Datenschutz: Gut für die Kunden, gut fürs Geschäft

Vom Startup bis zum Weltkonzern haben Unternehmen inzwischen erkannt: Die Privatsphäre der Kunden aktiv zu schützen, kann ein Wettbewerbsvorteil sein. Selbst im Silicon Valley ist das angekommen, wo normalerweise andere Werte im Vordergrund stehen. Dieser Artikel gibt einen Einblick in das Thema und zeigt praktische Beispiele für Produkte mit dem gewissen Extra an Privatsphäre. Außerdem gibt er Tipps weiter, wie man den Datenschutz zum integralen Bestandteil des eigenen Unternehmens macht.

(Foto: © Sergey Nivens, Fotolia.com)

(Foto: © Sergey Nivens, Fotolia.com)

„An diesen Orten in Berlin war Jan in den letzten Tagen“ hieß es eines Tages plötzlich auf meinem privaten Facebook-Profil. Und ich stutzte: Das Social Network hatte die GPS- und Datums-Informationen aus einigen meiner Handyfotos extrahiert und in ein Bewegungsprofil inklusive Landkarte verwandelt. Um Erlaubnis gefragt hatte man mich dafür nicht. Die Karte war einfach da. Und ich war sauer.

Natürlich hatte ich in gewisser Weise selbst Schuld: Ich hatte die Fotos schließlich höchstpersönlich von meinem Handy zu Facebook hochgeladen. Im Prinzip war mir außerdem bewusst, dass sich die entsprechenden Informationen in den Metadaten der Dateien finden. Allerdings gab es das Feature der Landkarte nicht, als ich die Bilder hochgeladen hatte. Das wurde von Facebook erst nachträglich eingeführt – ohne Ankündigung. Insofern fühlte ich mich überrumpelt.

Ähnliches hat sich Facebook in der Vergangenheit immer wieder geleistet. Die Aufregung unter den Nutzern ist dann spontan groß, zwei Wochen später ist das Thema allerdings weitgehend vergessen und die neue Normalität. Dabei verraten die Nutzer aber nicht nur Facebook und seinen Werbekunden erstaunlich viel über sich, sondern auch etlichen anderen interessierten Personen und Institutionen. Jetzt könnte man argumentieren, dass es in meiner eigenen Hand liegt, mich entsprechend zu verhalten. Man könnte aber ebenso argumentieren, dass ein ethisch operierendes Unternehmen die eigenen Nutzer schützen würde anstatt ihre Unachtsamkeit oder Gedankenlosigkeit für den eigenen Profit auszunutzen.

Manche werden das als eine naive Weltsicht ansehen. Aber es regt sich Widerstand. So manches Unternehmen entdeckt, dass es sich gegenüber der Konkurrenz positionieren kann, in dem es sehr bewusst die Privatsphäre der Nutzer achtet oder sogar aktiv schützt. Und manches Geschäftsmodell ist ohne Vertrauensbasis bei den Nutzern von vornherein zum Scheitern verurteilt.

Wollen die Kunden das überhaupt?

Stellt sich natürlich die Frage, ob sich die Mühe tatsächlich lohnt. Sind verschlüsselte und sichere Dienste und Produkte etwas für die Nische oder für den Massenmarkt?

Bereits 2014 stellte beispielsweise Trust-e in einer Studie fest, dass 74 Prozent der untersuchten Internetnutzer stärker um ihre Privatsphäre besorgt sind als noch vor einem Jahr. Nur 8 Prozent machen sich „nie“ Sorgen. Dass Unternehmen die Kundendaten weitergeben könnten, ist dabei eine größere Besorgnis als staatliche Überwachung. 88 Prozent geben an, sie würden mit keinem Unternehmen Geschäfte machen, das ihre Privatsphäre online nicht beachtet.

Wie glaubwürdig die einzelnen Zahlen in dieser Untersuchung sind, sei einmal dahingestellt. Aber sie zeigen doch recht deutlich, dass die Snowden-Enthüllungen, zahlreiche Datenlecks und die generelle Diskussion um die digitale Privatsphäre ihre Spuren im Bewusstsein der Allgemeinheit hinterlassen haben.

Aber wie integrieren Firmen nun den Datenschutz in ihre Produkte und Angebote? Schauen wir uns einmal einige aktuelle Beispiele an.

Alle Artikel bequem via E-Mail lesen!

Alle Artikel bequem via E-Mail lesen!

