Archiv Datenschutz

    Die Kunden in den Mittelpunkt Ihres Datenschutzprogramms stellen

    Datenschutzprogramme, die sich nur auf die Einhaltung von Vorschriften konzentrieren, können das Kundenerlebnis beeinträchtigen. Eine ganzheitliche Betrachtung des Datenschutzes kann diese Denkweise ändern und Unternehmen helfen, wettbewerbsfähig zu sein.

    gettyimages-693641324.jpg

    Wichtige Punkte

    • Die Konzentration auf den Datenschutz als Frage der Einhaltung von Vorschriften und nicht als Frage des Kundendienstes hat sich negativ auf die Nutzererfahrung ausgewirkt.
    • Da die Unternehmen ihre Ausgaben für den Datenschutz erhöhen und angesichts der verschärften Datenschutzbestimmungen mehr Mitarbeiter einstellen, ist es jetzt an der Zeit, den Datenschutz als ganzheitliche, unternehmensweite Aufgabe zu betrachten.
    • Strategien wie die Priorisierung des Datenschutzes durch Design werden dazu beitragen, dass sich die Einstellung zum Datenschutz im gesamten Unternehmen ändert - und dass sich der Datenschutz für die Nutzer in einen Wettbewerbsvorteil verwandelt.

    Die Landschaft der Datenschutzrisiken entwickelt sich für die Unternehmen von heute schnell weiter. In den letzten fünf Jahren folgte auf die europäische Datenschutzgrundverordnung (GDPR) der California Consumer Privacy Act (CCPA); in Brasilien, China, Indien und Südafrika gibt es inzwischen ähnliche Vorschriften. Als Reaktion darauf erhöhen die Unternehmen ihre Budgets für Datenschutzprogramme und stellen Personal ein, das sich auf den Verbraucherschutz konzentriert.

    Gleichzeitig wird es immer unwahrscheinlicher, dass Kunden ein Unternehmen bevorzugen, dem sie ihre persönlichen Daten nicht anvertrauen, so die Unternehmensberatung McKinsey. Die 2020 durchgeführte Umfrage unter 1.000 Verbrauchern in Nordamerika ergab, dass 87 % der Befragten keine Geschäfte mit einem Unternehmen machen würden, wenn sie Bedenken hinsichtlich dessen Sicherheitspraktiken hätten, während 68 % der Befragten angaben, dass der Inhalt ihrer E-Mails nur für die von ihnen autorisierten Stellen zugänglich sein sollte.[1] Untersuchungen haben auch gezeigt, dass die Bereitschaft der Kunden, Informationen mit verschiedenen Marken zu teilen, in direktem Zusammenhang mit ihrem Gefühl der Autonomie und Kontrolle über das, was sie teilen, steht.[2]

    Einfach ausgedrückt: Die Einhaltung der Vorschriften und die Risikominderung sind nicht mehr die Obergrenze für die Datenschutzrechte der Verbraucher. Stattdessen sind sie die Basis. Dies stellt Unternehmen, die nicht darauf vorbereitet sind, vor große Herausforderungen. Es bietet aber auch die Möglichkeit, die Datenschutzstrategie des Unternehmens zu überdenken, die Erfahrung der Nutzer mit dem Datenschutz über den Kontext der Einhaltung von Vorschriften hinaus neu zu gestalten und den Datenschutz von einem Hindernis in einen Wettbewerbsvorteil zu verwandeln.

    Dieser Bericht basiert auf einem Gartner-Bericht mit dem Titel "Predicts 2022: Privacy Risk Expands" und ist Teil einer dreiteiligen Serie über Datenschutz. Andere Berichte in dieser Reihe befassen sich mit den Trends in den Bereichen Regulierung, Durchsetzung und Rechtsstreitigkeiten, die neuen Druck auf die Unternehmen ausüben, die Vorschriften einzuhalten.

