Privacy Risk Management im Einzelhandel

Inhaltsverzeichnis

1. Einführung
1.1 Problemstellung der Arbeit
1.2 Aufbau der Arbeit

2. Risikomanagement
2.1 Definition des Begriffs „Risiko“
2.2 Definition des Begriffs „Risikomanagement“
2.3 prozessorientiertes Risikomanagement

3. Privacy / Privatheit / Datenschutz
3.1 Definiton
3.2 Datenschutz als Wettbewerbsvorteil
3.3 Kosten-/Nutzenbetrachtung aus Konsumentensicht
3.4 PrivacyRisk

4. Integrierbarkeit des PrivacyRisk in das Risikomanagement
4.1 Datenschutzrisiko als operationelles Risiko
4.2 Datenschutzrisiko als Chance und Gefahr

5. Ausblick und kritische Bewertung

Literaturverzeichnis

1. Einführung

1.1 Problemstellung der Arbeit

Der Einzelhandel verändert sich. Der wirtschaftliche Erfolg hängt immer mehr von einem schnellen Material- und Informationsaustausch ab. Ebenso steigen die Erwartungen der Kunden bezüglich eines auf sie zugeschnittenen Kundenservices und umfangreicher Produktinformationen stetig an. Um ihre Konkurrenzfähigkeit zu steigern und den sich stellenden Herausforderungen gerecht zu werden, sollten Einzelhändler daher ermitteln, welche Potentiale bisher noch nicht vollständig genutzt wurden. Eines dieser Potentiale ist die Speicherung und die professionelle Weiterverarbeitung von Kundendaten und Kundenverhalten. Die Möglichkeiten dazu haben sich vor allem durch Wireless Lan, Blue Tooth und die neue RFID-Technik vergrößert. Neben neuen Möglichkeiten werden aber auch neue Risiken generiert. Die negativen Folgen, die für das Unternehmen aus der Nichtberücksichtigung der Privatsphäre des Kunden resultieren können, nennt man PrivacyRisk. Dieses Risiko sollte von der Unternehmensführung bei der langfristigen Unternehmensplanung berücksichtigt werden und in das Risikomanagement integriert werden.

1.2 Aufbau der Arbeit

Im ersten Teil der Arbeit wird Risiko und das Risikomanagement allgemein betrachtet. Der zweite Teil beschäftigt sich mit der begrifflichen Abgrenzung und den Auswirkungen des Privacy-Risk aus Sicht des Einzelhandels, aber auch aus Konsumentensicht. Dazu wird kurz der „Metro-Future-Store“ vorgestellt. Anschließend wird die Thematik angeschnitten, inwiefern „Datenschutz als Wettbewerbsvorteil“ zu sehen ist und welche wirtschaftlichen Folgen der Datenschutz als Bestandteil des Verbraucherschutzes haben kann.

Um die Integrierbarkeit des PrivacyRisk´s in das Risikomanagement geht es in dem letzten Abschnitt, als Vergleich dazu bietet sich der Umweltschutz an. In 4.2 und 4.3 werden jeweils zwei Modelle vorgestellt, die mit unterschiedlichen Voraussetzungen und Definitionen Beispiele für die Integrierbarkeit des PrivacyRisk´s in das Risikomanagement sowie die dadurch resultierende Anpassungsschwierigkeiten darstellen. Den Abschluss der Seminararbeit bildet eine kritische Bewertung.

2. Risikomanagement

2.1 Definition des Begriffs „Risiko“

Der Risikobegriff wurde bis jetzt weder in der Literatur noch in der Praxis einheitlich definiert, vielmehr gibt es je nach Kontext eine Reihe unterschiedlicher Definitionen.^[1] Aus betriebswirtschaftlicher Sicht setzt sich „Risiko aus der erwarteten Häufigkeit eines gefährdenden Ereignisses/Eintrittswahrscheinlichkeit und dem beim Ereigniseintritt zu erwartenden Schadensausmaß zusammen“^[2].

