Ich begrüße den Vorstoß in Richtung “privacy by default” (wenn mir auch ein deutsches Schlagwort besser gefallen würde), den Ansatz eines vererbbaren Löschdatums sowie die beabsichtigte Klarstellung zum Thema “elektronische Einwilligungen”. Im Kernpunkt allerdings schließe ich mich der Kritik von RA Thomas Stadler an, was das unpraktikable Widerspruchsrecht im Einzelfall angeht.

So oder so, ein Gesetzentwurf mehr schadet in keinem Fall und legt die Latte für die spätestens zum 7.12. erwarteten Papiere von Wirtschaft & BMI höher.

Marketing entdeckt Datenschutz

Vor einer Woche überraschten mich die Ergebnisse einer lesenswerten Studie von Client Vela und TU München. Siehe dazu hier im Blog:

Auf die Frage „Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?“ erhielt der Punkt „Datenschutz“ insgesamt die drittbeste Bewertung, wurde aber von 43%  als „sehr starker“ Faktor genannt – Spitzenwert!

Datenschutz rangierte damit hinter dem Preis und der Mitarbeiterkompetenz, aber vor Serviceleistungen, den Kernleistungen des Produktes und sieben weiteren Faktoren.

Langfristige Kundenbindung funktioniert nicht ohne den respektvollen Umgang mit der Person des Vertragspartners. Im Ladengeschäft wird die Person des Kunden auch, im Online-Geschäft nur durch ihre Daten verkörpert. Diese Botschaft ist in der Bevölkerung offensichtlich schneller angekommen als in vielen Handelsunternehmen. Kluge Unternehmer haben die Chance, dass steigende Interesse am Datenschutz zu nutzen und dabei schneller als die Konkurrenz zu sein.

Marketing als größte Gefahr für den Datenschutz

Auf der anderen Seite der Medaille verblüffte mich IT-Guru Bruce Schneier  in einem Interview für eine Kolumne auf cnet.com. Auf die Frage, woher die größte Gefahr für unsere Privatsphäre droht, antwortete er nicht etwa mit “Sicherheitsbehörden” oder “Unterwelt”, sondern:

Marketing. The legal collection, storage, resale, and reuse of personal information. Information brokers are doing more to hurt consumer privacy than anything criminals or the government can do. And, even worse, the government can buy information from them, and criminals can break into their databases.

Marketingleute horten die Informationen, die dann von Regierungen gekauft oder von Kriminellen gestohlen werden können. Passenderweise verlor kurz danach der Britische Guardian durch einen Einbruch etwa eine halbe Million Datensätze von Online-Bewerbern inklusive Lebenslauf.

“Ich brauche Dich, aber ich kann gefährlich für Dich werden!”, das klingt nach einer Schnulze mit Krimi-Potential. Hat die Beziehung eine Zukunft?

Wie können Marketing und Datenschutz miteinander leben?

Es gab in den vergangenen Tagen noch mehr Neuigkeiten u nd bekanntlich sind ja aller guten Dinge drei. Aber wer hätte das gedacht: Ausgerechnet im aktuellen Koalitionsvertrag finden sich Ansatzpunkte für ein Happy End zwischen Marketing und Datenschutz. Das Zauberwort heißt “Datensparsamkeit” und wird für eGovernment-Projekte ebenso beschworen wie für den privaten Bereich. Daneben halte ich die Transparenz durch klare, faire Einwilligungen für den richtigen Weg und bin damit auf einer Spur mit der Bundesregierung:

Die Einwilligung ist eine wesentliche Säule des informationellen Selbstbestimmungsrechts. Ziel der Reform muss daher auch sein, verbesserte Rahmenbedingungen für informierte und freie Einwilligungen zu schaffen. Dazu sollen Informationspflichten erweitert und der Freiwilligkeit der Einwilligung größere Bedeutung beigemessen werden.

Natürlich besteht die Gefahr der Gewöhnung: Allzuleicht unterschreiben wir im Angesicht des greifbaren Sonderangebotes alles Mögliche, auch weitreichende Einwilligungen (Glauben Sie nicht? Dann werfen Sie mal einen genauen Blick auf die Einwilligung bei der ebay-Anmeldung, die Sie vermutlich so wie ich nur flüchtig überflogen haben). Dennoch gibt es aus meiner Sicht keine Alternative zu einer Einwilligungskultur. Wenn beide Seiten, Kunden und Unternehmer, dazulernen und darauf eingehen, kann ein fairer Interessensaugleich gelingen.

