Mehr behördliche Zusammenarbeit für mehr erwünschte Effekte bei der DSGVO

Illustration: Absmeier

Seit über zwei Jahren bietet die Datenschutzgrundverordnung einen globalen Rahmen für den Datenschutz. Allerdings wartet die DSGVO mit einigen Herausforderungen auf. Die sind zum einen mit den Erwartungen an die Verordnung verbunden, zum anderen sind sie im Gesetzgebungsprozess selbst verwurzelt. Praktisch mit Inkrafttreten der DSGVO haben wir Inkonsistenzen bei der Anwendung der Richtlinie beobachtet. Obwohl die weitaus meisten Unternehmen sicherlich angetreten sind, sie einzuhalten.

Anzeige

Am 25. Mai 2018 war ich mit meinen Kollegen auf einer Konferenz in Berlin. Der Stand von Synopsys gehörte zu einer deutlichen Minderheit unter den Ausstellern, denn wir haben nicht einfach wie üblich die Teilnehmer-Badges für Folgegespräche eingescannt, sondern haben die Datensammlung und den Verwendungszweck sichtbar als Text offengelegt und die Teilnehmer aktiv darauf aufmerksam gemacht. Die Datensammlung und deren Zweck gemäß den Anforderungen der DSGVO offenzulegen war ganz offensichtlich so ein Novum, dass andere Aussteller unsere Aktion für die eigenen Teams fotografiert haben. Zudem fungierte sie quasi als Kontrapunkt zu einer Welle von offengelegten Browser-Cookies und US-basierten Website-Betreibern, die sich beeilten, den Zugriff auf die Inhalte für Personen aus EU-Mitgliedstaaten einzuschränken. Am ersten Tag des Inkrafttretens der Verordnung rollte zusätzlich eine Beschwerdewelle gegen die Big-Tech-Giganten an. Offensichtlich ein Ausdruck von lange aufgestauten Forderungen nach mehr Transparenz bei der Erfassung und Verarbeitung von Verbraucherdaten.

Dieser Wunsch nach Transparenz und die damit verbundenen impliziten Einverständniserklärungen und Einwilligungsprozesse, haben die globale Datenschutzgesetzgebung in den letzten zwei Jahren angeheizt. Vom kalifornischen Verbraucherschutzgesetz (CCPA) über das brasilianische Allgemeine Datenschutzgesetz (LGPD) bis hin zum indischen Gesetz zum Schutz personenbezogener Daten. Regierungen nehmen, so sieht es aus, das Thema Datenschutz für ihre Bürger ernst. Gleichzeitig versuchen sie ihre Gesetzgebung zukunftssicher zu gestalten, weil Unternehmen hinsichtlich datengesteuerter Technologien ständig Neuerungen einführen.

Anzeige

Leider reagiert jede Gesetzgebung von Natur aus nur auf das Klima, in dem sie entsteht. Unternehmen sind agil, und ihr Datenhunger ist ein zweischneidiges Schwert. Einerseits schätzen Verbraucher den Wert datenbasierter Lösungen wie digitaler Assistenten, andererseits schützt die Unternehmensführung ihre Kunden nicht ausreichend vor einem potenziell datenschutzwidrigen Verhalten von Mitarbeitern. Dies ist genau das Problem, mit dem die deutsche nationale Datenschutzbehörde konfrontiert war, als sie eine einstweilige Verfügung gegen Google und die Praxis des Unternehmens erließ, die Ergebnisse aus dem »Google Voice Assistant« von Menschen überprüfen zu lassen.

Vor diesem Hintergrund betrachten wir, dass Datenschutzexperten jetzt weitreichende Bedenken hinsichtlich der unterschiedlichen Tracing-Apps zur Nachverfolgung von Covid-19-Kontakten äußern. Während der wissenschaftliche Nutzen und die Vorteile für die öffentliche Gesundheit zur Identifizierung von Personen, die mit Infizierten Kontakt hatten, unbestritten zu sein scheint, sollten Sicherheit und Implementierung einer bestimmten App zur Kontaktverfolgung gründlich überprüft werden. Die Verbraucher selbst sind jedenfalls schlecht gerüstet, um die vielschichtigen Sicherheitsherausforderungen zu überprüfen.

