Extrem gestiegene Kosten, Lieferkettenprobleme, internationale Krisen, Fachkräftemangel, Nachfragerückgang, steigende Kundenanforderungen, rasante technologische Veränderungen: Selten waren die Zeiten herausfordernder für Unternehmen als im Jahr 2023. Bestehen werden unter diesen schwierigen Bedingungen langfristig nur diejenigen, die ihren Transformationsprozess durchdacht gestalten. Dabei sollten die Menschen, genauer gesagt die Mitarbeiter und Kunden, stets im Mittelpunkt stehen. Doch wenn es um Menschen geht, geht es in Europa auch sehr schnell um Fragen des Datenschutzes.

Dass die Rechtslage mitunter undurchsichtig ist, weiß auch Thomas Schwarz, CTO und Mitgründer von smapOne, einem europäischen No-Code-Anbieter: "Als wir mit unserer SaaS-Plattform auf den Markt kamen, galt das Safe-Harbour-Abkommen. Das wurde durch Schrems I, gefolgt von Privacy Shield und später durch Schrems II gekippt. Zudem stellen die allgemein gehaltenen Formulierungen von Datenschutzanforderungen in der DSGVO eine Herausforderung dar.

3 DSGVO-Herausforderungen

Aufgrund der strikten und teilweise unklar zu interpretierenden DSGVO-Vorgaben können verschiedene Hürden für Unternehmen entstehen. Unter anderem wird die Umsetzung folgender wichtiger Maßnahmen erschwert:

1. Kundenverhalten analysieren: Cookies stehen möglicherweise vor dem Aus. Wie gelangt das Marketing dennoch an wertvolle Kundeninformationen?

2. KI-Lösungen einsetzen: ChatGPT und einige weitere Tools haben Schwächen in puncto Datenschutz. Welche Alternativen gibt es?

3. Daten effizient speichern und verarbeiten: Hackerangriffe werden immer ausgeklügelter. Wie kann der Verlust personenbezogener Daten verhindert werden - auch bei der Nutzung von hybriden oder Cloud-Infrastrukturen?

Im Folgenden werden diese drei Fragestellungen näher untersucht.

1. Kundendaten DSGVO-konform sammeln und auswerten

Cookies und die DSGVO: Kompatibel waren diese beiden Welten noch nie. Erschwerend kommt nun hinzu, dass Google sich derzeit auf ein Web vorbereitet, das gänzlich ohne Third-Party-Cookies auskommen soll. Für Herbst 2024 plant der Hersteller des Chrome-Browsers das Ende von Drittanbieter-Cookies. Dies markiert voraussichtlich den Beginn einer neuen, Cookie-losen Marketing-Ära.

Marketing-Teams benötigen daher andere Möglichkeiten, um Daten zu sammeln. Eine Möglichkeit: Riddle - die Plattform ermöglicht es, interaktive Quizze, Tests, Umfragen, etc. zu erstellen, in denen Unternehmen viele valide und aussagekräftige Informationen von Anwendern erhalten können. Anders als andere Content-Tools nutzt Riddle dabei keinerlei Analytics- oder Werbetracker. Der Anbieter hat zudem keinerlei Einblicke in die Daten seiner Kunden.

Für zusätzliche Sicherheit sorgt das Hosting der Daten in EU-Rechenzentren und für volle Rechtssicherheit kann hierbei ein Double-Opt-In-Verfahren sorgen. Boris Pfeiffer, CEO und Gründer von Riddle zur Thematik: "Kundeninformationen sind das zentrale, aber auch sensibelste Medium. Mit entsprechenden Daten schaffe ich es, mein Unternehmen zum Erfolg zu führen und zeitgleich ist die Privatfähre unantastbar. Nur freiwillig preisgegebene Daten sind zum einen valide und zum anderen für Unternehmen nutzbar."

2. KI DSGVO-konform einsetzen

Seit dem Jahreswechsel 2022/2023 erleben wir eine exponentielle Weiterentwicklung Künstlicher Intelligenz. Treiber der gesamten Entwicklung und prominenteste Lösung ist OpenAIs ChatGPT. Doch das generative KI-Tool steht längst im Kreuzfeuer von EU-Datenschützern. Problematisch ist beispielsweise, dass ChatGPT ohne das Einholen einer Zustimmung eingegebene, personenbezogene Daten speichert und verarbeitet. Weiterhin ist der Algorithmus nicht öffentlich. Somit herrscht Unklarheit für betroffene Personen, wie ihre Daten verarbeitet werden.

Wer dennoch nicht auf die Power von Lösungen wie ChatGPT verzichten möchte, benötigt Hilfsmittel, mit denen sich der Einsatz DSGVO-konform gestalten lässt. Ein Anbieter, der sich eingehend mit dieser Thematik beschäftigt hat, ist GAL Digital aus Mittelhessen. Im Ergebnis entstand die Softwarelösung nele.ai. Vereinfacht ausgedrückt, bewirkt die auf OpenAI-basierende Lösung, dass die im Chat eingegebenen Daten nicht von KI-Modellen gespeichert werden.

