Die neue Datenschutzverordnung erfordert „Privacy by Design“ im Rahmen einer klaren Digitalisierungsstrategie.
PRIVACY BY DESIGN

Datenschutzverordnung: Digitalstrategie statt Aktionismus.

Im Mai 2018 tritt die Datenschutz-Grundverordnung in Kraft.Telekom-Vorstand Dr. Thomas Kremer über „Privacy by Design“ für den zukünftigen Umgang mit personenbezogenen Daten im Einklang mit der eigenen Digitalisierungsstrategie von Unternehmen.
Autor: Sven Hansel
Fotos: Oliver Krato, plainpicture/Hanka Steidle, Deutsche Telekom

Herr Kremer, wohl kein Thema wird hinsichtlich Unternehmens-IT zurzeit derart intensiv getrieben wie die Datenschutz-Grundverordnung (DSGVO). Berechtigt?

Dr. Thomas Kremer
Dr. Thomas Kremer, Vorstand Datenschutz, Recht & Compliance Deutsche Telekom AG
Vorstand Datenschutz, Recht & Compliance Deutsche Telekom AG
Ja und nein. Nein, wenn es nur darum geht, datenschutzrechtlichem Aktionismus das Wort zu reden. Wenn ein Unternehmen erst jetzt die Dringlichkeit erkannt hat, eine Rechtsverordnung umzusetzen, die im Mai kommenden Jahres in Kraft tritt, dann ist das sicher nicht zielführend. Deutliches Ja aber, wenn es darum geht, die DSGVO mit der Digitalisierungsstrategie in Einklang zu bringen. Das ist aus meiner Sicht der deutlich bessere Angang.

Inwiefern?

Dazu reicht ein kurzer Blick auf die Technologie: Mittelpunkt der Digitalisierung ist und bleibt die Cloud, quasi als Middleware der Transformation. Ohne dieses Fundament lassen sich industrielle Szenarien im IoT beispielsweise nicht einmal im Ansatz verwirklichen. Sämtliche Transaktionen laufen darüber und mit ihnen natürlich auch große Mengen an personenbezogenen Daten, die den Dreh- und Angelpunkt der DSGVO bilden. Deshalb muss dieses Fundament naturgemäß technologisch maximale Stabilität aufweisen, aber eben auch hinsichtlich Datenschutz und Datensicherheit State of the Art sein. Und das sollte in der Diskussion zur DSGVO deutlicher herausgehoben werden. 

Was empfehlen Sie deshalb?

Ganz klar: Diejenigen IT-Strukturen, die jetzt von den Unternehmen für die Digitalisierung eingezogen werden, geben die Schlagrichtung für die kommenden Jahre vor. Deswegen plädiere ich für „Privacy by Design“. Nachjustieren ist hier sicher der falsche Weg.

Was meinen Sie damit?

Früher wurde IT geliefert, entsprechende Datenschutzkonzepte wurden anschließend nachprogrammiert. Heute erwarten mündige Unternehmen aber Rechtskonformität von Anbeginn. Verbindliche Sicherheitsstandards und Datenschutzmechanismen sollten bestenfalls von der ersten Sekunde eines neuen Projekts an implementiert sein. Ebenso sollte eine detaillierte Dokumentation vorhanden sein, wie der Datenschutz konkret erfüllt wurde. Hier kann ich mit Fug und Recht behaupten, dass das bei unseren Angeboten gewissermaßen Teil ihrer DNA ist, nachgewiesen durch Zertifizierungen, Standards und anerkannte Normen. Hier sind die Unternehmen verbürgt auf der sicheren Seite.

Andernfalls …

… hätten sie großen Aufwand zu betreiben, was den Nachweis beispielsweise der Datenschutzkonformität ihrer IT angeht. Das darf man keinesfalls unterschätzen. Noch mal: Konnektivität, Datenbanken, Sensoren und Geräte im IoT etwa, die darauf laufenden Services und schließlich die nachgelagerten Applikationen bis hin zu Anwendern und Kunden – das alles basiert in der Digitalisierung auf der Cloud. Von daher wäre alles andere als „Privacy by Design“ der falsche Weg.

Weitere Informationen