Die italienische Datenschutzbehörde hat im April 2019 ein Rekord-Bussgeld i.H.v. 2 Millionen EUR an ein italienisches Unternehmen verhängt, weil es zur Kundenauqise auf ein albanisches Call-Center zurückgegriffen hatte, dass Kunden über eigene Listen kontaktiert hatte, obwohl dazu keine Einwilligung der Kunden zur Kontaktaufnahme vorlag. Das hohe Bussgeld setzte sich aus einer Vielzahl von Einzelverstössen zusammen, die jeweils mit 6.000 bzw. mit 10.000 EUR belegt wurden. Diese addierten sich zu der Summe.
Datenschutz Bochum rät: Machen Sie Ihre Hausaufgaben und kontaktieren Sie potentielle Kunden nur, wenn dazu eine Einwilligung vorliegt.
"Thoughts on Flash" betitelte Steve Jobs im Jahr 2010 einen offenen Brief an Adobe (derm Hersteller von Flash). Er nutzte diesen Brief um darzulegen, warum Apple danach kein Flash mehr auf seinen Mac-Computern installierte. Die Benutzer konnten es
Woran merkt man eigentlich, dass es in der eigenen EDV "läuft"? Merkt man das, wenn man von denen nicht hört? Oder wenig hört? Das kann so sein, muss es aber nicht. Die Frage ist ja immer, was man erreichen will und was man erreichen könnte. In meiner Berufspraxis habe ich schon viel gesehen: Oft kann man den Wert der IT daran messen, wie und wo der Server platziert wird. Der eine platziert diesen prominient, wie einen Pokal, der anderen versteckt ihn in der Besenkammer. Wie es mit der EDV läuft merkt man in der Regel erst in einem Schadenfall. Sei es, dass eingebrochen wurde und wensetliche Teile der EDV gestohlen wurden, oder sei es bei einem Blitzschlag oder Feuer. Dann werden die bisher bestehenden Lücken gnadenlos aufgedeckt.
Aber eigentlich sollte man es gar nich so weit kommen lassen. Eine ISO 27001 Zertifizierung betrachtet den EDV-Betrieb ganzheitlich und deckt eventuell bestehende Sicherheitslücken vorab auf. Das Ziel einer ISO 27001 Zertifizierung ist ein automatischer EDV-Betrieb mit hohen Standards.
Datenschutz Brock meint: Das wollen Sie doch auch, oder?
Viele Unternehmen scheuen sich seit der Einführung der DS-GVO Analytics-Methoden einzusetzen. Andere setzen diese ein und verstossen offensichtlich gegen die DS-GVO und setzen sich damit der Gefahr der Bestrafung durch Bussgeld-Zahlungen aus. Aber wie kann man es richtig machen? Was gilt es zu beachten?
Bei den Anwendungsgebieten von Analytics oder Data Mining sind zwei Bereiche zu identifizieren: 1. Der Datenbestand an eigenen Kundendaten und 2. der Datenbestand an Webdaten. Die Daten der Webbesucher können als "haben noch nicht gekauft" und die die Kundendaten entsprechend anders klassifiziert werden. Beide Kategrorien sind für das Unternehmen interessant. Das grössere Umsatzpotenzial liegt in der Analyse der Kundendaten.
Aus Datenschutzsicht sind die Aspekte Absicherung der Kundendaten und zweckgebundene Verwendung der Daten im Rahmen der gesetzlichen Möglichkeiten die relevanten Punkte. Hier gilt es aus Unternehmenssicht eine Strategie zu entwicklen. Ich empfehlen dazu eine Datenstromanalyse zu erstellen, wo die Entstehung, Verwendung und Weitergabe der Daten analyiert wird.
Datenschutz Brock empfiehlt: Anlysieren Sie ganzheitlich Ihre Datenströme und regeln dabei verbindlich Aufbewahrungsfristen, Schutz- und Zugriffsregeln- und Kategorien und auch das Lifecycle-Management, also wann die Daten wieder gelöscht werden.