Illustration: Absmeier

Seit über zwei Jahren bietet die Datenschutzgrundverordnung einen globalen Rahmen für den Datenschutz. Allerdings wartet die DSGVO mit einigen Herausforderungen auf. Die sind zum einen mit den Erwartungen an die Verordnung verbunden, zum anderen sind sie im Gesetzgebungsprozess selbst verwurzelt. Praktisch mit Inkrafttreten der DSGVO haben wir Inkonsistenzen bei der Anwendung der Richtlinie beobachtet. Obwohl die weitaus meisten Unternehmen sicherlich angetreten sind, sie einzuhalten.

Am 25. Mai 2018 war ich mit meinen Kollegen auf einer Konferenz in Berlin. Der Stand von Synopsys gehörte zu einer deutlichen Minderheit unter den Ausstellern, denn wir haben nicht einfach wie üblich die Teilnehmer-Badges für Folgegespräche eingescannt, sondern haben die Datensammlung und den Verwendungszweck sichtbar als Text offengelegt und die Teilnehmer aktiv darauf aufmerksam gemacht. Die Datensammlung und deren Zweck gemäß den Anforderungen der DSGVO offenzulegen war ganz offensichtlich so ein Novum, dass andere Aussteller unsere Aktion für die eigenen Teams fotografiert haben. Zudem fungierte sie quasi als Kontrapunkt zu einer Welle von offengelegten Browser-Cookies und US-basierten Website-Betreibern, die sich beeilten, den Zugriff auf die Inhalte für Personen aus EU-Mitgliedstaaten einzuschränken. Am ersten Tag des Inkrafttretens der Verordnung rollte zusätzlich eine Beschwerdewelle gegen die Big-Tech-Giganten an. Offensichtlich ein Ausdruck von lange aufgestauten Forderungen nach mehr Transparenz bei der Erfassung und Verarbeitung von Verbraucherdaten.

Dieser Wunsch nach Transparenz und die damit verbundenen impliziten Einverständniserklärungen und Einwilligungsprozesse, haben die globale Datenschutzgesetzgebung in den letzten zwei Jahren angeheizt. Vom kalifornischen Verbraucherschutzgesetz (CCPA) über das brasilianische Allgemeine Datenschutzgesetz (LGPD) bis hin zum indischen Gesetz zum Schutz personenbezogener Daten. Regierungen nehmen, so sieht es aus, das Thema Datenschutz für ihre Bürger ernst. Gleichzeitig versuchen sie ihre Gesetzgebung zukunftssicher zu gestalten, weil Unternehmen hinsichtlich datengesteuerter Technologien ständig Neuerungen einführen.

Leider reagiert jede Gesetzgebung von Natur aus nur auf das Klima, in dem sie entsteht. Unternehmen sind agil, und ihr Datenhunger ist ein zweischneidiges Schwert. Einerseits schätzen Verbraucher den Wert datenbasierter Lösungen wie digitaler Assistenten, andererseits schützt die Unternehmensführung ihre Kunden nicht ausreichend vor einem potenziell datenschutzwidrigen Verhalten von Mitarbeitern. Dies ist genau das Problem, mit dem die deutsche nationale Datenschutzbehörde konfrontiert war, als sie eine einstweilige Verfügung gegen Google und die Praxis des Unternehmens erließ, die Ergebnisse aus dem »Google Voice Assistant« von Menschen überprüfen zu lassen.

Vor diesem Hintergrund betrachten wir, dass Datenschutzexperten jetzt weitreichende Bedenken hinsichtlich der unterschiedlichen Tracing-Apps zur Nachverfolgung von Covid-19-Kontakten äußern. Während der wissenschaftliche Nutzen und die Vorteile für die öffentliche Gesundheit zur Identifizierung von Personen, die mit Infizierten Kontakt hatten, unbestritten zu sein scheint, sollten Sicherheit und Implementierung einer bestimmten App zur Kontaktverfolgung gründlich überprüft werden. Die Verbraucher selbst sind jedenfalls schlecht gerüstet, um die vielschichtigen Sicherheitsherausforderungen zu überprüfen.