 

Darüber hinaus stellt sich die Frage, was wir in Zukunft mit dieser Art von erhobenen Daten tun wollen und wer Zugriff auf sie hat. Die bereits laufenden Diskussionen werden sich mit der technischen Entwicklung und Umsetzung eher noch intensivieren. Diese Entwicklung ist schon deswegen eine besondere Herausforderung, weil einzelne Länder beginnen, bestehende Reisebeschränkungen zu lockern. Eine bestimmte App zur Kontaktverfolgung kann etwa davon ausgehen, dass alle betroffenen Benutzer durch ein einziges nationales Gesundheitssystem abgesichert oder Teil eines bestimmten Versicherungssystems sind.

Anzeige

Tatsächlich bietet die Gesetzgebung zum digitalen Datenschutz eine statische Sicht auf die Erwartungen zur Datenerhebung und Weitergabe zum Zeitpunkt des Inkrafttretens und umfasst gleichzeitig die Fähigkeit der Gerichtsbarkeit, Verstöße zu verfolgen. Die Regulierungsfähigkeit wird dann zu einem Belastungstest hinsichtlich der gesellschaftlichen Auswirkungen der Gesetzgebung und nicht hinsichtlich der Höhe potenzieller Geldbußen. Aus diesem Grund ist der derzeitige Rückstau an Fällen in Irland so besorgniserregend. Zahlreiche multinationale Unternehmen haben Irland als EU-Standort für ihre Geschäftstätigkeit gewählt. Damit schafft die Open-Stop-Shop-Bestimmung der DSGVO ein erhebliches Ressourcenungleichgewicht zwischen dem irischen DPC und den juristischen Teams der von Irland aus operierenden Technologiegiganten.

Solche Ungleichgewichte können Entscheidungen verzögern. Wenn keine eindeutige Feststellung eines Verstoßes etwa in Form eines Präzedenzfalls vorliegt, werden die Unternehmen »wie gewohnt« weitermachen und davon ausgehen, auf der richtigen Seite des Gesetzes zu stehen. Mit dem wachsenden Datenhunger der Unternehmen, werden sich neuartige Verwendungsformen für erhobene Daten entwickeln. Verwendungsformen, die den Erwartungen der Verbraucher möglicherweise zuwiderlaufen, wenn sie in die Erhebung und Verarbeitung ihrer Daten einwilligen.

All das stellt die Zukunft der DSGVO und ihrer Äquivalente in Frage. Denn sowohl Verzögerungen bei der Durchsetzung der Anforderungen als auch neue Datennutzungsarten lassen außer Acht, dass die einzigen Daten, die jemals Gegenstand einer Sicherheitsverletzung geworden sind, Daten waren, die erhoben und gespeichert wurden, und dass Unternehmen, wenn sie Zugang zu Daten erhalten, Verwendungsformen dafür finden werden – häufig außerhalb des ursprünglichen Nutzungsumfangs. Damit die DSGVO und ihre Äquivalente den gewünschten Effekt haben, müssen Regulierungsbehörden und Unternehmen stärker zusammenarbeiten, Veränderungen im Geschäftsklima erkennen und angehen – bevor Verbraucher gezwungen sind Verstöße selbst anzumahnen.

Tim Mackey, Principal Security Strategist, Synopsys Cybersecurity Research Centre (CyRC)

 

963 Artikel zu „DSGVO“

Zwei Jahre DSGVO: Bitkom zieht Bilanz

Berg: »Corona zeigt: Unser bislang gut ausbalanciertes System an Freiheits- und Schutzrechten ist aus den Fugen geraten.« 8 von 10 Unternehmen sehen Datenschutz als größte Hürde für Einsatz neuer Technologien. Seit knapp zwei Jahren gilt die EU-Datenschutz-Grundverordnung. Unternehmen und Organisation haben dadurch u.a. erweiterte Informationspflichten, müssen Verarbeitungsverzeichnisse für Personendaten erstellen sowie Datenschutz schon in Produktionsprozessen…

Datenschutz – Zunehmende DSGVO-Geldbußen rücken »Privacy by Design« ins Interesse

Der Datenschutz hat sich seit der Einführung der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.   Die DSGVO gibt…

DSGVO: In der Public Cloud auch mit sensiblen Daten arbeiten

Unternehmen wissen: Softwarelösungen lassen sich in der Public Cloud schneller und flexibler realisieren, indem sie etwa auf die bestehenden Infrastruktur-Services von AWS aufsetzen. Ein Anbieter für Softwarelösungen hat dieses Potenzial an Geschwindigkeit und Flexibilität der Public Cloud erkannt und nach Wegen gesucht, wie Produkte und Angebote auch mit sensiblen Daten in der Public Cloud sicher…

