Europäische Union hin, Europäische Union her - Geht es um Datentransfers ins Ausland, bietet das vereinte Europa Vorteile. Die Übermittlung von Daten in Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) wie Norwegen, Island und Liechtenstein, gestalten sich darüber hinaus unproblematisch (vgl. "sonstige ausländische Stellen", § 4 b Abs 2 S. 2 BDSG). Problematisch sind Datentransfers in Länder die weder der EU, noch dem EWR angehören. Sie werden als sogenannte "Drittländer" betitelt.
Foto: k1003mike - shutterstock
Drittländer mit angemessenem Datenschutzniveau
Was ist ein Drittland? "Ein Drittland ist ein Staat, in dem ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte." DasBundesdatenschutzgesetz (BDSG) sieht für die Datenübermittlungen in ein solches Drittland besondere Regelungen vor. Eine Datenübermittlung ins Nicht-EU-Ausland ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder ein angemessenes Datenschutzniveau im Sinne des § 4 Abs. 2 S. 2 BDSG durch zusätzlich ergriffene Maßnahmen sichergestellt wird.
Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere, eigene Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach §§ 28 ff. BDSG).
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Schweiz vs. Deutschland im Datenschutzvergleich
Die Schweiz gehört nicht zu den EU-Mitgliedsstaaten. Sie garantiert aber nach Auffassung der EU-Kommission bei der Verarbeitung von personenbezogenen Daten einen adäquaten Datenschutz. Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige, kantonale Datenschutzgesetz anwendbar. Kontrolliert wird die Einhaltung des Datenschutzgesetzes im Bund durch den "Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten". Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone selbst zuständig. Sie sind unabhängig und dem Eidgenössischem Datenschutzbeauftragten nicht unterstellt.
Ein großer Unterschied zu den Regelungen in Deutschland ist, dass in der Schweiz zusätzlich zur Auskunftspflicht auch eine Informationspflicht existiert (Art. 14 und Art. 18a): Werden Personendaten von Bundesorganen bearbeitet oder besonders schützenswerte Personendaten oder Persönlichkeitsprofile von privaten Personen bearbeitet, dann müssen grundsätzlich die betroffenen Personen aktiv durch den Inhaber der Datensammlung informiert werden. Ähnlich wie es in Deutschland und auch in Österreich definiert ist, sind auch in der Schweiz jegliche Daten, die eine Profilbildung erlauben (Art. 3d), den besonders schützenswerten Daten gleichgestellt.
- Managementunterstützung und Kulturwandel
Managementunterstützung und Kulturwandel sind wesentliche Merkmale datengetriebener Unternehmen. Die IT kann und ist nicht der Treiber, wohl aber möglicher Initiator und Wegbereiter für Business Analytics im Unternehmen. - Kultur ändern, Strukturen aufbrechen
Die Notwendigkeit zur strategischen Verankerung und Schaffung der Voraussetzungen zum Arbeiten mit Daten müssen dem Management bewusst werden. Fordern und fördern Sie entsprechende Aktionen zur Schaffung von Ressourcen, Änderung der Kultur sowie zum Aufweichen von Strukturen und Prozessen. - Roadmap entwickeln
Entwickeln Sie Ihre Roadmap unter Berücksichtigung der analytischen Anforderungen und bringen Sie diese zur Diskussion! Gehen Sie dabei wertorientiert vor, beginnend mit einfach umzusetzenden Use Cases (low hanging fruit). - Altlasten beseitigen
Nutzen Sie die analytischen Herausforderungen, um Altlasten zu beseitigen. Auf dem Weg hin zu einem flexiblen Framework für Daten und Analytik evaluieren Sie unter Berücksichtigung alternativer Architekturvarianten und Technologien neue Lösungsansätze. - Self-Service-BI integrieren
Integrieren Sie Self-Service-BI in Ihre Strategie und nutzen Sie dessen Vorteile, um clever und einfach schnelle Erfolge erzielen und Hemmnisse abbauen zu können! Machen Sie sich bewusst, in welchem Umfang und zu welchem Zweck Sie Self-Service-BI im Unternehmen nutzen wollen und berücksichtigen Sie dies entsprechend! - Mit Predictive Analytics loslegen
Ermöglichen Sie erste Predictive-Analytics-Projekte und zeigen Sie deren Mehrwert auf! Dienstleister bieten einen Einstieg und vermitteln Wissen während dem Aufbau erster Applikationen! Denken Sie über den Wert Ihrer Daten nach und beginnen Sie, zeitnah Daten für derartige Auswertungen zu sammeln! Hierfür bietet sich unter Umständen Hadoop an. - Cloud für Big Data
Nutzen Sie Cloud-Angebote, um erste Schritte in Richtung „Big Data“ zu machen und lernen Sie mit dem Projektfortschritt! Der Aufbau umfangreichen Wissens und einer On-premise Lösung kostet viel Zeit und Geld, die unter Umständen nicht vorhanden sind. - Heterogene Daten bändigen
Die Integration heterogener Daten ist laut Studienergebnisse der Hauptkritikpunkt am Datenmanagement. Dies bestätigt auch unsere Projekterfahrung. Testen Sie, ob Sie die gewünschte Datenverfügbarkeit herstellen können, ohne gleich komplexe Integrationsszenarien in einem DWH zu nutzen! - Fachbereiche einbinden
Seien Sie offen für alternative Möglichkeiten, wie die Verlagerung von Datenmanagementaufgaben in die Fachbereiche, dem Zugriff auf Quellsysteme oder einem Datenpool, wie dem Data Lake, der Daten nahe ihrem Rohdatenformat für Analysen vorhält!