Darüber hinaus stellt sich die Frage, was wir in Zukunft mit dieser Art von erhobenen Daten tun wollen und wer Zugriff auf sie hat. Die bereits laufenden Diskussionen werden sich mit der technischen Entwicklung und Umsetzung eher noch intensivieren. Diese Entwicklung ist schon deswegen eine besondere Herausforderung, weil einzelne Länder beginnen, bestehende Reisebeschränkungen zu lockern. Eine bestimmte App zur Kontaktverfolgung kann etwa davon ausgehen, dass alle betroffenen Benutzer durch ein einziges nationales Gesundheitssystem abgesichert oder Teil eines bestimmten Versicherungssystems sind.

Tatsächlich bietet die Gesetzgebung zum digitalen Datenschutz eine statische Sicht auf die Erwartungen zur Datenerhebung und Weitergabe zum Zeitpunkt des Inkrafttretens und umfasst gleichzeitig die Fähigkeit der Gerichtsbarkeit, Verstöße zu verfolgen. Die Regulierungsfähigkeit wird dann zu einem Belastungstest hinsichtlich der gesellschaftlichen Auswirkungen der Gesetzgebung und nicht hinsichtlich der Höhe potenzieller Geldbußen. Aus diesem Grund ist der derzeitige Rückstau an Fällen in Irland so besorgniserregend. Zahlreiche multinationale Unternehmen haben Irland als EU-Standort für ihre Geschäftstätigkeit gewählt. Damit schafft die Open-Stop-Shop-Bestimmung der DSGVO ein erhebliches Ressourcenungleichgewicht zwischen dem irischen DPC und den juristischen Teams der von Irland aus operierenden Technologiegiganten.

Solche Ungleichgewichte können Entscheidungen verzögern. Wenn keine eindeutige Feststellung eines Verstoßes etwa in Form eines Präzedenzfalls vorliegt, werden die Unternehmen »wie gewohnt« weitermachen und davon ausgehen, auf der richtigen Seite des Gesetzes zu stehen. Mit dem wachsenden Datenhunger der Unternehmen, werden sich neuartige Verwendungsformen für erhobene Daten entwickeln. Verwendungsformen, die den Erwartungen der Verbraucher möglicherweise zuwiderlaufen, wenn sie in die Erhebung und Verarbeitung ihrer Daten einwilligen.

All das stellt die Zukunft der DSGVO und ihrer Äquivalente in Frage. Denn sowohl Verzögerungen bei der Durchsetzung der Anforderungen als auch neue Datennutzungsarten lassen außer Acht, dass die einzigen Daten, die jemals Gegenstand einer Sicherheitsverletzung geworden sind, Daten waren, die erhoben und gespeichert wurden, und dass Unternehmen, wenn sie Zugang zu Daten erhalten, Verwendungsformen dafür finden werden – häufig außerhalb des ursprünglichen Nutzungsumfangs. Damit die DSGVO und ihre Äquivalente den gewünschten Effekt haben, müssen Regulierungsbehörden und Unternehmen stärker zusammenarbeiten, Veränderungen im Geschäftsklima erkennen und angehen – bevor Verbraucher gezwungen sind Verstöße selbst anzumahnen.

Tim Mackey, Principal Security Strategist, Synopsys Cybersecurity Research Centre (CyRC)

963 Artikel zu „DSGVO“

TRENDS 2020 | TRENDS WIRTSCHAFT | NEWS | BUSINESS | IT-SECURITY | KOMMENTAR

Zwei Jahre DSGVO: Bitkom zieht Bilanz

23. Mai 2020

Berg: »Corona zeigt: Unser bislang gut ausbalanciertes System an Freiheits- und Schutzrechten ist aus den Fugen geraten.« 8 von 10 Unternehmen sehen Datenschutz als größte Hürde für Einsatz neuer Technologien. Seit knapp zwei Jahren gilt die EU-Datenschutz-Grundverordnung. Unternehmen und Organisation haben dadurch u.a. erweiterte Informationspflichten, müssen Verarbeitungsverzeichnisse für Personendaten erstellen sowie Datenschutz schon in Produktionsprozessen…