Datenschutzkonformität: Schnell Klarheit zur EU DSGVO mit Self-Assessment

Ein neu entwickeltes, webbasiertes Self-Assessment von TÜV SÜD hilft Unternehmen bei der Einschätzung ihrer aktuellen Datenschutzkonformität gemäß der EU DSGVO. Die Online-Analyse wird ergänzt durch eine kostenlose Erstberatung und einen frei erhältlichen Praxisleitfaden, speziell für kleine und mittelständische Unternehmen (KMU). »Besonders kleine und mittelständische Unternehmen sind oft unsicher, ob sie die Anforderungen der mit Frist…

Schatten über der DSGVO: Welche Fragen der CLOUD Act für europäische Unternehmen aufwirft

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In der Praxis geraten damit zwei Rechtsauffassungen unvereinbar miteinander in Konflikt. Nicht nur für Cloudanbieter, sondern auch für Unternehmen, die Cloudanwendungen nutzen, könnte dies rechtliche Schwierigkeiten mit sich bringen. Anliegen des »Clarifying Lawful Overseas Use of Data« (CLOUD) Act ist es, die…

DSGVO steigert das Vertrauen der Mitarbeiter in die Datensicherheit – Datenschutz ist keine Einmalaufgabe

Seit Mai 2018 ist die DSGVO anzuwenden, um den Schutz der personenbezogenen Daten zu verbessern und die Privatsphäre der Menschen zu gewährleisten. Die Umsetzung der DSGVO zeitigt einen erheblichen Vertrauenszuwachs bei den Beschäftigten. Qualitätsorientierte Unternehmen streben eine Maximallösung an, um eine belastbare Datenverarbeitungsgrundlage für die Zukunft zu schaffen.

DSGVO-Verstöße bei beruflicher Smartphone-Nutzung an der Tagesordnung

Trotz DSGVO sind »Bring your own Device« (BYOD) und Privatnutzung von Diensthandys immer noch weit verbreitet. Eine everphone-Umfrage offenbart: 43 Prozent nutzen ihr privates Smartphone auch im Job [1]. Und das obwohl laut Bitkom bereits jeder fünfte Arbeitnehmer ein Geschäftshandy hat und Unternehmen heute überwiegend (65 Prozent) mobile Endgeräte zur Verfügung stellen. Andererseits werden Firmenhandys…

Ein Jahr DSGVO – interessante Fehltritte und empfindliche Strafen

Am 25. Mai 2018 trat mit der EU-Datenschutzgrundverordnung (EU-DSGVO) das bisher umfangreichste Datenschutzgesetz weltweit in Kraft. Nun fragen wir uns: Was hat sich seither getan? Hat uns die befürchtete Abmahnwelle überrollt? Oder haben wir es hier mit viel Lärm um nichts zu tun? Ein Jahr später lässt sich sagen: Die Wahrheit liegt, wie so oft,…

84 Prozent halten EU-DSGVO nicht für eine Verbesserung

Verbraucher sorgen sich dennoch um ihre persönlichen Daten. Unternehmen müssen für sichere und datenschutzkonforme Speicherung sorgen. SUSE, Anbieter von Enterprise Open Source-Lösungen, führte im April 2019 eine Google-Umfrage unter 2.000 erwachsenen Bundesbürgern durch, parallel dazu wurden auch Teilnehmer in Frankreich und dem Vereinigten Königreich befragt. Dabei zeigte sich, dass nur 16 Prozent der befragten Deutschen…

Ein Jahr DSGVO – mangelndes Wissen, viel zusätzliche Arbeit und dennoch Lücken

Ein Jahr lang ist die Datenschutzgrundverordnung (DSGVO) in Kraft und es bleibt noch viel zu tun. Erschreckend: Etwa ein Drittel der Führungskräfte (31 Prozent) weiß immer noch nicht, worum es in der DSGVO eigentlich geht. Zwei Prozent haben sogar noch nie davon gehört. Zu diesem Ergebnis kommt die aktuelle Business-Studie der Brabbler AG zu Messenger…

DSGVO: WhatsApp am Arbeitsplatz prominenter denn je – trotz hoher Aufwände

Seit dem 25. Mai 2018 ist die DSGVO jetzt in Kraft. Dem datenschutzrechtlich äußerst problematischen Einsatz von WhatsApp am Arbeitsplatz tut das aber keinen Abbruch – obwohl die Unternehmen viel Aufwand in die DSGVO stecken. Zu diesen Ergebnissen kommt eine aktuelle Studie der Brabbler AG. Nach 2018 hat der Spezialist für vertrauliche digitale Kommunikation Brabbler…

