Daten werden ein immer wichtigerer Rohstoff für Unternehmen, und der Umgang mit ihnen birgt neben Chancen auch gravierende Risiken. Wie sieht also eine nachhaltig praktikable Strategie zum sicheren Umgang mit großen Datenmengen aus?

Wenn es um „Big Data“ geht, sind die wirtschaftlichen Chancen riesig – und die negativen Folgen von Pannen verheerend. So könnte laut einer Studie des vom Bundeswirtschaftsministerium geförderten Forschungszentrums Informatik der weltweite Umsatz mit Big-Data-Lösungen bis 2025 auf mehr als 85 Milliarden Euro steigen. Und die Risiken? Beachtlich.

Kaum ein Tag vergeht, ohne dass Sicherheitslücken bei Unternehmen und Behörden aufgespürt oder Datensätze tatsächlich gestohlen werden. Der Missbrauch von Nutzer- oder Kundendaten kann einiges Unheil anrichten. Denn es geraten nicht nur Nutzerdaten in Hände, in die sie nicht gehören und verursachen damit konkrete rechtliche und individuelle Folgeschäden – ein Unternehmen, das eine Datenlücke zu verantworten hat, verliert auch erheblich an Vertrauen: wer schließt noch einen Mobilfunkvertrag ab, wenn er befürchten muss, dass seine privaten Informationen demnächst öffentlich einsehbar sind?

Beim Umgang mit Daten ist ein Vorgehen empfehlenswert, das die Chancen nutzt, die in ihnen stecken, und gleichzeitig die Risiken im Auge behält. Die entscheidende Frage: Wie erhebt, nutzt und sichert man Daten – und achtet dabei nicht nur Recht und Gesetz, sondern schafft auch noch ein Höchstmaß an individuellem Vertrauen?

First things first: Den rechtlichen Rahmen, in dem sich Unternehmen hinsichtlich Big Data bewegen, setzt seit dem 25. Mai 2018 in allen EU-Mitgliedsstaaten die „Datenschutz-Grundverordnung “ . Mit nur 88 Seiten ist sie für ein gesamteuropäisches Regelwerk geradezu zierlich – aber sie trägt stark zur Vereinheitlichung des geschäftlichen Umgangs mit Daten innerhalb der EU bei. Und das nicht nur für europäische Unternehmen – auch Unternehmen mit Sitz außerhalb der EU, ob Facebook oder Alibaba, müssen sich bei Angeboten, die sich an EU-Bürger:innen wenden, an die Grundverordnung halten.

Gleichzeitig aber sollten Unternehmen im Hinterkopf behalten, dass Gesetze und Verordnungen in einer sich rapide wandelnden Wirtschaftswelt eben nur den minimalen Rahmen dessen liefern, was Kundinnen und Kunden tatsächlich erwarten. Vor allem aufgrund des rasanten technischen Fortschritts ist es deshalb nicht sinnvoll, nur bestimmte Instrumente oder Verfahren vorzuschreiben oder zu verbieten. Zu groß ist die Gefahr, damit Gesetzeslücken zu schaffen oder in den Ruf zu geraten, lediglich das zu tun, „was man muss“. In vielen Fällen sollten Standards für den richtigen Umgang mit Daten also nicht vom Staat, sondern von den Unternehmen selbst geschaffen werden. Gerade im Hinblick auf den Vertrauensaspekt empfiehlt sich somit ein zwar progressiver, aber gleichzeitig „sensibler“ Umgang mit der Thematik.

Wie man es in dieser Hinsicht auch ohne tatsächlichen „Datenklau“ falsch macht, zeigt ein einfaches Beispiel: Ein renommierter Kopfhörer-Hersteller hat sich etwa mal einen gewaltigen Shitstorm eingehandelt, weil er Nutzerprofile seiner Kund:innen erstellt hat – wer hört wann welche Musik? – und sich gleichzeitig unklar darüber äußerte, ob er diese Profile an andere Unternehmen weiterverkaufte.

Problematisch dabei war nicht so sehr, dass überhaupt Daten weitergegeben wurden: Jeder, der sich via Spotify oder andere Streaming-Dienste Musik anhört, weiß ja eigentlich, dass irgendjemand etwas mit diesen Nutzungsdaten anfangen wird. Problematisch war eher, dass man diese „Datensammelwut“ vom Kopfhörer-Produzent:innen selbst nicht erwartet hatte – wo wir wieder bei der Vertrauensfrage angelangt wären.

An ein Start-up, das zum Beispiel die Sportaktivitäten seiner Nutzer:innen dokumentiert und daher „vom Start weg“ auf das Erheben von Ortungs- oder Körperfunktionsdaten angewiesen ist, haben die Nutzer:innen andere Erwartungen als an ein Traditionsunternehmen, das sein Geschäft erst digitalisiert und einen Ruf zu verlieren hat. Deshalb empfiehlt sich für Unternehmen, die sich an die Datennutzung heranmachen, daher eine schrittweise und transparente Vorgehensweise – mit Experiment:innen, um Schritt für Schritt mit den Kund:innen zusammen herauszufinden, was sinnvoll und akzeptiert ist.

• Kennt man Sie? So sind zum Beispiel Firmen, die in den Medien präsent sind, ein attraktiveres Ziel als No-Names.
• Sind Ihre Daten wertvoll? Die Kundenliste eines Zulieferers für die Rüstungsindustrie dürfte spannender sein als die Buchführungsdaten eines Bäckers einer Bäckerin.
• Ist es technisch anspruchsvoll, in Ihr System einzubrechen? Dabei geht es vor allem um das Renommee, das man innerhalb der Hacker-Community durch einen Angriff erzielen kann.