Hallo! Mein Name ist Marc Dauenhauer. Ich bin Datenschutzbeauftragter und IT-Architekt. Sie befinden sich hier auf einem Blog, auf dem ich über Themen der Digitalisierung im weitesten Sinne berichte. Wenn Sie meine Dienstleistungen als Datenschutz-Experte oder IT-Spezialist suchen, klicken Sie bitte hier!

Kennen Sie schon unsere Beratung zu Alltagsfragen im Datenschutz?

Haben Sie Fragen zur Umsetzung des Datenschutzes in Ihrem Unternehmen und brauchen eine schnelle aber fundierte Antwort, um weitermachen zu können, dann sind Sie hier genau richtig. In 2 einfachen Schritten zur hilfreichen Antwort ohne langes Suchen im Internet. Klicken Sie hier für mehr Informationen.

Drei coole Strategien, die Kosten Deines Startups elegant in die Höhe zu treiben

Nicht zwingend sofort, aber relativ sicher.

Die Zahl der Startups aus der *-tech-Branche steigt immens. Ob es sich um legal-tech, hr-tech, fin-tech, insurance-tech oder health-tec handelt, das Prinzip ist immer das gleiche. Digitale Disruption. Was zuvor irgendwie manuell oder individuell gemacht wurde, übernehmen nun Algorithmen, mit ein bisschen KI gewürzt. Ich will das nicht schlechtreden. Viele Ansätze sind toll und begeistern mich auch. Aber umso ernüchternder ist es, wenn man mal hinter die Kulissen dieser neuen Stars am IT-Himmel blickt.

Wo bleiben da privacy by design oder security by design? Richtig. Zu oft werden diese Aspekte beim Design von Anwendungen ignoriert und eben nicht frühzeitig mit eingeplant. Eine vernünftige Architektur berücksichtigt nämlich schon vom ersten Moment Fragen der Datensparsamkeit, kennt frühzeitige immanente Anonymisierungen bzw. Pseudonymisierungen, doppeltes Hashen von Schlüsselworten oder legt Grundfunktionen zur Erfüllung von Betroffenenrechten fest. Auch entsprechende Routinen zur Implementierung von übergreifenden Löschkonzepten sind Teil der Designentscheidungen.

Man kann sehr gut auf all das Verzichten, aber es rächt sich am Ende. Entweder müssen die fehlenden Funktionen hineinrepariert werden, was immer extrem teuer und fehleranfällig ist oder es bleibt bei manuellen fehleranfälligen Prozessen, weil die entwickelten Systeme keine automatisierte Unterstützung für Datenschutzstandardprozesse bieten.

Zusammenfassend lassen sich drei Totsünden bei der Entwicklung von Systemen festmachen, die am Ende richtig Geld kosten werden:

1) Es gibt kein Datenschutzdashboard, von dem aus Benutzer die wichtigen Datenschutzprozesse wie Auskunft oder Löschverlangen im Self-Service auslösen können. Die Daten der Benutzer lassen sich nicht downloaden.

2) Es gibt kein Löschkonzept, welches entsprechend der Aufbewahrungsfristen von Daten diese automatisiert löscht bzw. anonymisiert.

3) Es wird nicht konsequent auf ein Need-2-Know-Prinzip gesetzt, um “überflüssige” Zugriffe von Anwendern zu vermeiden.

Ähnlich kann man auch im Bereich der Cybersecurity bereits beim Design einer Anwendung Fehler machen, die sich später mit Kundendaten im Darknet rächen oder zum Investment in den Erhalt von Decryption-Keys führen. Beides nicht zielführend.

Viele junge Tech-Startups sind auf ihre gute Idee fokussiert und müssen diese auch zugunsten von Venture-Kapital vorantreiben. Dabei werden Datenschutz und IT-Sicherheit gerade am Anfang massiv unterschätzt und häufig erst viel zu spät berücksichtigt. Das gilt im Übrigen nicht nur für die Algorithmen sondern für das Startup als Ganzes. Problematisch ist das auch deswegen, weil diese Startups häufig noch so klein sind, dass ein benannter DSB nicht zum Pflichtprogramm gehört.