Jede Woche veröffentlichen wir ein bis zwei ausführliche Beiträge, geschrieben von namhaften Expertinnen und Experten. Sie erklären, geben Tipps und ordnen ein. Wenn Sie diese und weitere Artikel nicht verpassen wollen, schicken wir Sie ihnen gern per E-Mail zu – ganz bequem und in voller Länge! Derzeit lautet der Schwerpunkt „Corporate Blogs in der Praxis“.

Mehr über die Ausgabe erfahrenJetzt E-Mail eintragen

Beispiel Apple

Vor allem im Konkurrenzkampf mit Googles Android hat sich Apple als die datenschützende Alternative positioniert. Googles einzige nennenswerte Einnahmequelle ist schließlich weiterhin Onlinewerbung. Und die lebt natürlich davon, Werbebotschaften zielgerichtet zu verteilen. Dafür muss man möglichst viel über die Internetnutzer wissen, denen man die Anzeigen einblendet.

Zugleich finden Googles Ingenieure immer wieder interessante Anwendungen für die vielen Daten, die ein Smartphone praktisch nebenher über den Nutzer sammelt. Dazu zählt beispielsweise der automatische Assistent „Google Now“. Dessen Spezialität ist es, intelligente Empfehlungen zu geben, die mit dem aktuellen Standort, einem Kalendereintrag, einer E-Mail oder anderen Informationen zu tun haben. Wenn das gut funktioniert, kann das so beeindruckend wie unheimlich sein. Aber richtig gut funktioniert es eben vor allem bei einem möglichst großzügigen Umgang mit den Daten der Kunden.

Apple hingegen verdient sein Geld mit der Hardware. Zugleich ist Apple im Vergleich zu Google weiterhin schwach aufgestellt, wenn es um Cloud-Dienste geht.  Dadurch ist Apple in der Lage, die Privatsphäre seiner Kunden zu schützen und das wiederum als Vorteil zu verkaufen. Das Unternehmen hat dabei den Marketing-Worten auch Taten folgen lassen. Das hilft Apple, wenn sie neue Dienste wie beispielsweise ihr Bezahlsystem Apple Pay auf den Markt bringen. Nicht zuletzt hat sich das Unternehmen offenbar den Gesundheitssektor als neues Betätigungsfeld ausgeguckt. Beides sind Bereiche, in denen besonders sensible Daten erfasst und gespeichert werden.

Apple strebt in den Finanz- und in den Gesundheitssektor. Kein Wunder, dass sie den Datenschutz so betonen. (Foto: Apple)

Apple strebt in den Finanz- und in den Gesundheitssektor. Kein Wunder, dass sie den Datenschutz so betonen. (Foto: Apple)

Zu einem öffentlichen Showdown kam es 2016 im Streit mit dem amerikanischen FBI. Das hatte das iPhone 5c eines toten Attentäters in seinem Besitz, konnte es aber nicht entsperren. Also wandte man sich an Apple. Das Unternehmen hatte in der Vergangenheit mit Ermittlungsbehörden zusammengearbeitet, ist also nicht grundsätzlich dagegen, in solchen Fällen zu unterstützen. Hier aber teilten sie dem FBI mit: Wir können euch nicht helfen, ohne die Sicherheit aller iPhones zu gefährden. Apple erklärte, das FBI fordere praktisch eine Hintertür, um die Sicherheitsvorkehrungen zu umgehen. Was sie tun müssten, ließe sich in der Folge auf jedes andere ähnlich konstruierte iPhone anwenden und könnte in die falschen Hände geraten. Entsprechend blieb Apple standhaft, obwohl Umfragen zeigten, dass für den Ruf des Unternehmens in den USA eher schädlich war. Letztlich vermied das FBI den gerichtlichen Entscheid, in dem es in letzter Minute eine Sicherheitsfirma engagierte, die auf die Daten offenbar zugreifen konnte. Wie das FBI später zugab, funktionierte das aber nur für das iPhone 5c, aber nicht für das iPhone 5s und alle neueren Modelle.

Wahrscheinlich wird bei vielen Menschen im Hinterkopf bleiben: Ein iPhone kann so sicher sein, dass selbst das FBI nicht ohne die Hilfe von Spezialisten an die Daten kommt und neuere iPhones sind gar noch stärker abgesichert. Also ist es wohl okay, wenn ich meine Kreditkarte, meine Krankenakte und andere persönliche Informationen auf dem Gerät speichere. Zudem kann ich mich einigermaßen sicher fühlen, dass meine Daten nicht wie bei Google wie Werbeeinblendungen oder „intelligente“ Assistenten genutzt werden.