    Fehlende Strategie führt zu Beschwerden - und Schlimmerem

    Angesichts der wachsenden Zahl globaler Gesetze zum Schutz der Privatsphäre von Verbrauchern und der damit verbundenen Komplexität haben sich die Unternehmen auf den Datenschutz als eine Frage der Einhaltung von Vorschriften konzentriert. Das ist sicherlich verständlich, aber es hat sich negativ auf den Kundenservice ausgewirkt.

    Insgesamt verfügen weniger als die Hälfte der multinationalen Unternehmen über eine globale Datenschutzstrategie. Laut einer Umfrage der International Association of Privacy Professionals (IAPP) organisiert etwa ein Drittel der Unternehmen die Daten nach Gerichtsbarkeiten und verwaltet sie gemäß den lokalen Gesetzen.[3] In Ermangelung einer unternehmensweiten Strategie wurden Datenschutzprogramme ad hoc eingeführt.

    Infolgedessen haben die Unternehmen den Datenschutz für ihre Nutzer vernachlässigt, so dass die Kunden nicht in der Lage sind, die Funktionen zu finden oder zu nutzen, die es ihnen ermöglichen, auf ihre Daten zuzugreifen, sie zu korrigieren oder zu löschen, wie es nach Gesetzen wie GDPR und CCPA zulässig ist. "Vielen fehlt es an angemessener Transparenz, Zustimmungs- und Einstellungsmanagement sowie an der Automatisierung der Beantwortung von Subjektrechtsanfragen (SRR), was zu einer Fülle von Beschwerden führt", so Gartner.

    In einigen Fällen sind die Verbraucherbeschwerden nur die Spitze des Eisbergs. Gartner fuhr fort: "Mit der Ausweitung des Compliance-Risikos wird der Einsatz durch die Möglichkeit von Sammelklagen und Massenbeschwerden höher. Unternehmen sehen sich nicht nur potenziell der Kontrolle durch die Aufsichtsbehörden ausgesetzt, sondern müssen auch mehr als bisher den Datenschutzaktivismus der Verbraucher berücksichtigen. Bis 2026 werden Unternehmen, die mit personenbezogenen Daten falsch umgehen, dreimal mehr finanziellen Schaden durch Sammelklagen und Massenansprüche erleiden als durch Sanktionen."

    5 Schritte zur Ermöglichung einer ganzheitlichen Sichtweise der Datenschutzstrategie

    Laut der IAPP-Umfrage investieren die Unternehmen als Reaktion auf dieses erweiterte Risiko in Personal und Budget für den Datenschutz. Die durchschnittlichen Ausgaben für den Datenschutz stiegen von 2019 bis 2020 um 9 % und von 2020 bis 2021 um 29 %. Die meisten Unternehmen gehen davon aus, dass die Ausgaben für den Datenschutz auch im Jahr 2022 steigen werden, wobei der durchschnittliche Anstieg zwischen 20 % und 32 % liegt. Was das Personal anbelangt, so rechnen etwa 45 % der Unternehmen mit der Einstellung zusätzlicher Mitarbeiter, wobei die meisten jedoch nur eine oder zwei Stellen besetzen wollen.

    Da die Zahl der Datenschutzteams wächst und die Datenschutzbudgets steigen, ist jetzt ein optimaler Zeitpunkt für Unternehmen, eine ganzheitlichere Sicht auf die Datenschutzstrategie einzunehmen. Gartner prognostiziert: "Bis 2024 wird das durchschnittliche Jahresbudget großer Unternehmen für den Datenschutz 2,5 Millionen US-Dollar übersteigen, was eine Verlagerung von der Compliance-Ethik zur Wettbewerbsdifferenzierung ermöglicht."

    Es gibt fünf wichtige Schritte, die Unternehmen unternehmen können, um diesen Wandel zu ermöglichen, wie im Folgenden beschrieben:

    • Ändern Sie die Einstellung zum Datenschutz.
    • Entwicklung und Finanzierung einer mehrjährigen Strategie.
    • Vorrang für den Datenschutz durch Design.
    • Verbesserung der E-Mail-Sicherheit.
    • Effizientere Beantwortung von Anfragen der betroffenen Personen (DSR).

