusammenführung ausdrücklich zustimmen.

Darüber hinaus muss die Erhebung einem vorher definierten Zweck dienen, über den Unternehmen den Kunden unterrichten. Außerdem dürfen sie die erhobenen Daten ohne Zustimmung auch nicht zu einem anderen Zweck verarbeiten.

Datensicherheit im Datenschutz

Ein Aspekt des Datenschutzes betrifft die Datensicherheit. Der Verlust von Kundendaten kann gravierend sein, nicht nur für die betroffenen Kunden, sondern auch für das Firmenimage. Unternehmen sollten also wie vom BDSG gefordert durch technische und organisatorische Maßnahmen die Daten ihrer Kunden vor unbefugtem Zugriff oder Verlust schützen. Ob außerdem auch ein Datenschutzbeauftragter nötig ist, lässt sich mit einem Selbstcheck auf der Seite des NRW-Landesbeauftragten für Datenschutz ermitteln.

Die Rechte des Kunden

Zu den Rechten des Kunden zählt laut BDSG unter anderem das Recht, vom Unternehmen Auskunft über die zu seiner Person gespeicherten Daten zu erhalten. Einwilligungen muss er jederzeit widerrufen können, unrechtmäßig erhobene Daten müssen Unternehmen unverzüglich löschen, falsche Angaben korrigieren.

Unternehmen müssen also ihr Interesse an der Verwertung von Kundendaten in Einklang bringen mit dem Recht der Kunden auf „informationelle Selbstbestimmung“, das unter anderem vom BDSG geschützt wird. Besser: Sie nutzen die Regeln des Datenschutzgesetzes als Chance, durch offensiven und transparenten Umgang mit dem Thema Datenschutz die Kundenbindung zu stärken. Denn wenn der Kunde sicher sein kann, dass ein Unternehmen vertrauensvoll mit seinen Daten umgeht, wird er sie bereitwilliger zur Verfügung stellen und dem Unternehmen eher treu bleiben.

Der Mehrwert für den Kunden

Ebenfalls wichtig: Dem Kunden deutlich machen, welche Vorteile er von der Preisgabe seiner persönlichen Daten wie Name, E-Mail-Adresse oder gar Bankdaten hat – etwa die kostenlose Nutzung einer Software. Für mehr Komfort beim Online-Shopping gibt er Bankdaten und Adresse preis. Personalisierte Werbebanner auf Webseiten akzeptiert er ebenfalls, wenn dafür für ihn relevante Inhalte frei zugänglich sind. Diese Kombination aus Vertrauen und Mehrwert sorgt für Kundentreue – so profitieren beide Seiten von Datenschutz und Big Data.

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.