Cloud-Systeme - Risiko oder Segen?
Argumente für den Server unter Kontrolle - Schlagzeilen wie: "Patientendaten aus Apothekensystem gelangen an die Presse (26.9.2013, 17.15 ORF 2, heute)", oder der Prism-Skandal: "NSA zahlt für Daten führender US-Firmen", lassen Datenverantwortliche nicht kalt!
Der Supergau wäre, wenn aufgrund von eigenem Verschulden die Strafdrohung des Datenschutzrechtes mit € 25.000 pro Fall schlagend wird und Geschädigten dann auch noch ein Schadenersatz zugesprochen wird. Hier eine kurze Diskussion zu diesem Thema!
Public Cloud vs. Private Cloud! Argumente für den eigenen Server!
Schlagzeilen wie: "Patientendaten aus Apothekensystem gelangen an die Presse (26.9.2013, 17.15 ORF 2, heute)", oder der Prism-Skandal: "NSA zahlt für Daten führender US-Firmen", lassen Datenverantwortliche nicht kalt! Der Supergau wäre, wenn aufgrund eigenem Verschuldens die Strafdrohung des Datenschutzrechtes mit € 25.000 pro Fall schlagend wird und Geschädigten dann auch noch ein Schadenersatz zugesprochen wird. Hier eine kurze Diskussion zu diesem Thema!
Warum sich all diesen Diskussionen aussetzen? Ein CRM, das auf dem eigenem Server läuft, kann kostenattraktiv, mit hoher Verfügbarkeit und Performance realisiert werden.
Cloud: Die Verantwortung für Kundendaten kann nicht mit Sicherheit delegiert werden.
Der Einsatz von CRM-Systemen, wie etwa CAS PIA, mit Daten in der "Cloud" wird aktuell bei vielen Projekten, mit denen wir uns bei sol4 beschäftigen, diskutiert. Die Implikationen die eine solche Systemlösung in Bezug auf die Rechtssituation des Datenerfassers (also der CRM-Betreiber) bereit hält, bilden eine komplexe Materie. Die Cloud speichert Daten und stellt diese für Wartung und Einsatz wie Mailings und Kampagnen gezielt zur Verfügung. Grundsätzlich eine Basisfunktionalität, die auch ein Server im eigenen Serverrack so anbieten würde. Warum also Daten an einen Dienstleister übergeben, für den man in Österreich doch eine gewisse, schwer abgrenzbare Mitverantwortung trägt?
Was sind Cloud-Lösungen?
Eine Cloud ist in der Regel ein Servernetzwerk in Fremdeigentum. Ausnahme wäre eine "Private Cloud"! Im CRM-Bereich werden diese Server oft außerhalb des österreichischen oder sogar europäischen Rechtsraumes betrieben und die betroffenen Daten unterliegen damit auch den Rechtsregeln der Standorte, an denen diese Server betrieben werden.
Streng genommen, sind Erfasser von Kundendaten verantwortlich dafür, dass diese Daten nur im direkten Zusammenhang der vertraglich vereinbarten Leistung gespeichert werden. Bei Daten von Privatpersonen besteht eine immer konsequentere Durchsetzung von gesetzlichen Datenschutzrechten, aber auch gespeicherte Firmendaten bilden keinen Freibrief für jede Form der Verwendung.
Entscheidend ist der sorgfältige Umgang mit Daten auf Basis der Richtlinien des in Europa relativ einheitlichen und strengen Datenschutzrechtes. Im Gegensatz zum typischerweise sehr engen Korridor an Möglichkeiten in Europa bietet der Zugang in den USA, aber auch in anderen Ländern mit weiter gefassten Datenschutzbestimmungen Firmen ganz andere Möglichkeiten, diese Daten zu verwenden oder damit Geld zu verdienen.
Dieses Thema wird relevant, wenn man sich klar macht, dass die Daten in einem Cloud-basierten System auch bei hoher eigener Sorgfalt an einen Dienstleister transferiert werden, der in einem Rechtsraum arbeitet, in dem staatliche Behörden einen wesentlich offeneren Rechtsraum vorfinden als hier in Österreich. Berichte wie der des Guadian zeigen auf, was hier möglich wird! Die NSA, wie berichtet, scheint Lösungen zu kaufen, die dazu führen, dass Großunternehmen mit vielen Daten von Kunden und Partnern Programme installieren, die spezielle Auswertungen ermöglichen. Betrifft das auch Ihre Daten? Könnte das Rechtsfolgen wie Schadenersatz oder Verwaltungsstrafen nach sich ziehen? Macht Sie das als Datenschutzverantwortlichen nervös? Dann wird es Sie nicht besonders beruhigen, dass das Handelsblatt bereits 2011 darauf hingewiesen hat, dass die CIA Vorwürfe zurückweist, dass Daten, die im Rahmen der Terrorbekämpfung beschlagnahmt wurden, auch für Wirtschaftsspionage eingesetzt werden. Ein Vorwurf der laut Handelsblatt von amerikanischen High-Tech-Unternehmen bestätigt wird.
Sie tragen die Verantwortung für die Erfassung der Daten. Wie viel dieser Verantwortung geben Sie aus dem Haus, wenn Sie Daten in einem CRM-System speichern, das einen Server außerhalb Ihres Machtbereiches betreibt? Fragen Sie dazu den Datenrechtsexperten Dr. Ekkehard Diregger, Rechtsberatung: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
CRM-Lösungen von sol4 ohne "Public Cloud-Datenspeicherung"
Die Materie ist sehr komplex. Ansatzpunkte wie Save Habor-Verträge werden kontroversiell diskutiert und scheinen auch keine absolute Sicherheit zu bieten. In einer Diskussion wurde dieses Thema auf den Punkt gebracht: "Wir tragen sozusagen die Verantwortung im Falle einer missbräuchlichen Verwendung von Daten unserer Kunden, weil wir sozusagen Daten dieser Kunden in Datenkartons verpacken und einem Unternehmen übergeben, das diese Daten an einen Ort verbringt, den wir nicht kennen, und wir an diesem Ort nicht verhindern können, dass jemand anderer diese Daten für seine eigenen Zwecke verwendet! Und wenn daraus ein Vergehen abgeleitet werden kann, oder einem unserer Kunden ein Schaden entsteht, haben wir ein echtes Argumentationsproblem!"
Sol4 als Partner, der sich seit mehr als 10 Jahren mit dem Thema CRM beschäftigt, hat hier eine klare Antwort: Komplexe, kundenspezifische Lösungen werden in der Regel auf Systemen realisiert, die auf einem stationären Server bei unseren Kunden laufen. Cloudlösungen werden auf Systemen angeboten, die auf einem Server im europäischen Rechtsraum laufen. Wenn Sie sich dafür interessieren, dies auch für Ihre CRM-Anwendung zu prüfen, stehen wir gerne zur Verfügung.
Viel Erfolg auf Ihrem Weg zu Ihrer individuellen Lösung im Vertrieb!
Ihr Peter Berger, SALES Consultant bei sol4 IT-Consulting GmbH