Datenverarbeitung: Länderspezifische Unterschiede
Für die Verarbeitung von personenbezogenen Daten deutscher Auftraggeber gilt dasSchweizer Datenschutzgesetz (DSG). Die Weitergabe von Daten ist nach deutschem Recht immer eine "Übermittlung" an Dritte (§ 3 Abs. 8 i. V. m. § 3 Abs. 4 BDSG). Aufgrund der nationalen Datenschutzgesetze ist die Rückübermittlung der Daten an den deutschen Auftraggeber, welcher ein angemessenes Datenschutzniveau gewährleistet (Art. 6 DSG, § 4 b BDSG) nach Schweizer Recht unproblematisch und zulässig. Der Schweizer Auftragnehmer (Dienstleister) ist nach Art. 7 DSG verpflichtet, personenbezogene Daten durch entsprechende technische und organisatorische Maßnahmen zu schützen. Dies wird mit Art. 8 - 10 DSG konkretisiert.
Die Auftragsdatenverarbeitung nach dem deutschen BDSG (§ 11 BDSG) entspricht Art. 10 a DSG. Die Verarbeitung an Dritte darf erfolgen, wenn die personenbezogenen Daten nur so verarbeitet werden, wie der Auftraggeber es selbst tun darf. Art. 10 a Abs. 3 DSG besagt, dass der Dritte dieselben Rechtfertigungsgründe wie der Auftraggeber geltend machen kann. Art. 13 Abs. 2 DSG regelt die Rechtfertigungsgründe allerdings nicht abschließend. Er enthält vielmehr einen Beispielkatalog.
- Daten werden wichtiger
In fast drei Viertel aller Unternehmen basieren Entscheidungen heute schon auf Basis von Daten und Analysen. - Höhere Erwartungen
Die Erwartungen im Management und in den Fachabteilungen wachsen. Das sind die wesentlichen Treiber für die Veränderungen im Bereich Business Analytics. - Data Warehouse kommt nicht mit
Fast die Hälfte der Befragten moniert, dass sich die neuen Anforderungen in Sachen Analytics mit dem klassischen Data Warehouse nicht schnell genug umsetzen lassen. - Data Warehouse verändert sich
Angesichts der neuen Analytics-Anforderungen planen fast alle Unternehmen Veränderungen in ihrem Data Warehouse. - Weiter Weg zum passenden Datenmanagement
Die Integration heterogener Datenquellen und die Befähigung der Fachbereiche, selbständig Daten auszuwerten, sind die wichtigsten Themen im Datenmanagement. Aber es gibt noch einiges zu tun, bis das richtig umgesetzt ist. - Data Lakes und Sandboxes im Kommen
Während Data Marts und das zentrale Enterprise Data Warehouse gesetzt sind, richten sich die künftige Pläne mehr auf Data Lakes und Sandboxes - wohl um besser mit Daten experimenteiren zu können. - Vorhersagetechnik gefragt
Unternehmen werden in den nächsten Monaten und Jahren ihr Hauptaugenmerk vor allem auf Techniken für Predictive Analytics, Big Data und Hadoop richten. - Self-Service-BI für die Fachbereiche
Nur jedes 20. Unternehmen verbietet Self-Service-BI-Werkzeuge. Die Hälfte der Befragten gestattet den direkten Zugriff auf die operativen BI-Systeme. - Vorhersagen für bessere Geschäfte
Mit Predictive Abnalytics wollen die Unternehmen in erster Linie ihr Geschäft optimieren und ihre Kunden besser verstehen. - Finanzabteilung braucht Realtime-Analysen
Realtime-Analysen sind vor allem in der Finanzabteilung gefragt, aber auch in der Interaktion mit Kunden, um deren Verhalten rechtzeitig zu erkennen und schnell Maßnahmen einleiten zu können. - Hindernisse
Fehlende Ressourcen und die mangelnde Bereitschaft für Veränderungen sind dir größten Hemmnisse, eine neue Datenmanagement-Strategie im Unternehmen auf den Weg zu bringen. - Fachbereiche übernehmen BI-Verantwortung
Nach wie vor hat in Sachen BI meist die IT den Hut auf. Aber immerhin ist in fast jedem fünften Unternehmen BI organisatorisch in der Fachabteilung verankert.