Mathematisch ausgedrückt: 1: r =p*e.^[3] Bei dieser Definition wird „Risiko“ mit „Gefahr“ gleichgesetzt, also die negative Standardabweichung vom tatsächlichen zum erwarteten Verlust ist das „Risiko“.^[4] Der Gegensatz zum „Risiko“ ist die „Chance“, also die positive Standardabweichung vom Erwartungswert.^[5] Ungewissheit liegt dann vor, wenn die möglichen zukünftigen Umweltzustände bekannt sind, aber nicht deren Eintrittswahrscheinlichkeiten.^[6]

2.2 Definition des Begriffs „Risikomanagement“

Den rationalen Umgang mit Risiken und Chancen bezeichnet man im Englischen als Risikomanagement. Das Risikomanagement entstammt keinem theoretischen Ansatz, sondern wurde nach dem 2.Weltkrieg zunächst von US-amerikanischen Konzernen entwickelt und angewandt.^[7]

Es werden zwei Arten von Risikomanagement unterschieden. Das herkömmliche Risikomanagement bezieht sich nur auf versicherbare Risiken, kann somit nur von Fall zu Fall angewandt werden und ist dadurch auf die Bewältigung von Risiken begrenzt, die man auf Versicherungsgesellschaften übertragen kann.^[8] Das in den siebziger Jahren entwickelte „moderne“ Risikomanagement hebt die Begrenzung auf die nur versicherbaren Risiken auf und ist ein integrierter Bestandteil der Unternehmensführung. Es ist sowohl strategisch als auch operational ausgerichtet und zielt auf ein allumfassendes Risikomanagement ab. Ein Risikomanagement, das alle Handlungen des Managements mit einbezieht, kann zukünftige Risiken schon im Vorfeld erkennen und geeignete Mittel aufgrund der erweiterten Aktionsmöglichkeiten nicht nur zur Risikoreduktion, sondern auch zum Ausnutzen von Chancen generieren.^[9]

Bernstein hebt die steigende Bedeutung des modernen Risikomanagementansatzes folgendermaßen hervor: „The capacity to manage risk and with it the appetite to take risk and make forward-looking choices, are key elements of the energy that drives the economic system forward. “^[10] Er macht deutlich, dass er das bewusste Eingehen von Risiken als einen Motor für die Wirtschaft ansieht. Demgegenüber steht die Strategie der Vermeidung von Risiken, die in der Gewerbewirtschaft immer mehr durch eine Strategie des „optimalen Risikogrades“^[11] ersetzt wurde. Das ist der Grad an eingegangenem Risiko, der unter Berücksichtigung des Kosten-/ Nutzenverhältnisses den maximalen Nutzen (höchsten Erwartungswert des Nutzens) oder aber minimale Kosten erwarten lässt.^[12] Durch ein komplettes und gut entwickeltes Risikomanagement werden bewusst mehr Risiken eingegangen und sich auftuende Chancen werden so eher genutzt. Da das wirtschaftliche Umfeld der Firmen immer komplexer wird und sich ständig verändert, wird ein gutes betriebliches Risikomanagement ständig überprüft, verbessert und angepasst.^[13]

Allgemein unterscheidet man zwischen fünf verschiedenen Risikosteuerungsstrategien. Für welche der Strategien sich ein Akteur entscheidet, hängt auch von seiner Risikoeinstellung (risikoavers, risikoneutral, risikofreudig) gegenüber einem Vorhaben ab. Die Strategien lauten wie folgt:

- Risikovermeidung, z.B. durch Verzicht auf ein Geschäft oder Aufgabe eines Geschäftsfelds
- Risikoübertragung, -überwälzung z.B. auf Marktpartner (Outsourcing) oder Versicherungen
- Risikoverminderung, z.B. Risikodiversifikation
- Risikoakzeptierung, z.B. Kompensation durch Dotierung der Risikovorsorge
- Risikobeseitigung, z.B. durch Abstellen eines organisatorischen Mangels.

Die Wahl der passenden Strategie ergibt sich durch eine Aufteilung des Risikomanagement in einzelnen Prozessstufen.^[14]