    Umdenken in Sachen Datenschutz

    Der erste Schritt besteht darin, die Wahrnehmung des Datenschutzes durch das Unternehmen über den engen programmatischen Fokus auf die Einhaltung von Vorschriften hinaus zu erweitern. Dies ermöglicht es dem Unternehmen, den Datenschutz aus der Sicht des Kunden zu betrachten.

    Um diesen Bewusstseinswandel herbeizuführen, müssen sowohl die Führungskräfte, die sich mit dem Datenschutz befassen, als auch die Arten von Unternehmensinitiativen, die als Teil des Datenschutzes betrachtet werden sollten, umfassender einbezogen werden. Gartner stellte fest: "CIOs, Chief Data Officers (CDOs) und Informationssicherheitsexperten sehen, dass ein Teil ihrer Ausgaben in direkt damit verbundene Funktionen fließt, wie z. B. Datenermittlung, Klassifizierung, End-of-Life-Automatisierung und Automatisierung von Zugriffskontrollen ... Diese organisationsweite Reifung sowohl des Datenschutzmanagements als auch der datenzentrischen Fähigkeiten ermöglicht es Unternehmen, über die reine Compliance-getriebene Arbeit hinaus zu kundenzentrierten Aktivitäten zu gelangen."

    Darüber hinaus müssen Unternehmen den Reifegrad von Technologien wie Datenabbildung und -analyse, Identitäts- und Zugriffsmanagement und Datenspeicherinfrastrukturen in Verbindung mit bewährten Verfahren zur Erkennung von Datenschutzverletzungen, zur Schadensbegrenzung und zur Reaktion darauf prüfen. Laut McKinsey ermöglicht dies einen proaktiveren Ansatz bei der Erfüllung der Anforderungen an den Datenschutz.

    Entwicklung und Finanzierung einer mehrjährigen Strategie

    Ein ständiger Schwerpunkt auf der Einhaltung von Vorschriften und der Verwaltung des Datenschutzes ohne eine unternehmensweite Datenschutzstrategie kann dazu führen, dass einmalige Programme zur Einhaltung von Vorschriften für eine bestimmte Region oder ein bestimmtes Rechtsgebiet eingeführt werden. Dieser Ansatz macht es schwierig, den Datenschutz ganzheitlich anzugehen, da verschiedene Unternehmensbereiche - und unterschiedliche Kundensegmente - uneinheitlichen Richtlinien und Benutzererfahrungen ausgesetzt sind. Da die Bemühungen zur Regulierung des Datenschutzes weltweit zunehmen, ist dieser Ansatz auch zunehmend unhaltbar.

    Gartner stellte fest: "Diejenigen, die über bloße regulatorische Anforderungen hinausgehen, sind in der Lage, aus dem gestiegenen Vertrauen der Kunden und des Ökosystems Kapital zu schlagen, um den Geschäftswert zu steigern." Um diesen Punkt zu erreichen, muss der Datenschutz als langfristige Initiative mit einem mehrjährigen Fahrplan betrachtet werden, der sich auf eine verstärkte Zusammenarbeit zwischen den Geschäftsbereichen konzentriert. Außerdem müssen die Budgets für den Datenschutz aufgestockt werden, und zwar sowohl für das Datenschutzbüro als auch für die IT-, Daten-, Sicherheits-, Marketing- und Kundenerfahrungsteams.