Ein Jahr EU-DSGVO: Umfrage: Noch großer Handlungsbedarf bei Umsetzung

Auch ein Jahr nach Ende der Übergangsfrist haben deutsche Unternehmen noch einiges zu tun, um die Anforderungen der Datenschutzgrundverordnung  (EU-DSGVO) vollständig zu erfüllen. Laut einer aktuellen Umfrage von TÜV SÜD sagt rund ein Drittel der Befragten, dass ihr Unternehmen die erforderlichen Maßnahmen nur teilweise (29 %) oder gar nicht (6 %) umgesetzt hat.   »Trotz…

DSGVO: Ein Jahr Datenschutzgrundverordnung

Fast 150.000 Anfragen und Beschwerden mit DSGVO-Bezug sind seit Mai 2018 bei Datenschutzbehörden in Europa aufgelaufen – davon rund 90.000 Benachrichtigung über Datenschutzverletzungen. Zum ersten Jahrestag der neuen europäischen Datenschutzvorschriften ziehen Andrus Ansip, Vizepräsident der Kommission und Kommissar für den digitalen Binnenmarkt‚ und Věra Jourová, Kommissarin für Justiz, Verbraucher und Gleichstellung, eine positive Bilanz: »Durch…

Ein Jahr EU-DSGVO: Herzlichen Glückwunsch! Aber was hat sich überhaupt geändert?

Wir zünden eine Geburtstagskerze an, bringen Licht ins Dunkle: Eine griffige Zusammenfassung der Änderungen und Konsequenzen der vor einem Jahr in Kraft getretenen Europäischen Datenschutzgrundverordnung sowie deren Bedeutung für alle Beteiligten [1]. Die Verantwortlichen – also jene, die die Datenschutzgrundverordnung anzuwenden haben – sollten inzwischen sicher sein, ihren Datenschutz rechtlich »in trockenen Tüchern« zu haben.…

Auswahl von Cloud-Anbietern und DSGVO: Fünf Tipps für klare Sicht in der Cloud

Die Nutzung von Cloudservices ist für viele Unternehmen eine betriebliche Notwendigkeit geworden. Werden personenbezogene Daten in die Cloud ausgelagert, gelten bei der Auswahl eines Cloudanbieters jedoch besondere Vorgaben durch die DSGVO. Um die Compliance-Vorgaben bestmöglich zu erfüllen, sollten Unternehmen einige wesentliche Punkte beachten. Für Cloudservices gilt das Modell der Shared Responsibility, das heißt, dass sowohl…

DSGVO: Steht Ihnen auch die Abmahnung bevor?

Rechtskonformes E-Mail-Marketing und Lead Management. Seit knapp einem Jahr ist die Datenschutzgrundverordnung (DSGVO) europaweit rechtskräftig. Jetzt drohen zahlreichen Unternehmen Abmahnungen und empfindliche Bußgelder, weil sie sich im Rahmen ihres E-Mail-Marketings und Lead Managements nicht an die datenschutzrechtlichen Vorgaben halten, so die Ergebnisse der E-Mail-Marketing-Benchmarks 2019 [1]. Laut der Studie arbeiten 18,3 Prozent der 5.037 befragten…

IT-Trends des Jahres 2019: DSGVO-Compliance, Privacy by Design, Multi-Faktor-Authentifizierung, BYOx-Security und Security-Automation

Studie: Digitalisierung ausbaufähig, intelligente Technologien im Kommen. Ihren Erfolg bei der Digitalisierung stufen Unternehmen in Deutschland, Österreich und der Schweiz wie im Vorjahr durchschnittlich als mittelmäßig ein [1]. Angesichts der großen Anstrengungen in diesem Bereich und der hohen Ausgaben für die Digitalisierung ist diese Bilanz ernüchternd. Als technologischer Trend zeigt sich, dass mehr als zwei…

Unternehmenswebsites im DSGVO-Dschungel

Warum eine automatisiert erstellte Datenschutzerklärung allein meist nicht ausreicht. Auch wenn die Datenschutzgrundverordnung, kurz DSGVO, bereits seit einigen Monaten gilt, existieren noch immer Unternehmenswebsites, die nicht den aktuellen Bestimmungen entsprechen. Um eine Website gesetzeskonform zu gestalten, reicht es nicht aus, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann auf der…