2.3 Prozessorientiertes Risikomanagement

Das prozessorientierte Risikomanagement stellt den praktischen Umgang mit den Risiken im Risikomanagement dar. Er wird bei Piaz in 5 aufeinander folgenden Phasen untergliedert. Als erster Bestandteil ist hier eine ausführliche Risikoanalyse zu erwähnen, die die Teilschritte der Risikoidentifikation, Risikobewertung und Risikoplanung/Risikobewältigung in sich beinhaltet. Danach wird die Risikosteuerung und abschließend die Risikokontrolle vorgenommen. Die Risikoidentifikation sollte permanent, kontinuierlich, systematisch verlaufen und dabei möglichst vollständig bereits bestehende und neue Risiken mit einbeziehen. Bei der Risikobewertung sollten die Ursachen des Risikos definiert werden sowie die Schadenseintrittswahrscheinlichkeit und die Höhe dieses Schadens. Bei der folgenden Phase der Risikobewältigung werden Möglichkeiten zur Risikoreduktion bzw. Risikovermeidung gesucht und analysiert. Dafür, dass die Chancen und Risiken ausgeglichen sind oder einen positiven Erwartungswert haben, existiert die Risikosteuerung. Als letzte Phase gibt die Risikokontrolle Auskunft über die Funktionstüchtigkeit und den Erfolg des Risikomanagements.^[15] Verkürzt lässt sich der gesamte Prozess in Analyse-, Implementierungs- und Kontrollphase untergliedern.^[16]

3. Privacy / Privatheit / Datenschutz

Das Risikomanagement wird stetig neuen Anforderungen und Herausforderungen ausgesetzt. Deswegen muss es dynamisch neue Umstände antizipieren und diese integrieren. Der betriebliche Umweltschutz wurde Bestandteil des Risikomanagements in den 90er Jahren.^[17] Der Datenschutz entwickelt sich ebenfalls mehr und mehr zu einer Risikokomponente, die es zu managen gilt.

3.1 Definition

Im Englischen wird Datenschutz am besten mit „Privacy“ wiedergegeben. Die korrekte deutsche Übersetzung von „Privacy“ ist Privatheit. "Privacy" wird definiert als „the right to be left alone“, also als das Recht, in Ruhe gelassen zu werden. Im Vergleich zum Datenschutz deckt der Begriff ein weiteres Spektrum ab. „Privacy“ meint die „Selbstbestimmung des Einzelnen“, während „Datenschutz“ sich eher auf „informationelle Selbstbestimmung“ bezieht.^[18] Informationelle Selbstbestimmung heißt, dass der Kunde selbst entscheidet, ob seine Daten herausgegeben werden und er entscheidet auch nach der Herausgabe, ob seine Daten an Dritte weitergegeben werden dürfen oder nicht. Die Selbstbestimmung des Einzelnen bezieht sich nur auf die Herausgabe seiner Daten. Was Datenschutz und Privacy praktisch unterscheidet, wird durch folgende Beschreibung verständlich. Im angelsächsischen Raum beschäftigt man sich bei Privacy mit der grundsätzlichen Frage, ob überhaupt Daten erhoben werden dürfen oder nicht. In Deutschland wird der Betroffene gefragt, zu welchem Zweck sie nach Erhebung verwendet werden dürfen.^[19] Mit technischen Mittel kann in Zeiten des Internet die Privatheit nicht mehr gewährleistet werden, deswegen muss das über 30 Jahre alte Datenschutzgesetz neu - den Anforderungen entsprechend - angepasst werden.^[20]

[...]

^[1] Döhring 1996 S.7

^[2] http://www.cs.kau.se/IFIP-summerschool/preceedings/Zuccato.pdf

^[3] http://www.cs.kau.se/IFIP-summerschool/preceedings/Zuccato.pdf r=Risiko; p=Eintrittswahrscheinlichkeit; e=finanzielles Ausmaß(Schaden)

^[4] Meinecke 1997 S.29

^[5] Kratzheller 1996 S.12

^[6] Müller, W. 1993 S.10

^[7] Kratzhelller 1996 S.23

^[8] Haller 1991 S.168

^[9] Meinecke 1997 S.33

^[10] Bernstein 1996 S.3

^[11] stud4.tuwien.ac.at/~e0000012/ Skriptum%20Security%20Folien%202004%20PDF1

^[12] Wolf/Runzheimer 2001 S.82

^[13] Piaz 2002 S.21

^[14] Romeike/Finke 2003 S.15

^[15] vgl. Piaz 2001 S.24

^[16] Piaz 2001 S.25

^[17] Georg Müller-Christ 2001S.62

^[18] http://www.uni-kassel.de/fb10/oeff_recht/publikationen/pubOrdner/JTG_Selbstreg.pdf. von A.Roßnagel S.6

^[19] http://www.uni-kassel.de/fb10/oeff_recht/publikationen/pubOrdner/JTG_Selbstreg.pdf. von A.Roßnagel S.7

^[20] Müller/Eymann/Kreuzer 2003 S.388