Zusätzlich werden personenbezogene Daten soweit erkennbar vor der Verarbeitung durch die KI automatisch anonymisiert und nach Verarbeitung wieder personalisiert. Diese Funktion sorgt neben der DSGVO-Konformität für eine zusätzliche Schutzschicht. Somit ist es möglich, ChatGPT & Co. bedenkenlos einzusetzen.

3. Personenbezogene Daten schützen

Im Hinblick auf die DSGVO sind auch die Machenschaften von Cyberkriminellen hochproblematisch. Immer wieder sind zum Beispiel Plattformanbieter von Hackerangriffen betroffen, die zu Datenschutzverletzungen führen: Bei einer Cyberattacke auf das Online-Zahlungssystem der spanischen Fluggesellschaft Air Europa haben Angreifer beispielsweise die Kreditkartendaten einiger Kunden erbeutet. Es drohen Konsequenzen. Auch der Hotelkettenbetreiber Motel One legte zuletzt offen, dass die Daten von Millionen von Kunden bei einem Hackerangriff erbeutet und veröffentlicht worden sind. Auch in diesem Fall drohen dem Unternehmen durch die DSGVO gedeckte Schadensersatzforderungen durch die betroffenen Kunden.

Um das Sicherheitslevel in Unternehmen der neuen Bedrohungslage durch Nutzung von Cloud-Software oder KI-Anwendungen anzupassen, sind laut Markus Cserna, CTO von cyan Digital Security, neben Sensibilisierungsmaßnahmen vor allem innovative Cybersecurity-Technologien erforderlich. Es braucht Services, die gegenüber KI-gestützten Cyberkriminellen hochleistungsfähig agieren. Eine Lösung stellen Systeme dar, die sich auf die Erfassung von Daten (Information) und Event-basierte Analysen fokussieren. Sicherheitsdaten werden dabei durch Programme aggregiert, korreliert, analysiert und interpretiert - das Erkennen von empirischen Abweichungen dient als Indikator für mögliche Angriffe.

Um die Prozesse zum Schutz von Unternehmen zu automatisieren, eignen sich wiederum so genannte GRC - Governance, Risk, Compliance - Lösungen. Mit ihrer Hilfe können die Bereiche Informationssicherheit, Datenschutz oder Risikomanagement abgedeckt und die Unternehmensstandards, Richtlinien und Bewertungen auf einer einheitlichen Datenbasis abgebildet werden. Cloudsicherheit und Einhaltung der DSGVO spielen zum Beispiel beim Third Party Risk Management eine große Rolle: "Es muss Datenwege in Unternehmen hinein und aus Unternehmen herausgeben. Und es muss möglich sein, aus Effizienz- und Kostengründen Daten und Services mit Drittparteien zu teilen oder bei ihnen vor allem in der Cloud zu parken. Dennoch sollte jedes Unternehmen sichergehen und diese kritischen IT-Schnittstellen selbst im Auge behalten und überprüfen", sagt Thomas Neuwert, Geschäftsführer von neto Consulting, einem Beratungshaus für Governance, Risk und Compliance.

In Hinblick auf die Cybersicherheit sollten auch sogenannte Content Delivery Network-Services (CDNs) nicht unerwähnt bleiben. Unternehmen nutzen diese einerseits, um die Ladezeiten von Websites zu verbessern, andererseits, um Angriffe wie DDoS-Attacken zu erschweren und die Wahrscheinlichkeit eines Websiteausfalls zu verhindern. "Durch Nutzung eines CDN sinkt automatisch die Wahrscheinlichkeit eines Websiteausfalls während eines DDoS-Angriffs, da das CDN Überlastungen abfedern kann", erklärt Lisa Fröhlich, Unternehmenssprecherin von Link 11. Einige DDoS-Angriffe könnten auf den CDN-Nodes teilweise gemildert werden, insbesondere durch den Einsatz von Schutzmaßnahmen für den Layer 3 und 4, die Network- und Transport-Layer des OSI-Modells.

Meistens werden entsprechende Services jedoch außerhalb der EU gehostet, was aus DSGVO-Sicht ein Problem darstellt. Eine Alternative bieten an dieser Stelle europäische Anbieter wie Link 11, die ihre Server und Knotenpunkte in Europa hosten. Dank der strikten Einhaltung der EU-weiten Datenschutzrichtlinien werden so keine Daten in Länder übertragen, die sich auf der Negativliste befinden.

Fortschritt und DSGVO müssen nicht im Widerspruch stehen

Künstliche Intelligenz, Kundendatenanalysen und die Nutzung hybrider IT-Infrastrukturen sind Trendthemen, die auch 2024 das Bild bestimmen werden. Umso wichtiger ist es, sie anzugehen, ohne dabei jedoch DSGVO-Verstöße zu generieren. Glücklicherweise existieren Anbieter und Tools, die diesen Weg unterstützen.

Auch smapone-CTO Schwarz sieht in der derzeitigen Situation Potential für deutsche Unternehmen:"Am Ende kann es ein Vorteil sein, in der EU begonnen zu haben und dann global anzubieten - wer die EU-Anforderungen an Datenschutz erfüllt, kann damit weitestgehend weltweit erfolgreich anbieten. Wer in den USA groß geworden ist und anschließend europäische Kunden gewinnen will, hat meist noch ein großes Stück Arbeit vor sich." (mb)