Kalifornischer Datenschutz betrifft auch Unternehmen in Deutschland
Fachthemen

Kalifornischer Datenschutz betrifft auch Unternehmen in Deutschland

Dr. Simone Braun
Head of Business Development
Uniserv GmbH

Nach dem Vorbild der EU-DSGVO tritt ab Januar 2020 der California Customer Privacy Act (CCPA) in Kraft. Unternehmen müssen dann per Gesetz offenlegen, welche Kunden- und Nutzerdaten sie über Bürger in Kalifornien speichern. Besondere Brisanz hat der CCPA, da er für ein Jahr rückwirkend gilt, somit also bereits seit Jahresbeginn 2019. Für Unternehmen ergeben sich in der Konsequenz einige juristische und technische Fragestellungen. Mitunter müssen sie künftig auch angeben, ob sie Kundendaten an Dritte weiterverkaufen und falls ja, an wen. Kalifornische Bürger können der Erhebung und der Datenweitergabe dann per Opt-Out widersprechen. Sind die Verbraucher unter 16 Jahre alt, müssen sie sogar per Opt-In zustimmen. 

Nicht nur Stammdaten, auch Bewegungsdaten fallen unter Datenschutz

Wie auch die DSGVO bezieht sich der CCPA auf personenbezogene Daten, darunter fallen neben Stammdaten auch Cookie-Informationen, die Suchhistorie und alle Folgedaten, die auf Basis von personenbezogenen Daten entstehen. Somit inkludiert die kalifornische Datenschutzverordnung auch explizit Bewegungsdaten (Transaktions- und Interaktionsdaten). Bewegungsdaten umfassen beispielsweise das Kaufverhalten, Kaufhistorie, Vorlieben und die Spuren, die der Kunde im Internet und den sozialen Medien hinterlässt – im Einzelnen:

  • Kunden-Verhaltensdaten (Bestellungen, Transaktionen, Zahlungshistorie, Verweildauer etc.),
  • den Kunden beschreibende Daten (Attribute, Selbstangaben, Demographie etc.),
  • Kundencharakteristiken (Meinungen, Vorlieben, Bedürfnisse, Wünsche etc.),
  • Kunden-Interaktionsdaten (Angebote, Ergebnisse, Kontext, Click Streams, Notizen etc.).

Vielfältige Systemlandschaft erschwert Datenschutz für Unternehmen

Aus diesem Grund müssen Unternehmen genau eruieren, wann und an welchem Ort, sie Kundendaten und eben auch Bewegungsdaten erheben. Dies erstreckt sich nicht nur auf die Datensammlung und Speicherung über eigene Systeme, sondern auch über andere Quellen wie zum Beispiel soziale Netzwerke. Aber schon die Vielfalt der eigenen Systemlandschaft inklusive Insellösungen und Legacy-Systeme stellt viele Unternehmen vor Herausforderungen. So können sie oft nur schwer nachvollziehen, welche Kundendaten in welchen Systemen und welchen Abteilungen gespeichert sind. Das können etwa Customer-Relationship- und Enterprise-Ressource-Planning-Lösungen, Helpdesk-Ticketsysteme oder Marketing-Automation-Software und viele mehr sein. 

Unternehmen verfügen kaum über automatisierte Prozesse, um Daten löschen zu können

So müssen etwa zwei Drittel der Unternehmen mehr als sechs Systeme durchsuchen, in denen datenschutzrelevante kundebezogene Daten verarbeitet werden. 44 Prozent müssen sogar bis zu zehn verschiedene Systeme prüfen. Dies ergab eine Umfrage, die Uniserv im letzten Jahr zur EU-DSGVO-Readiness in Unternehmen durchgeführt hat. Und bezüglich des CCPA dürfte sich kaum ein anderes Bild zeichnen. Gleichzeitig erfolgen die Suche und Recherche bei mehr als jedem zweiten befragten Unternehmen (57 Prozent) manuell und in jedem einzelnen System. Lediglich zwei Prozent verfügen hierfür über einen automatisierten Prozess. 

Dies stellt Unternehmen vor große zeitliche und damit auch personelle Herausforderungen, rechnen sie die benötigte Suchdauer auf die Anzahl der IT-Systeme hoch. Eine Auskunft oder das Löschen „auf Knopfdruck“ ist in den meisten Unternehmen also gar nicht möglich. Erhält ein Unternehmen beispielsweise pro Monat 500 Anfragen auf Löschung oder Datenauskunft – und muss dazu durchschnittlich zehn Datenbanken oder Systeme durchsuchen, was pro System rund sechs Minuten in Anspruch nimmt, sprechen wir hier von einem Zeitaufwand von rund 500 Arbeitsstunden pro Monat.

Verlässliche Datenbasis schafft die nötige Sicherheit

Wie können Unternehmen also sicherstellen, dass Sie bei einer Nutzeranfrage wirklich über alle im Unternehmen vorliegenden Daten Auskunft geben können? Dafür benötigen Unternehmen einen zentralen Sammel- oder Auskunftsplatz. Nur so können sie auf einen Blick sehen, ob zu der jeweiligen Person überhaupt Daten im Unternehmen gespeichert sind – und falls ja, in welchem System und aus welchem Grund. Im Zusammenhang mit dem CCPA ist zudem wichtig, dass die korrekte Altersangabe unternehmensweit einheitlich vorliegt. Nur so kann geprüft werden, ob eine Opt-In-Zustimmung erforderlich ist.

Es gilt also, wirklich alle über einen Kunden verfügbaren Informationen – also Stammdaten und Bewegungsdaten (Transaktions- und Interaktionsdaten) – zusammenzuführen. Dazu benötigen Unternehmen den sogenannten „Ground Truth“, eine Lösungs- und Prozessmethodik, die ein verlässliches Gesamtbild aller Daten und damit der Wirklichkeit gibt. Der Ground Truth kombiniert alle kundenbezogenen Stamm- und Bewegungsdaten und führt diese aus allen verfügbaren Systemen zusammen. So sehen Mitarbeiter auch, ob dem Kundenwunsch nach einem CCPA-konformen Opt-Out entsprochen oder eine Löschung oder Berichtigung der Daten in allen betroffenen Systemen durchgeführt wurde.