Was das Facebook-Debakel lehren kann

Während ich dies schreibe, ist der CEO und Gründer von Facebook, Mark Zuckerberg, in Washington und bereitet sich darauf vor, vor einer gemeinsamen Sitzung der Komitees für Justiz und Handel des Senats am 10. April und des Komitees für Energie und Handel des Hauses am 11. April auszusagen. Die Komitees untersuchen beide Nutzung von Facebook zur Beeinträchtigung der Präsidentschaftswahlen 2016 und Verlust von 87 Millionen Facebook-Profilen an Cambridge Analytica. Das Zeugnis von Zuckerberg ist auch ein guter Wegweiser, was beim Schutz Ihrer Daten zu tun ist, insbesondere wenn Sie wissen, dass etwas schief gelaufen ist.

Sie sind zumindest ein wenig mit den aktuellen Debakeldetails von Facebook vertraut, schon weil es unmöglich ist, sich dem 24-Stunden-Nachrichtenzyklus zu entziehen, in dem Facebook eine Schlüsselrolle spielt. Dabei geht es jedoch um Lektionen, mit denen IT-Manager ihre eigenen Daten, ihr Unternehmen und sich selbst schützen können. Schließlich ist es schon schlimm genug, Ihre von ausländischen Data Minern entführten Daten zu finden, aber es ist mit Sicherheit eine Karrierebeschränkung, wenn Sie festgestellt haben, dass Sie sich schlecht benommen haben, nachdem Sie dies herausgefunden haben.

Schützen Sie Ihre Daten… und Ihre Anatomie

Leider allein reicht das Zeugnis von Zuckerberg nicht aus. Zum einen, weil es wenig Details gibt, und zum anderen, weil es weitgehend eigennützig ist. Er versucht immerhin, wichtige Teile seiner Anatomie zu retten, die sehr auf dem Hackklotz liegen. Vor diesem Hintergrund finden Sie hier einige grundlegende Ideen, an die Sie sich erinnern sollten, wenn Sie sich mit Ihrer Marketing- und Rechtsabteilung über öffentlich zugängliche digitale Assets befassen.

Übernehmen Sie dieses Mantra: Persönliche Daten sind von entscheidender Bedeutung. Egal, ob es sich um ein Back-End-System wie eine Marketing Automation Suite oder ein Front-End-Instrument für Kunden wie eine E-Mail-Marketingkampagne handelt - alle erfassten Daten müssen nach denselben strengen Richtlinien geschützt werden. Es spielt auch keine Rolle, ob Ihre Kunden, Ihre Mitarbeiter oder Ihre Benutzer Ihnen die Erlaubnis gegeben haben, es zu verwenden. Sie müssen es schützen, als wären es die wichtigsten Daten der Welt. Wie Sie sehen, wird jemand hinter Ihnen her sein, wenn die Daten missbraucht werden. Höchstwahrscheinlich viele, und sie werden nicht an Barmherzigkeit interessiert sein.

Gib das Geld nicht weiter. Das hat in Nürnberg nicht geklappt und hier auch nicht. Wenn Sie angewiesen werden, große Erfassungsmodule für Verbraucher-, Partner- oder andere Versionen von Fremddaten zu erstellen, behandeln Sie das Projekt so, als wären Sie letztendlich derjenige, der die Verantwortung trägt. In vielen Fällen spielt es keine Rolle, wessen Name auf den E-Mail-Memos steht. Das bedeutet, den Prozess in Frage zu stellen, Best Practices für die Zugriffskontrolle einzuführen und nicht nur sicherzustellen, dass es einen Zugriffsprüfpfad gibt, sondern diesen auch regelmäßig zu verfolgen. Wie mindestens einmal im Quartal.

Wenn du etwas siehst, sag Bescheid

Datenschutz, der über personenbezogene Daten hinausgeht, ist ebenfalls wichtig. Sie haben kein Geschäft damit, Ihre Kunden ohne rechtliche Notwendigkeit auszuspionieren. Wenn Sie also von jemandem im Obergeschoss dazu aufgefordert werden, stellen Sie sicher, dass Sie dies hinterfragen und gegebenenfalls ablehnen. Und obwohl die meisten IT-Experten mit Sicherheit wissen, dass sie Infrastrukturen und Einrichtungen so verwalten müssen, dass sie auf illegale Aktivitäten oder auch nur Aktivitäten achten, die gegen hausinterne Nutzungsrichtlinien verstoßen, wissen viele nicht, dass es ihre Verantwortung ist, dies offenzulegen. Nichts zu sagen ist das gleiche wie mitschuldig zu sein. Kennen Sie die gesetzlichen Grenzen der Überwachung und stellen Sie sicher, dass Ihr Unternehmen diese einhält.