Es geht mir mit diesem Beispiel nicht darum, Apple als leuchtendes Beispiel hervorzuheben. Das Unternehmen ist kein gemeinnütziger Verein und verfolgt natürlich seine eigenen wirtschaftlichen Ziele. Zudem gibt es andere, die in Sachen Privatsphäre und Datenschutz deutlich radikaler sind. Vielmehr geht es in diesem Artikel um die Frage: Kann es ein Geschäft sein, die Privatsphäre der eigenen Kunden aktiv zu schützen? Im Fall von Apple lautet die Antwort: Auf jeden Fall.

Weitere Beispiele

Sense by Silk Labs

Sense by Silk Labs

Sense Smarthome-Hub und Sicherheitskamera: In unserem Einsteigerguide zum Smart Home findet sich auch ein Abschnitt zum Datenschutz und das aus guten Gründen. Diese Systeme funktionieren dann besonders gut, wenn sie viele Daten erfassen und intelligent verarbeiten. Diese Informationen aber sind nicht nur sehr persönlich, sondern könnten sich auch für allerlei Dinge missbrauchen lassen.

Als „vollständig sicher“ haben daher die Macher des Sense ihr Produkt beschrieben. Diese Kombination aus Smarthome-Hub und Sicherheitskamera verschlüsselt beispielsweise die Daten auf dem Weg zum Smartphone. „Niemand kann ihr Video abrufen“, versprechen sie. Das Team besteht u.a. aus ehemaligen Mozilla-Ingenieuren. Über Kickstarter konnten sie mit ihrer Idee immerhin knapp 165.000 US-Dollar einsammeln.

Wire Messenger

Wire Messenger

Messenger Wire: „Moderne, private Unterhaltungen.“ „Deine Daten sind immer verschlüsselt.“ „Benutzerfreundlichkeit plus Sicherheit.“ Das sind nur einige Zitate von der Website des Messengers Wire aus der Schweiz. Er will eine besonders vertrauenswürdige Alternative zu WhatsApp, Skype und anderen sein. Denn selbst wenn WhatsApp inzwischen auch Ende-zu-Ende verschlüsselt ist, gehört der Messenger noch immer zu Facebook mit Sitz in den USA. Und wie man am Fall „Apple vs. FBI“ und anderen Beispiele sieht, scheint der Informationshunger der US-Behörden unstillbar. Die Macher des Wire-Messengers erklären auf einer eigenen Seite, warum ihr Privatsphäre-Schutz besser ist als der der Konkurrenz.

Sandstorm App Market

Sandstorm App Market

Sandstorm, Plattform für Web-Apps: Als „absurd sicher“ bezeichnet Sandstorm seine Umgebung für Web-Apps. Im App Market finden sich viele Alternativen zu bekannten Cloud-Diensten wie Google Docs oder auch Slack. Als Sandstorm-Nutzer profitiert man zum einen von mehr Bequemlichkeit, denn man hat einen zentralen Login und kann damit jede App nutzen. Zum anderen sorgen die Macher auf verschiedene Weise dafür, dass die Privatsphäre der Nutzer und die Sicherheit ihrer Daten gewährleistet ist – selbst wenn eine der angebotenen Apps eine Sicherheitslücke haben sollte. Wer ganz genau wissen möchte, wie sie das bewerkstelligen wollen, kann es hier nachlesen.

ClearChat

ClearChat

Sichere Slack-Alternativen Semaphor und ClearChat: Es besteht kein Zweifel daran, dass Chat-Tools wie Slack oder HipChat gerade ganz besonders angesagt sind. Hier habe ich Slack ausführlich vorgestellt. Angebote wie Semaphor von SpiderOak oder ClearChat setzen auf eine umfassende Verschlüsselung, um sich von anderen abzuheben.

Purism Laptops

Purism Laptops

Purism Laptops: „Wunderschöne Freiheit“ ist der Claim von Purism. Das Unternehmen bietet derzeit zwei Laptops mit 13- und 15-Zoll-Display an, die sowohl in Sachen Hardware als auch Software sicher sein sollen. Ihr Ansatz: Sie verwenden nur Chips, die keine proprietäre Firmware benötigen. Zudem kommt nur Free und Open Source Software zum Einsatz. Darüber hinaus versprechen sie: „Purism wird die Privatsphäre, Sicherheit und Freiheit der Nutzer über alles andere stellen.“

Viele weitere Beispiele finden sich in den Case Studies auf der oben bereits genannten Seite „Privacy & Free Speech – It’s Good for Your Business“. Und falls Sie einen Dienst nutzen oder selbst anbieten, der die Privatsphäre der Nutzer besonders achtet, hinterlassen Sie gern einen entsprechenden Kommentar.

