Die digitale Transformation hat längst in jedem modernen Unternehmen Einzug gehalten. Wer jedoch mit digitalen Geschäftsmodellen erfolgreich sein will, sollte sich von der Idee lösen, alles allein machen zu wollen. Clever orchestrierte Netzwerke, in denen Partner entsprechend ihrer Kernkompetenzen eingebunden werden, sind der entscheidende Erfolgsfaktor. Aber diese wollen auch gesichert werden.
In einem Business Ecosystem mit multiplen Partnern werden Daten generiert, verarbeitet und übermittelt, um eine gemeinsame Value Proposition zu realisieren. Industrie-übergreifende Netzwerke wie GaiaX oder branchen-spezifische Netzwerke wie CatenaX gewinnen machen es vor. Die Frage nach Datenschutz und Datensicherheit sowie die Klärung der Data Ownership in einem solchen Business Ecosystem ist alles andere als trivial.
Unsere Empfehlungen, um Risiken zu minimieren und datenschutzkonforme Geschäftsbeziehungen zu etablieren:
- Definition klarer Rollen und Verantwortlichkeiten
Bereits bei der Entwicklung des Geschäftsmodells und Setups erster Partnerstrukturen eines Business Ecosystems (MVE – Minimum Viable Ecosystem) ist es essenziell, dass alle Partner eine klar definierte Rolle innerhalb des Ökosystems haben und sämtliche relevanten Datenströme untereinander transparent gemacht werden. Je nach Rolle im Ökosystem gelten unterschiedliche Verantwortlichkeiten in Bezug auf die Datenverarbeitung. Laut Europäischer Datenschutz-Grundverordnung (EU-DSGVO) gibt es im Kern zwei Datenverarbeiter: den Verantwortlichen (Art. 4 Nr. 7 DSGVO) und den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Verantwortlicher ist, wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Der Auftragsverarbeiter unterscheidet sich vom Verantwortlichen dadurch, dass er „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Es muss im Detail geprüft werden, ob es sich bei der konkreten Partnerkonstellation um eine gemeinsame Verantwortlichkeit gemäß EU-DSGVO handelt, da die EU-DSGVO unterschiedliche Anforderungen in Hinblick auf die jeweils abzuschließenden Verträge enthält. Entscheiden zwei oder mehr Unternehmen (Verarbeiter) gemeinsam über Zweck (Warum?) und Mittel (Wie?) der Datenverarbeitung, dann sind sie gemeinsam Verantwortliche und können über eine so genannte Joint-Controllership-Vereinbarung regeln, wer in welchem Bereich die konkret vereinbarten Verarbeitungsschritte übernimmt. Grundsätzlich sieht die EU-DSGVO für diese Übereinkunft eine gemeinsame Verantwortung der beteiligten Partner für die Datenverarbeitung vor, insbesondere wenn beide Verantwortliche über Zweck und Mittel der Datenvereinbarung entscheiden. Dies bedeutet in der Konsequenz auch: Treffen zwei oder mehr Verarbeiter die Entscheidung jeweils für sich, sind sie jeweils eigenständig Verantwortliche und es müssen Auftragsverarbeitungsverträge geschlossen werden.
- Ernennung Datenschutzbeauftragte
Im Falle einer Joint Controllership mehrerer Unternehmen, sollte ein/e Datenschutzbeauftragte*r (DSB) für das Business Ecosystem ernannt werden, die/der für die Einhaltung von Datenschutzgesetzen und -vorschriften innerhalb des Ökosystems verantwortlich ist. Die/der DSB sollte ein ganzheitliches Verständnis für das Business Ecosystem und die mit ihm verbundenen Datenschutzrisiken haben.
- Etablieren von Datenschutzrichtlinien und -verfahren
Eine umfassende Datenschutzrichtlinie und zugehörige Verfahren sollten etabliert werden, um zu regeln, wie personenbezogene Daten innerhalb des Business Ecosystems verarbeitet, geteilt und zugänglich gemacht werden. Diese Richtlinie sollte an alle Partner kommuniziert werden und Richtlinien zur Datensparsamkeit, Zugangskontrollen, Aufbewahrungsfristen und Rechten der betroffenen Kunden und Geschäftspartner enthalten.
- Durchführung einer Datenschutz-Folgenabschätzung (DSFA)
Eine DSFA kann helfen, die Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten in einem Business Ecosystem zu identifizieren. Sie sollte alle Partner im Ecosystem abdecken und die potenziellen Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen bewerten. Diese Bewertung wird dazu beitragen, die erforderlichen Sicherheitsmaßnahmen zu bestimmen.
- Unterzeichnung von Datenschutzvereinbarungen
Alle Partner, die an dem Business Ecosystem beteiligt sind, sollten Datenschutzvereinbarungen unterzeichnen, die regeln, wie personenbezogene Daten innerhalb des Ecosystems verarbeitet und geteilt werden. Diese Vereinbarungen sollten Bestimmungen zum Datenschutz und zur Datensicherheit enthalten und die Rollen und Verantwortlichkeiten jedes Partners definieren.
- Implementierung technischer und organisatorischer Maßnahmen
Geeignete technische und organisatorische Maßnahmen sollten implementiert werden, um personenbezogene Daten im Business Ecosystem zu schützen. Dies könnten Maßnahmen wie Datenverschlüsselung (Pseudonymisierung / Anonymisierung), sichere Datenübertragungsprotokolle und Zugangskontrollen umfassen.
- Einwilligungen und Integration von Privacy Cockpits
In Business Ecosystems werden oft mehrere Kategorien von personenbezogenen Daten erhoben. Sollen Daten verarbeitet werden, die über den ursprünglichen Verarbeitungszweck hinausgehen, ist eine Einwilligung für die neuen Zwecke der Betroffenen zur Erhebung und Verarbeitung weiterer personenbezogener Daten erforderlich. Über Privacy Cockpits haben Betroffene die Möglichkeit Einwilligungen zu geben und wieder zurückzunehmen. Privacy Cockpits können also einerseits dazu dienen, die Anforderungen des Art. 25 Abs. 1 DSGVO (Privacy by Design) zu erfüllen, andererseits können sie aber auch datenschutzfreundliche Voreinstellungen nach Art. 25 (2) DSGVO (Privacy by Default) bieten, indem sie alle relevanten Verarbeitungsarten für Daten bündeln und transparent machen.
Es ist wichtig zu beachten, dass Datenschutz und Datensicherheit kontinuierliche Verantwortlichkeiten sind, die regelmäßig überprüft und bewertet werden müssen. Mit der zunehmenden Bedeutung von Ökosystemen steigt die Notwendigkeit diese Verantwortung nicht nur für das eigene Unternehmen, sondern für das gesamte Netzwerk zu denken und zu leben. Partner in einem Business Ecosystem sollten zusammenarbeiten, um Datenschutzrisiken zu überwachen und zu managen und ihre Richtlinien, Verfahren und technischen Maßnahmen kontinuierlich zu verbessern. Die Einhaltung der EU-DSGVO sollte von Anfang an berücksichtigt werden, um Risiken zu minimieren und mögliche Strafen oder Reputationsschäden zu vermeiden.