Kunden zu folgen, wenn Sie dies nicht mehr benötigen, ist ebenfalls eine negative Praxis und für jeden, mit dem Ihr Unternehmen online interagiert, unfair. Als Uber beschloss, die App eingeschaltet zu lassen, um herauszufinden, wohin ihre Kunden gingen, nachdem sie abgesetzt wurden, war dies ein großer Vertrauensverstoß, der zu Recht einen ebenso großen Aufschrei auslöste. In Ubers Fall wurde dies in den Nutzungsbedingungen nicht erwähnt, aber wie in so vielen Fällen, in denen das Unternehmen seine Position missbrauchte, tat es dies nicht aus dem Grund, sondern um die Neugier seines damaligen CEO zu befriedigen. Sagen Sie etwas, wenn Sie solche Verstöße bemerken.

Dinge sprengen nie vorbei

Wenn es schlecht läuft, behalte es nicht geheim. Wenn Sie eine Datenschutzverletzung hatten, werden Sie wahrscheinlich zumindest von Anfang an unter Druck geraten, diese geheim zu halten. Tun Sie sich selbst einen Gefallen und weisen Sie so schnell wie möglich darauf hin, dass dies keine gute Idee ist. Sehen Sie sich das Beispiel von Panera Bread an, das seinen massiven Verstoß ignorierte und monatelang Daten zur Verfügung stellte. Korrigieren Sie es stattdessen so schnell wie möglich und kennen Sie Ihre lokalen gesetzlichen Verpflichtungen, wenn Sie die Behörden benachrichtigen. Wenn Sie aufgefordert werden, diese Verpflichtungen zu verletzen, wenden Sie sich an Ihre Rechtsabteilung. Wenn es Zeit ist, es allen mitzuteilen, wird das Marketing zweifellos verstärkt, aber wenn es Ihnen überlassen bleibt, seien Sie offen und lassen Sie alle Betroffenen so schnell wie möglich wissen, was passiert ist.

Warten Sie nicht und hoffen Sie, dass das Problem vorbei ist. Die Führungskräfte von Facebook warteten jahrelang, selbst nachdem sie intern von Cambridge Analytica gewusst hatten und selbst nachdem die Nachricht bekannt wurde, dass 87 Millionen Profile kompromittiert worden waren. Die Leute verstehen, dass Verstöße vorkommen, aber sie verstehen nicht, wenn Sie das Problem nicht beheben. Und sie werden nach deinen Lieblingskörperteilen suchen, wenn sie herausfinden, dass du davon wusstest und nichts getan hast. Ein großer Grund, warum Zuckerberg jetzt so viel Hölle durchmacht, ist, dass die Crew in seinem Führungsteam ihm geraten hat, zu warten, in der Hoffnung, dass sich das Problem von selbst bessert. Universelle Wahrheit: Es wird von alleine nie besser.

Wie es passiert, hat Facebook einige Dinge richtig gemacht, aber ich wette, Sie haben keine Ahnung, was sie waren. Der Grund? Die Probleme, die sie verursachten, summierten sich auf alles andere. Für die Aufzeichnung, was sie richtig taten, beinhaltete, die IRA rauszuschmeißen und russische gefälschte Nachrichtenseiten zu schließen; Aber am Ende interessiert es niemanden, was Facebook richtig gemacht hat, weil die Leute nur ihren eigenen Schmerz sehen können, und das wurde von Facebook verursacht. Facebooks Umgang mit diesen Problemen steht ganz oben auf der Liste der schlechten Beispiele, aber es hat nicht mit dem Senior-Führungsteam begonnen und aufgehört. Diese Probleme sind auf systembedingte Missbräuche zurückzuführen, die mehrere Abteilungen betrafen, darunter Marketing, Recht und natürlich auch IT und Entwicklung. Es sieht so aus, als würde Mark den größten Teil der Hitze vertragen, aber das ist nur für den Moment. Diese Probleme könnten leicht die Nahrungskette von Führungskräften bei Facebook herunterrutschen, und wenn solche Missbräuche in Ihrem Unternehmen vorkommen, ist nicht abzusehen, wo die Auswirkungen beginnen oder enden könnten. Tun Sie sich selbst und Ihrer Organisation auf lange Sicht einen Gefallen und informieren Sie sich über Datenschutzverletzungen und Missbräuche, bevor diese Probleme auf Ihren Schreibtisch zurückkehren.