So fällt Ihr Unternehmen positiv auf

Wie achtet man nun idealerweise die Privatsphäre der eigenen Nutzer und Kunden? Im Rahmen des monatlichen „Privacy Lab“ in San Francisco gab es dazu ein sehr interessantes Event unter der Überschrift „Privacy for Startups“, das sich genau um dieses Spannungsfeld drehte. Wer möchte, kann sich den Videomittschnitt hier ansehen.

Einer der Redner war Matthew Cagle von der American Civil Liberties Union (ACLU) of Northern California. Gemeinsam mit anderen veröffentlichte er die Publikation „Privacy & Free Speech – It’s Good for Business“, die es als Website und PDF im Netz gibt. Darin geben sie vier wesentliche Tipps an Startups und andere Firmen, um positiv aufzufallen.

Ich fasse sie hier einmal zusammen:

1. Haben Sie Respekt vor Daten

Unter diesem Titel listet die ACLU drei wesentliche Unterpunkte:

  • Erheben Sie nur die tatsächlich notwendigen Daten.
  • Speichern Sie diese nur so lange wie nötig.
  • Schützen Sie die Daten so gut wie möglich.

Eine Zielstellung ist es hier, den Schaden bei Datenlecks so gering wie möglich zu halten. Die ACLU-Schrift nennt vor allem auf Informationen, die die Identität der Nutzer offenlegen könnten – insbesondere, wenn sie sich mit weitere Daten verknüpfen lassen. Idealerweise hält man besonders sensible Daten abgetrennt im eigenen System vor. Oder man löscht, was man nicht mehr benötigt. Als ein Beispiel werden Positionsdaten der Nutzer genannt: Nur weil man sie in einem Moment für einen Service genutzt hat, sollte man sie nicht gespeichert lassen.

Weitere Informationen finden sich dazu bei Mozilla, das ein „Lean Data Toolkit“ zur Verfügung stellt. Es soll Unternehmen helfen, entsprechende Praktiken einzuführen. „Das ist gut für die Nutzer und auf lange Sicht ebenso gut für Unternehmen“, erklärte Marshall Erwin, Mozillas Spezialist für Datensicherheit und Privatsphäre, im Rahmen des „Privacy Lab“-Events in San Francisco.

Darüber hinaus sollten sich Unternehmen alle Situationen anschauen, in denen die Daten genutzt werden – ob nun auf dem Rechnern der Mitarbeiter oder auf dem guten alten Blatt Papier. Absichern sollte man laut ACLU außerdem alle Wege, auf denen Daten erfasst werden, damit Dritte nicht mitlauschen können. Dazu zählen natürlich Onlineformulare, aber beispielsweise ebenso Telefon- und E-Mail-Kommunikation.

2. Planen Sie voraus

Zu diesem Punkt gehört es, den internen Zugang zu sensiblen Daten bewusst zu beschränken und zu kontrollieren. Denn wie ich für eine frühere Ausgabe des UPLOAD Magazins bereits ausführlicher schrieb, sind die eigenen Mitarbeiter die größte potenzielle Sicherheitslücke. Der perfekt gesicherte Webserver hilft nicht viel, wenn zugleich sensible Daten ungeshreddert im Papiermüll landen. Oder wenn der „Azubi-Effekt“ dazu führt, dass man kaum noch weiß, wer eigentlich Zugriff auf welche Informationen hat. Mehr dazu in meinem Artikel.

Darüber hinaus muss man sich natürlich so gut es geht vor Angriffen von außen schützen. Dazu gehört es, auf entsprechende Standards bei Partnern zu achten, mit denen man als Unternehmen zusammenarbeitet. Denn Sicherheitslücken andernorts fallen am Ende wieder auf Sie zurück und nicht allein auf den Drittanbieter.

Weiterhin ist es nicht genug, Sicherheitspraktiken einmal einzuführen. Sie müssen außerdem mit dem Unternehmen mitwachsen und regelmäßig überprüft werden. Schon Zwei-Personen-Startups sollten einen der Gründer als Verantwortlichen für Datenschutz und Sicherheit bestimmen, damit das Thema nicht in Vergessenheit gerät. Die ACLU empfiehlt darüber hinaus, auf Expertenwissen von außen zu setzen und Berater und Sicherheitsfachleute zu engagieren.