7. Soweit die Übermittlung meiner Daten an Dritte nicht aufgrund eines Gesetzes, insbesondere nach dem BDSG, erlaubt ist, willige ich ein, dass die UCI-Gruppe und KRANKIKOM

• soweit dies erforderlich ist, meine personenbezogenen Daten an Strafverfolgungs- und Aufsichtsbehörden zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten übermittelt.

Klartext: UCI will Daten von Kinobesuchern z.B. an Strafverfolgungsbehörden weitergeben, auch wenn es dafür keine gesetzliche Grundlage gibt.  Vorauseilender Gehorsam im Anti-Terror-Kampf? Doppelter Unsinn:

• Erstens arbeiten Strafverfolgungs- und Aufsichtsbehörden nach dem Legalitätsprinzip – wollen wir doch mal stark annehmen…  D.h. keine Datenanforderung ohne Rechtsgrundlage.

• Zweitens zweifle ich stark an der Wirksamkeit der Einwilligung in dieser Form. Positiv: Bei der Registrierung für “Mein UCI” wird auf die “Datenschutzerklärung” und weitere “Allgemeine Hinweise zum Umgang mit meinen Daten” hingewiesen. Allerdings wird für mich dadurch nicht deutlich, dass es sich um eine Einwilligung handelt…

Im Klartext besteht die sogenannte Datenschutzerklärung nur aus – unwirksamen – Einwilligungen in jedes und alles – eine klare Mogelpackung. Leute, so was könnt Ihr nicht unter dem Namen “Datenschutzerklärung verkaufen”!

Wie kommt UCI auf diese Idee? Ich habe die Floskel mal gegoogelt und bin auf 131 weitere Webseiten gestoßen, die im Großen und Ganzen diese Erklärung verwenden. Darunter auch ebay – und das scheint mir die Mutter dieser Erklärungen zu sein. Ebay bezieht diese Einwilligung unter der richtigen Bezeichnung, optisch hervorgehoben und zum richtigen Zeitpunkt (bei der Anmeldung neuer Nutzer) mit einem Opt-In ein – während UCI und vermutlich die meisten anderen Webseiten das versäumen.

Wieder mal zeigt sich: Abschreiben lohnt sich nicht

P.S.: Auch wenn ebay handwerklich gut gearbeitet hat – das macht den Grundgedanken “Datenweitergabe am Gesetz vorbei” nicht besser.

Kann man machen, wenn man sich auf solche Tipps beschränkt wi:

• “Prüfungskriterium: Die Programme zur Verarbeitung personenbezogener Daten enthalten die Funktionen, um die Einwilligung richtig zu verwalten. Reaktion bei nein: keine Verarbeitung, neue Software beschaffen.”
  OK, welches CRM kaufe ich denn heute ein? Oder

• “Prüfungskriterium: Werden die Daten (für die Erfüllung der Aufgaben) benötigt, ist die Speicherung auf die Inhalte begrenzt, die zur Erfüllung der Aufgaben notwendig sind (Datensparsamkeit). Reaktion bei Nein: Datenbestand und Abläufe prüfen” – und was mache ich am Nachmittag?

Richtig böse werde ich als Datenschutzbeauftragter bei den Fragen 14 und 16:

• Frage 14 “Prüfungskriterium: Das Unternehmen hat keinen betrieblichen Datenschutzbeauftragten (DSB). Reaktion bei Ja: weiter bei Frage 17″
  Eine Reaktion bei Nein ist auf der Liste nicht zu finden

Und der Hammer:

• Frage 16 “Prüfungskriterium: Der verschärfte Kündigungsschutz des betrieblichen DSB stellt ein Problem dar. Reaktion bei Ja: neuen DSB benennen.”

Da wird der alte Datenschutzbeauftragte mal eben weggecheckt. Hätte er sich doch nur ruhig verhalten…

Das Schlimme: Die Checkliste wird sicher tausendfach runtergeladen (kostenlos!) und hier und da zum Einsatz kommen. Grund genug, sich wieder einmal über die zunehmende Checklistengläubigkeit aufzuregen, auch unter Datenschutzverantwortlichen und Datenschutzumsetzern.

Verwende keine Checkliste, die Du nicht selbst erstellt oder geprüft hast.