    Vorrang für den Datenschutz durch Design

    Artikel 25 der Datenschutz-Grundverordnung fordert "Datenschutz durch Technik und durch Voreinstellungen" und betont, wie wichtig die Berücksichtigung des Datenschutzes bei der Entwicklung von Produkten und Systemen ist. Die Internationale Normungsorganisation hat auch eine Reihe von Spezifikationen entwickelt, die auf die Verwaltung von Datenschutzinformationen im Lichte der globalen Verbraucherrechtsanforderungen abzielen.[4]

    Durch die Einbindung des Datenschutzes in den Design- und Entwicklungszyklus wird der Datenschutz nicht mehr nur als zusätzliches Element oder als Überlegung in letzter Minute betrachtet. Privacy by Design betont proaktive und präventive Maßnahmen, Transparenz und Nutzerzentrierung. Das Ziel ist ein standardmäßiger Datenschutz, bei dem der Endnutzer nichts tun muss, um seine Privatsphäre zu schützen.[5] Dies hilft den Unternehmen, den Datenschutz als Schlüsselelement für alle Kontaktpunkte mit dem Kunden zu etablieren und ihm mehr Kontrolle über die von ihm freigegebenen Daten und die Art und Weise, wie er mit dem Unternehmen kommuniziert, zu geben.

    E-Mail-Sicherheit verfeinern

    E-Mail spielt eine wichtige Rolle bei der Einhaltung der Datenschutzbestimmungen. [kl1] Dem E-Mail-Marketing wird viel Aufmerksamkeit gewidmet, da die DSGVO ausdrücklich die "Rechtsgrundlagen" für die Erhebung, Speicherung und Nutzung von Verbraucherdaten, für die Werbung für relevante Dienste für E-Mail-Abonnenten und für die Forderung nach Opt-Ins und die Ermöglichung von Opt-Outs festlegt.

    Es gibt jedoch viel mehr zu bedenken als nur die Verhinderung von Spam, zumal E-Mails eine riesige Fundgrube an persönlichen Informationen sind. Die DSGVO fordert auch Datenschutz "durch Design und Standard", und obwohl die E-Mail-Verschlüsselung nicht gesetzlich vorgeschrieben ist, ist sie die praktikabelste Option zum Schutz von E-Mail-Daten vor einem möglichen Verstoß. Ebenso fordert die DSGVO das "Recht auf Vergessenwerden", was Unternehmen, die gewohnt sind, E-Mails über viele Jahre hinweg zu archivieren, dazu zwingt, die Richtlinien zur Aufbewahrung und Löschung von E-Mails zu aktualisieren. Schließlich erfordert die Einhaltung der DSGVO angemessene Maßnahmen zum Schutz personenbezogener Daten, was strengere Sicherheitssysteme und Schulungen erforderlich machen kann, um Verstöße zu verhindern, die auf versehentliche oder absichtliche Aktivitäten von Mitarbeitern zurückzuführen sind.[6]

    DSR-Reaktion effizienter gestalten

    Die Datenschutzbestimmungen geben den Verbrauchern das Recht auf Datenanfragen, die es ihnen ermöglichen, auf die Daten zuzugreifen, sie zu korrigieren oder zu löschen, die Unternehmen über sie gespeichert haben. Dies ist ein kompliziertes Unterfangen für globale Unternehmen, da sie dazu neigen, Daten aus vielen Ländern zu sammeln; die große Mehrheit (87 %) nutzt auch Drittanbieter, um personenbezogene Daten zu verarbeiten, berichtet IAPP.

    Neben der Herausforderung, dass für verschiedene geografische Gebiete unterschiedliche Vorschriften gelten, berichteten IAPP-Mitglieder, dass es schwierig sein kann, die Daten einer Person innerhalb einer globalen Organisation zu finden. Tatsächlich ist dies für 47 % der globalen Unternehmen das dringendste Problem im Zusammenhang mit DSRs. Diese Faktoren wirken sich auch auf die Effizienz des DSR-Reaktionsprozesses aus. Nur 22 % der Unternehmen können eine Anfrage innerhalb von zwei Tagen bearbeiten, während 40 % mindestens eine Woche benötigen. Darüber hinaus behalten mehr als 50 % der Unternehmen manuelle Prozesse für die DSR-Beantwortung bei, während 35 % den Prozess zumindest teilweise automatisiert haben.