Wie die vergangenen Monate gezeigt haben, sollte sich dabei kein Unternehmen sicher fühlen, sondern im Gegenteil davon ausgehen, dass es zu einem Datenleck kommen wird. Deshalb empfehlen Experten wie beispielsweise hier von IBM, sich bereits vorab einen Plan für den Fall der Fälle zurecht zu legen. Dazu gehört es, schnellstmöglich das Ausmaß des Problems zu erkennen, wo die Lücke aufgetreten ist und darauf zu reagieren. Zudem sollten die Nutzer, eventuell zuständige Behörden und Institutionen sowie die Öffentlichkeit informiert werden.

3. Seien Sie transparent

Hier geht es vor allem darum, den Nutzern gegenüber so klar wie möglich zu erläutern, welche Daten warum gespeichert werden und wie man sie schützt. Auf keinen Fall sollte man wie in meinem Eingangsbeispiel die Nutzer überraschen. Selbst Facebook hat inzwischen eingesehen, dass es seinen Nutzern besser erklären muss, was eigentlich passiert. Die berühmt-berüchtigten Privatsphäre-Einstellungen wurden im Zuge dessen einfacher gestaltet und die Nutzer werden regelmäßig dazu angeregt, sie zu überprüfen. Weitere Tipps und Hinweise aus der ACLU-Schrift:

  • Sagen Sie klar und deutlich, wie Informationen an Dritte weitergegeben werden.
  • Stellen Sie sicher, dass sich jeder in Ihrem Unternehmen an die veröffentlichten Datenschutzregeln hält.
  • Benachrichtigen Sie Ihre Nutzer, bevor Sie Änderungen vornehmen.
  • Machen Sie immer deutlich, dass Daten erhoben werden und welche.

4. Arbeiten Sie mit Ihren Kunden zusammen

Zu oft würden Unternehmen nur aus ihrem Blickwinkel auf das Thema Privatsphäre schauen, heißt es in der ACLU-Schrift. Vergessen wird dabei, wie die Nutzer selbst darüber denken oder wie die allgemeine Öffentlichkeit darüber urteilen würde. Stattdessen sollte man sich an den Erwartungen der Nutzer orientieren, in dem man sie befragt, Funktionen und Vorhaben beispielsweise mit Focus-Gruppen testet oder sich externen Rat dazuholt.

Darüber hinaus sollte man wesentliche Änderungen nicht nur wie unter Punkt 3 erwähnt vorher ankündigen, sondern zugleich optional machen. Sprich: Die Nutzer sollten solchen Neuerungen aktiv zustimmen müssen, damit sie wirksam werden. Das Vertrauen der Kunden könne man generell stärken, in dem man ihnen selbst die Wahl lasse, welche Informationen gespeichert, ausgewertet und weitergegeben werden dürfen.

Nicht zuletzt kann man als Unternehmen zum aktiven Beschützer der eigenen Nutzer werden und sie beispielsweise darüber informieren, wenn eine externe Stelle Daten anfordert. Außerdem können Unternehmen aktiv dafür eintreten, die Privatsphäre als wichtiges Gut zu erhalten und sich für entsprechende gesetzliche Regelungen einsetzen.

Fazit

Diese Beitrag zeigt hoffentlich, dass es eine gute Idee sein kann, als Unternehmen die Privatsphäre seiner Nutzer nicht nur zu achten, sondern sogar aktiv zu beschützen. Dabei ist klar, dass sich nicht jeder Nutzer stark um seine Daten sorgt. Und je nach Branche wird das Bewusstsein der Kunden zudem sehr schwanken. Insofern will dieser Artikel nicht den Eindruck vermitteln, nur absoluter Datenschutz sei das einzig Wahre.

Bei Facebook sind die Daten der Kunden beispielsweise die Geschäftsgrundlage. Inzwischen hat das Social Network festgestellt, dass seine Nutzer immer weniger Persönliches posten. Dem will man nun mit einer neuen Benutzeroberfläche entgegenwirken. Ob das hilft, wird man sehen. Gut möglich, dass Facebook in Wirklichkeit schlichtweg das Vertrauen seiner Nutzer eingebüßt hat und die Menschen ihre privaten Inhalte lieber nicht mehr dort posten. Dann hätte Facebook mit einem Mal einen nicht unwichtigen Teil des Marktes verloren.

 

Artikel vom 16. Mai 2016