Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform
Hoody Supermarkt

James Sutherland und Patrick Müller-Sarmiento  © Hoody

Unternehmen tun sich schwer damit, eine gute Balance zwischen Datenschutz und Datennutzung zu finden. Laut einer Bitkom-Studie berichten sie vermehrt, Innovationsprojekte aufgrund der DSGVO nicht umsetzen zu können. Wie sie Vorgaben und Fortschritt in Einklang bringen.

 

Handynummer, E-Mail-Adresse und Kreditkartendaten. Mehr Informationen müssen Kunden nicht liefern, wenn sie im kassenlosen Biomarkt Hoody einkaufen wollen und sich dafür in einer App anmelden. Das Hamburger Start­up Autonomo, das im Sommer den ersten Hoody-Shop im Stadtteil Eppendorf eröffnet hat, fragt nicht nach Namen, Adressen und anderen persönlichen Daten.

Die Hanseaten prüfen die Zahlungsfähigkeit, indem sie zehn Cent von der Karte abbuchen und anschließend wieder gutschreiben. „Unsere Technologie geht mit der europäischen Datenschutz-Grundverordnung (DSGVO) konform und schützt Privatsphären“, versichern die Gründer James Sutherland und Patrick Müller-Sarmiento.

Sutherland, ein Experte für Künstliche Intelligenz, und Müller-Sarmiento, Ex-Geschäftsführer der Handelskette Real, wollen autonomes Einkaufen bundesweit populär machen. Dabei erfasst Kamera- und Computertechnologie von Autonomo die Einkäufe, ordnet sie den anwesenden Personen zu, bucht die Beträge ab und verschickt Quittungen. Die Daten müssen laut DSGVO nach sieben Tagen wieder gelöscht werden.

 

Keine Einheit in Europa

Das Startup zeigt, dass trotz der strengen DSGVO-Regeln Innovationen auch in datensensiblen Geschäftsfeldern möglich sind. Regelmäßig klagen deutsche Unternehmen, dass überzogener Datenschutz Neuerungen be- oder gar verhindere und sie im internationalen Wettbewerb ausbremse. Dabei sollte die DSGVO europaweit einheitliche Datenschutzregeln schaffen.

In Umfragen kritisieren mittelständische Unternehmen jedoch unterschiedliche Auslegungen in den einzelnen Mitgliedsländern. Der Digitalverband Bitkom ermittelte jetzt in einer repräsentativen Studie, dass 40 Prozent der befragten Unternehmen keinen Wettbewerbsvorteil durch die DSGVO erkennen können. 30 Prozent befürchten sogar Nachteile.

Beinahe allen Teilnehmern fällt wenigstens ein Projekt ein, das während der letzten zwölf Monate wegen der Datenschutzvorschriften gescheitert ist oder nicht in Angriff genommen wurde. „Vor allem der Aufbau neuer Datenpools und Prozessoptimierungen in der Kundenbetreuung werden auf Eis gelegt“, resümiert Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Aber auch von wichtigen Datenanalysen oder innovativen Cloud Services lassen viele Unternehmen die Finger.

 

Bedürfnisse der Kunden im Blick

„Der Kunde muss stets Bescheid wissen, welche Daten erfasst werden und welche nicht“, sagt Stefan Brink, Landesbeauftragter für Datenschutz von Baden-Württemberg. Nur dann könne er entscheiden, welche Vorteile er nutzen und welche persönlichen Informationen er hierfür teilen möchte. Mit diesem Grundsatz können Unternehmen auch Projekte vorantreiben, über die noch Rechtsunsicherheit herrscht. Für Letztere sorgen vor allem neue Gerichtsurteile und Behördenentscheidungen.

Viele Unternehmen fragen sich deshalb laut Bitkom, ob sie zusätzliche personenbezogene Daten erheben dürfen und vorhandene Kundeneinwilligungen weiterhin gelten. Viel hängt auch von den Daten selbst ab. So müssen Unternehmen, die mit vertraulichen Informationen beispielsweise über Gesundheit oder Steuern arbeiten, mit besonders kritischen Kunden rechnen. Bei Sicherheitsvorfällen steht für alle Seiten viel auf dem Spiel.

Als der IT-Dienstleister Agenda Software, der Lösungen für Buchhaltungen, Steuerkanzleien und Personalabteilungen entwickelt, auf Cloudlösungen umstellte, formulierte er deshalb hohe Anforderungen an den künftigen Netzwerkpartner. „Wir wollten ausschließlich mit zertifizierten Unternehmen aus Deutschland, die selbst Hochsicherheitsstandards erfüllen, zusammenarbeiten“, sagt Tobias Täuber, Leiter der Abteilung Kunden-IT.

Agenda entschied sich für den Rechenzentrenbetreiber Noris Network, der als erstes privates Unternehmen vom TÜV nach dem Sicherheitsstandard TSI Level 4 zertifiziert worden ist. „Mit Noris passen wir unsere IT-Infrastruktur stets den Bedürfnissen unserer Kunden an“, versichert Täuber. Weil deshalb Agenda-Produkte ausschließlich mit verschlüsselten Internetverbindungen arbeiten, erfüllen auch neue Lösungen alle DSGVO-Anforderungen.

 

Datenschutz früh mitdenken

„Bei der Entwicklung von neuen Produkten und Dienstleistungen muss Datenschutz früh mitgedacht werden“, empfiehlt Bitkom-Managerin Dehmel. Außerdem sollte in zertifizierten Prozessen ausschließlich mit Daten, die wirklich notwendig sind, gearbeitet werden. Der Plattformanbieter Nxtport zeigt, wie es geht.

Er hat sich auf Portale für Unternehmen spezialisiert, die die In­frastruktur von Seehäfen für ihre Lieferketten nutzen und hierbei auf Daten von Drittunternehmen angewiesen sind. Jeder Teilnehmer muss einen einmaligen Zertifizierungsprozess absolvieren und sich vor jedem Zugriff gegenüber Nxtport identifizieren.

„Wir können jederzeit ermitteln, wer auf welche Daten über welche Schnittstellen zugreift“, sagt Geert de Wilde, Geschäftsführer von Nxtport. Alles sei DSGVO-konform, die Integration von personenbezogenen Daten problemlos möglich. Nach dem Start in Antwerpen, wird Nxtport inzwischen auch in außereuropäischen Häfen eingesetzt.

Auch die Autonomo-Gründer planen bereits Märkte im Ausland. Die Hürden sind allerdings hoch. Zehn Wochen nach Eröffnung des ersten Hoody-Markts in Hamburg haben erst 100 User die App heruntergeladen. Viele Nutzer geben sensible Daten weiterhin ungern preis. Auch gegenüber Verbrauchern ist also noch viel Überzeugungsarbeit zu leisten.

Vier Tipps für den Umgang mit der DSGVO

1. Bei der Entwicklung von neuen Produkten und Dienstleistungen den Datenschutz immer mit einbeziehen.

2. Ermitteln, welche Daten tatsächlich benötigt werden, und sich auf deren Erhebungen beschränken.

3. Zur Realisierung möglichst mit den neuesten Technologien und zertifizierten Partnern arbeiten.

4. Maßnahmen, die den Datenschutz und die Privatsphären von Kunden oder Mitarbeitern betreffen, klar kommunizieren.