    McKinsey zufolge gibt es zwei Strategien, um die Komplikationen bei der Lokalisierung von Kundendaten und der Verarbeitung von DSRs zu lösen. Eine davon ist der Einsatz von Technologien wie Data Mapping, um zu kategorisieren, welche Arten von Daten ein Unternehmen von Kunden sammelt, und dies mit überarbeiteten Datenspeicherrichtlinien für jede Datenkategorie zu verbinden. Die andere besteht darin, die Einreichung und Beantwortung der häufigsten Arten von DSRs durch Selbstbedienungsportale zu automatisieren. Gartner stellte fest: "Sie wollen nicht nur Bußgelder vermeiden, sondern auch das Kundenvertrauen stärken und eine positive Markenstimmung aufrechterhalten. Unternehmen, die ein Selbstbedienungsmodell eingeführt haben, profitieren von einer konsistenteren Benutzererfahrung, die oft die Markentreue und das Engagement fördert."

    Die Quintessenz: Datenschutz als Unterscheidungsmerkmal im Wettbewerb

    Gartner stellte fest: "Bis 2023 werden staatliche Vorschriften, die Unternehmen dazu verpflichten, kostenlose und zugängliche Datenschutzrechte für Verbraucher bereitzustellen, 5 Milliarden Bürger und mehr als 70 % des weltweiten BIP betreffen." Ab dem 1. Januar 2023 werden auch die kalifornischen Gesetze verschärft: "Dark Patterns", die Verbraucher dazu bringen können, Entscheidungen zu treffen, die sie sonst nicht treffen würden, wie z. B. mühsame Abo-Kündigungen oder Opt-out-Prozesse, werden nach dem California Privacy Rights Act mit Geldstrafen belegt.[7]

    Die Einhaltung von Vorschriften zum Schutz der Verbraucherdaten ist für die heutigen globalen Unternehmen ein Muss. Dabei geht es jedoch nicht nur darum, Strafmaßnahmen zu vermeiden, sondern auch darum, die Erwartungen der Kunden hinsichtlich der Verwendung ihrer Daten durch die Unternehmen zu erfüllen. Es ist an der Zeit, dass Unternehmen eine solidere Datenschutzstrategie entwickeln, die mit dem Produktdesign beginnt und sich auf alle Bereiche des Unternehmens ausdehnt, in denen sich Datenschutz und Kundendaten überschneiden. Eine unternehmensweite Strategie, die den Schutz der Kundendaten in den Mittelpunkt des Nutzererlebnisses stellt und den Verbrauchern klare Entscheidungen über die Weitergabe von Daten ermöglicht, wird sich in den kommenden Jahren als Wettbewerbsvorteil erweisen.

    [1] "The consumer-data opportunity and the privacy imperative," McKinsey

    [2] "How Acceptable Is This? How User Experience Factors Can Broaden our Understanding of The Acceptance of Privacy Trade-offs," Computers in Human Behavior

    [3] "IAPP-EY Annual Privacy Governance Report 2021, International Association of Privacy Professionals und EY

    [4] "Privacy Engineering: Das Was, Warum und Wie," IAPP

    [5] "Privacy by Design: Die 7 Grundprinzipien," Information and Privacy Commissioner of Ontario

    [6] "Wie wirkt sich die Datenschutz-Grundverordnung auf E-Mail aus?" GDPR.EU

    [7] "Dark Patterns Come to Light in California Data Privacy Laws," National Law Review

    [kl1]Renatta: Ich habe versucht, auf diese Seite zu verlinken: https://www.mimecast.com/solutions/governance-risk-and-compliance-grc , aber es wird immer wieder auf die GDPR-Seite "umgeschaltet" (nicht immer, aber normalerweise), was für diesen Link nicht richtig ist. Gibt es eine Möglichkeit, dies zu beheben? Alternativ kann dieser Link verwendet werden: https://www.mimecast.com/products/cloud-archive/compliance/

     

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang