4 Schritte zum DSGVO-konformen Datenschutz

Das IoT wird den Unternehmen unzählige Geschäftsmöglichkeiten eröffnen. Aber wenn sie ihre eigenen IoT-Lösungen komplett selbst entwickeln wollen, merken sie schnell, dass der sichere Datenaustausch mit einem Augenmerk auf die Privatsphäre schwierig ist: Spätestens am 25. Mai 2018 muss die DSGVO umgesetzt werden. Diese weitreichende Regulierung zwingt Unternehmen, die mit IoT-Geschäftsmodellen planen oder schon auf dem Markt sind,  verbraucherorientiert zu handeln. Denn wenn das Unternehmen persönliche Daten von EU-Bürgern speichert oder verarbeitet, gilt die DSGVO. 

Was sind die Ziele der DSGVO? Es ist vor allem der Datenschutz mit Wahlmöglichkeiten und Kontrolle für die Verbraucher. Diese können ihre grundlegenden Persönlichkeitsrechte besser ausüben und die Kontrolle über ihre personenbezogenen Daten wiedererlangen. Um es auf einen Nenner zu bringen: Unternehmen müssen vertrauenswürdige digitale Beziehungen aufbauen.

4 Schritte zur Umsetzung

Also was ist zu tun? Unternehmen können die folgenden Schritte beachten, um den IoT-Datenschutz zu garantieren und für die DSGVO bereit zu sein:

Schritt Nr. 1: Identifizieren Sie, wo sich die Chancen der digitalen Transformation mit den Risiken des Nutzervertrauens überschneiden

IoT kann alle interessanten Geschäftsmöglichkeiten vorantreiben, von vernetzter Kleidung und Sportausrüstung bis hin zu bahnbrechenden, intelligenten Gesundheitsgeräten. Aber wenn der Datenaustausch brach liegt, weil es unmöglich scheint, diesen sicher zu gewährleisten, kann es zu einem Vertrauensbruch zwischen dem Nutzer und dem Anbieter kommen. Eine Annäherung kann nur gelingen, wenn die richtigen Interessengruppen der privaten und unternehmerischen Seite zusammenarbeiten, um genau zu definieren, um welche sensiblen Daten es sich handelt.

Schritt Nr. 2: Persönliche Daten als gemeinsamen Wert begreifen

Unternehmen oder zumindest ihre Marketingabteilungen sind meistens sehr „besitzergreifend“, wenn es um persönliche Daten geht, die sie von Verbrauchern erfassen. Mit der DSGVO ist diese Vorgehensweise jedoch vorbei. Nur wenn das Unternehmen die persönlichen Daten der Nutzer als etwas sieht, an dem sie beide beteiligt sind – sowohl das Unternehmen als auch der Verbraucher – dann ist eine erfolgreiche, langanhaltende Beziehung möglich. 

Schritt Nr. 3: „Ausdrückliche Zustimmung“ gewähren

Die DSGVO definiert sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Eine davon ist Consent („Zustimmung“). Aber was bedeutet die „ausdrückliche Zustimmung“? Einerseits muss der Dateneigentümer über die erfassten Daten vollständig informiert werden und muss wissen, zu welchem Zweck die Daten genutzt werden und wer Zugriff darauf hat, bevor er seine Zustimmung erteilt. Andererseits muss der Anbieter explizit die Zustimmung für die Verwendung und Verarbeitung der Daten in Form eines „Opt-In“ des Endbenutzers einholen (im Gegensatz zu einem „Opt-Out“). In der heutigen stark konsumorientierten Gesellschaft ist der Endnutzer nun der ausdrückliche Verwalter seiner Autorisierungsentscheidungen. Die Regulierung legt die Entscheidungsfindung in die Hände des Endnutzers und ermöglicht es ihm, den Zugriff auf seine Daten proaktiv zu erteilen und vor allem zu widerrufen. Dies ist eine wichtige Grundlage des Consent-Managements der DSGVO.

Schritt Nr. 4: Bauen Sie Vertrauen mit einem Identity & Access Management auf

Die IoT-Welt lernt vieles schneller als die die Web- und API-Bereiche: Sicherheits- und Datenschutzfunktionen hinzuzufügen gestaltet sich als viel schwieriger, wenn authentisierte Identitäten nicht überprüft werden können und so ihr Zugriff autorisiert werden kann. Die Infrastruktur des Identity & Access Managements ist das richtige Modell, um vertrauenswürdige digitale Beziehungen aufzubauen. Der Datenschutz umfasst die Verwaltung von Identitätsdaten und den Aufbau einer einheitlichen Sicht auf den Kunden über viele einzelne, intelligente Geräte und Anwendungen hinweg. Nutzer müssen die Möglichkeit haben, ihre persönlichen Daten zu korrigieren und zu entscheiden, ob und wie die Daten anderweitig verwendet werden dürfen oder diese auch endgültig zu löschen – zum Beispiel den Zugang zu Insulinpumpendaten oder sogar zu den Steuerungsfunktionen einer Pumpe an einen Arzt oder zu einer Pflegeperson.

Digitale Beziehungen schützen und nutzen 

Die DSGVO ist eine der modernsten Regelungen. Und das ist ein Glück für das Internet der Dinge mit seinen schnell wachsenden Technologie- und Geschäftsmöglichkeiten. Um sich auf die Datenschutz-Grundverordnung vorzubereiten, müssen Unternehmen mehr als Datenschutz gewährleisten, sondern vor allem Datentransparenz und Datenkontrolle umsetzen. Die Entscheidungen, die Unternehmen über die Daten ihrer Kunden treffen, reflektieren nicht nur die Maßnahmen des Datenschutzbeauftragten, sondern das gesamte Geschäftsmodell.  

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.