Kommentar von Dr. Stefan Grotehans, MarkLogic

Facebook & Co. – wie lassen sich Datenskandale besser vermeiden?

| Autor / Redakteur: Dr. Stefan Grotehans / Nico Litzel

Der Autor: Dr. Stefan Grotehans ist Director Engineering DACH bei MarkLogic
Der Autor: Dr. Stefan Grotehans ist Director Engineering DACH bei MarkLogic (Bild: MarkLogic)

Jeder weiß, wie gefährlich der Verlust von Kundendaten für ein Unternehmen ist. Weshalb aber kommt das dennoch immer wieder vor? Und welche Lehren können Unternehmen aus dem Skandal rund um Facebook und Cambridge Analytica ziehen?

Auch der deutsche Gesundheitssektor ist zunehmend betroffen: 2017 hat der Datenklau im Gesundheitswesen stark zugenommen. Mit gestohlenen Patientendaten und Forschungsergebnissen aus Kliniken und Praxen lässt sich offensichtlich viel Geld verdienen. Des weiteren wurde erst vor wenigen Tagen bekannt, dass beim US-Sportausrüster Under Armour über eine Fitness-App rund 150 Millionen Nutzerdaten erbeutet wurden und auch beim Leihrad-Anbieter Obike gab es erst jüngst ein Datenleck.

Facebook versucht, den jüngsten Datenklau herunterspielen, weil es sich dabei nicht um eine echte Verletzung der Datensicherheit handelte. Für die 50 Millionen Facebook-Nutzer, deren Daten dabei abgeschöpft wurden, ist das jedoch kein Trost. Es ist jetzt höchste Zeit, einen Schritt zurückzutreten und genau zu überdenken, wie Organisationen mit den ihnen anvertrauten Daten zukünftig umgehen sollten. Folgende fünf Lehren sollte jedes Unternehmen aus dem Debakel um Facebook und Cambridge Analytica für sich ziehen:

1. Datenhoheit ist mehr als nur Sicherheit

Ständig berichtet die Presse von Sicherheitsverletzungen und in der Tat nehmen die Bedrohungen zu. Die Durchschnittskosten bei Datendiebstählen über alle Branchen in den Vereinigten Staaten hinweg übersteigen mittlerweile sieben Millionen US-Dollar und Schätzungen zufolge werden etwa ein Drittel der Unternehmen weltweit in den nächsten 24 Monaten mindestens einen bedeutenden Datendiebstahl mit über 10.000 Datensätzen erleiden.

Laut der New York Times steht der Chief Security Officer von Facebook auf dem Standpunkt, dass der letzte Vorfall keinen Verstoß gegen den Datenschutz darstellt: „Die jüngsten Cambridge-Analytica-Artikel der NY Times und des Guardian sind natürlich wichtig, aber es wäre falsch, diese Vorgänge als eine ‚Datenschutzverletzung‘ nach den üblichen und vernünftigen Definitionen des Begriffs zu bezeichnen.“ Aber selbst, wenn es sich hierbei nicht um einen echten Sicherheitsverstoß handelte, so stellen die Vorgänge doch eine Verletzung der Richtlinien und einen Vertrauensbruch dar. Aus der Sicht der Facebook-Nutzer kann es sogar schlimmer sein als ein Sicherheitsverstoß, weil Cambridge Analytica zur Erlangung dieser Daten sich noch nicht einmal die Mühe machen musste, Facebook zu hacken.

Unternehmen, denen Kunden ihre Daten anvertrauen, sind verpflichtet, damit sorgsam umzugehen und das bedeutet mehr als nur Datensicherheit. Tatsächlich heißt das, durchdachte und umfassende Richtlinien zum Umgang mit Daten sowie Kontrollen zur Durchsetzung und Überprüfung dieser Richtlinien aufzustellen und zu beachten.

2. Zweckdienlichkeit ist mehr als nur Datenqualität

Datenqualität ist für die Datenhoheit enorm wichtig. In der Informatik gibt es ein bekanntes Phänomen namens GIGO: Garbage in, garbage out – oder: Müll rein, Müll raus. Gemeint ist, dass schlechte Daten auch schlechte Ergebnisse produzieren. Schlechte Datenqualität verursacht Chaos. Schlechte Datenqualität kostete allein den Staat Kalifornien sechs Millionen US-Dollar zusätzlich an Urlaubs- und Krankengeld. In Einzelfällen kann schlechte Datenqualität sogar Menschenleben kosten. Bei Datenqualität geht es jedoch nicht um schwarz oder weiß. Daten, die sich für einen bestimmten Zweck eignen, können für einen anderen Zweck völlig ungeeignet sein. Heute ist die Branche so weit, dass die Qualität von Daten in Bezug auf ihre Verwendung und nicht nur in Bezug auf ihre absolute Richtigkeit betrachtet werden kann.

