Nicht zwingend sofort, aber relativ sicher.
Die Zahl der Startups aus der *-tech-Branche steigt immens. Ob es sich um legal-tech, hr-tech, fin-tech, insurance-tech oder health-tec handelt, das Prinzip ist immer das gleiche. Digitale Disruption. Was zuvor irgendwie manuell oder individuell gemacht wurde, übernehmen nun Algorithmen, mit ein bisschen KI gewürzt. Ich will das nicht schlechtreden. Viele Ansätze sind toll und begeistern mich auch. Aber umso ernüchternder ist es, wenn man mal hinter die Kulissen dieser neuen Stars am IT-Himmel blickt.
Wo bleiben da privacy by design oder security by design? Richtig. Zu oft werden diese Aspekte beim Design von Anwendungen ignoriert und eben nicht frühzeitig mit eingeplant. Eine vernünftige Architektur berücksichtigt nämlich schon vom ersten Moment Fragen der Datensparsamkeit, kennt frühzeitige immanente Anonymisierungen bzw. Pseudonymisierungen, doppeltes Hashen von Schlüsselworten oder legt Grundfunktionen zur Erfüllung von Betroffenenrechten fest. Auch entsprechende Routinen zur Implementierung von übergreifenden Löschkonzepten sind Teil der Designentscheidungen.
Man kann sehr gut auf all das Verzichten, aber es rächt sich am Ende. Entweder müssen die fehlenden Funktionen hineinrepariert werden, was immer extrem teuer und fehleranfällig ist oder es bleibt bei manuellen fehleranfälligen Prozessen, weil die entwickelten Systeme keine automatisierte Unterstützung für Datenschutzstandardprozesse bieten.
Zusammenfassend lassen sich drei Totsünden bei der Entwicklung von Systemen festmachen, die am Ende richtig Geld kosten werden:
1) Es gibt kein Datenschutzdashboard, von dem aus Benutzer die wichtigen Datenschutzprozesse wie Auskunft oder Löschverlangen im Self-Service auslösen können. Die Daten der Benutzer lassen sich nicht downloaden.
2) Es gibt kein Löschkonzept, welches entsprechend der Aufbewahrungsfristen von Daten diese automatisiert löscht bzw. anonymisiert.
3) Es wird nicht konsequent auf ein Need-2-Know-Prinzip gesetzt, um “überflüssige” Zugriffe von Anwendern zu vermeiden.
Ähnlich kann man auch im Bereich der Cybersecurity bereits beim Design einer Anwendung Fehler machen, die sich später mit Kundendaten im Darknet rächen oder zum Investment in den Erhalt von Decryption-Keys führen. Beides nicht zielführend.
Viele junge Tech-Startups sind auf ihre gute Idee fokussiert und müssen diese auch zugunsten von Venture-Kapital vorantreiben. Dabei werden Datenschutz und IT-Sicherheit gerade am Anfang massiv unterschätzt und häufig erst viel zu spät berücksichtigt. Das gilt im Übrigen nicht nur für die Algorithmen sondern für das Startup als Ganzes. Problematisch ist das auch deswegen, weil diese Startups häufig noch so klein sind, dass ein benannter DSB nicht zum Pflichtprogramm gehört.
Was sich im Dezember ändert!
Jetzt ändert sich schon wieder was. Wenn Sie eine Website betreiben, sollten Sie wissen, was im Dezember auf Sie zukommt. Eigentlich ändert sich nicht viel und doch kann es für Sie
2. November 2021
Keine Kommentare