Doch gilt es sogar, einen Schritt weiterzugehen. Die von Cambridge Analytica verwendeten Facebook-Daten mögen für den gewünschten Zweck von ausreichender Qualität gewesen sein – aber war es legal, sie zu nutzen? Und war es ethisch vertretbar? Organisationen müssen eher die Eignung für einen bestimmten Zweck umfassender definieren, als sich die Frage zu stellen, ob „es möglich ist, diese Daten für diesen Zweck zu verwenden“. Zur Frage nach der Eignung für einen bestimmten Zweck muss auch gehören: „Ist es legal, ethisch und angemessen, diese Daten für den jeweiligen Zweck zu verwenden?" Wenn ein Unternehmen vertrauliche Daten verwaltet, dann ist es verpflichtet, über diese Fragen nachzudenken. Jene Organisationen, die ihre Daten bereits auf einem hohen Standard sichern und in diesem Punkt weit entwickelt sind, nehmen diese Entscheidung aus dem Geschäftsbetrieb heraus und verlagern sie in eine Ethik- oder Datenhoheits-Organisation, um mögliche Konflikte zu vermeiden. Letztlich bedeutet das: Nur weil etwas möglich ist, sollte es dennoch nicht unbedingt umgesetzt werden.

3. Sind Daten erst einmal weg, können sie nicht mehr zurückgeholt werden

Daten sind das einzige Gut, das man jemandem stehlen kann, auch wenn es zugleich im eigenen Besitz bleibt. Im Gegensatz zu etwas Physischem kann man sich nie sicher sein, dass man sie tatsächlich zurückerhalten hat, selbst wenn der Dieb gefasst wurde. Das gilt unabhängig davon, ob die Daten gestohlen oder weitergegeben werden. Wie auch bei anderen Gütern hängt der Wert von Daten davon ab, was man daraus macht. Daten werden mit anderen Daten kombiniert, um neue Daten zu erzeugen, die dann weitergegeben werden können. In diesem Fall wurden die rohen Profildaten von Facebook verwendet, um psychografische Profile zu erstellen. Selbst wenn die Rohdaten wiederhergestellt oder gelöscht werden, bleiben diese Profile erhalten. Wem gehören diese dann? Darüber hinaus wurden diese Profile zwischenzeitlich verwendet, um Entscheidungen zu treffen, maßgeschneiderte Inhalte zu generieren und bestimmte Maßnahmen zu ergreifen. Kann das rückgängig gemacht werden? Daten bewegen sich schnell. Ist der Geist einmal aus der Flasche, lässt er sich nur schwer wieder einfangen. Genauso, wie Organisationen die Quellen ihrer Daten berücksichtigen müssen, um zu entscheiden, ob sie für den Zweck geeignet sind, müssen sie auch sehr sorgfältig über die Verwendung ihrer Daten nachdenken – insbesondere, wenn das Produkt dieser Daten mit anderen geteilt wird. Das Teilen lässt sich bei manchen Dingen nicht mehr zurücknehmen.

4. Unternehmen tragen die Verantwortung für Kundendaten, auch wenn der Verstoß von anderer Seite ausgeht

Ob Daten einer anderen Person missbraucht oder ob Daten weitergegeben werden, die dann missbraucht werden – in beiden Fällen werden Organisationen dafür zur Verantwortung gezogen. Das mag unverhältnismäßig klingen, aber es ist die Realität. Den Nutzern von Facebook ist es egal, ob jemand gegen die Nutzungsbedingungen von Facebook verstößt. Es ist ihnen aber nicht egal, wenn ihre Daten unangemessen abgeschöpft wurden – beschuldigt wird jene Organisation, die diese Daten gesammelt, gepflegt und verwaltet hat.

Wer mit Kundendaten umgeht, ist in den Augen des Kunden dafür verantwortlich, ganz gleich ob diese Daten selbst erhoben oder von jemand anderem erworben wurden. Deshalb lohnt es sich, die eigene Datenstrategie gründlich zu planen und die Partner mit Bedacht zu wählen.

5. Datenhoheit ist wichtig

Das Beispiel von Facebook und andere zeigen: Es gibt viele ausgefallene Definitionen von Datenhoheit, aber letztlich bedeutet das einfach, Richtlinien auf Daten anzuwenden. Es geht darum, klare Richtlinien darüber zu haben, wie man Daten gewinnt, verwaltet und verwendet. Es geht darum, diese Richtlinien zu kommunizieren. Es geht darum, diese Richtlinien durchzusetzen und zu kontrollieren.

Datenhoheit ist wichtig. Außerordentlich wichtig sogar. Viele Organisationen betrachten Datenhoheit („data governance“) jedoch als eine Last. Aber das ist der falsche Ansatz. Sie ist vielmehr eine Art Versicherungspolice und damit eine vernünftige Geschäftspraktik: Es wird jetzt ein kleiner Preis dafür fällig, um eine spätere Katastrophe zu vermeiden.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45232058 / Recht & Sicherheit)