Illustration: Absmeier, Torsten Simon
Pünktlich zum Jubiläum des Inkrafttretens der DSGVO gibt es Neuigkeiten zum Thema Datenschutz: Die EU und USA haben sich auf einen neuen Rahmen für den transatlantischen Datenverkehr geeinigt, nachdem der Europäische Gerichtshof das Privacy Shield vor gut zwei Jahren gekippt hatte. Die neue Vereinbarung könnte Unternehmen bei Fragen des internationalen Datenschutzes und Datentransfers Rechtssicherheit geben, aber sollten sie darauf warten? Nein, meint Maximilian Modl, CEO bei Sendinblue Deutschland, denn Datenschutz darf man nicht aufschieben.
Zehn Jahre, nachdem die EU-Kommission eine grundlegende Reform des Datenschutzes vorgeschlagen hat, und vier Jahre, nachdem diese in Form der Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist, tun Unternehmen sich noch immer schwer damit, sie umfassend umzusetzen. Das gilt insbesondere für kleine und mittlere Unternehmen, denen dafür oft sowohl die erforderlichen Ressourcen – Zeit, Kapital, Personal – als auch das notwendige Wissen fehlen. Damit setzen sie sich allerdings einem großen Risiko aus, nicht nur, weil gravierende Verstöße mit Bußgeldern in Millionenhöhe geahndet werden können. Auch der Schaden durch einen etwaigen Vertrauensverlust bei Kunden und Kundinnen darf nicht unterschätzt werden.
Diese Gemengelage wurde durch das Ende des EU-US Privacy Shields im Jahr 2020 noch weiter verkompliziert. Für Unternehmen, die sich beispielsweise auf in den USA ansässige Dienstleister verlassen, sind durch das Urteil des EuGH Unsicherheiten entstanden: Welche Daten dürfen sie mit diesen teilen und in welcher Form? Und auch das neue Abkommen zwischen EU und den USA bietet hier nicht allzu viel Hoffnung, noch fehlen auf beiden Seiten die entsprechenden Rechtsgrundlagen und es sind weiter viele Fragen offen. Gleichzeitig haben Datenschutzaktivisten bereits Klagen angekündigt, das Abkommen könnte also auch wie sein Vorgänger (und dessen Vorgänger Safe Harbour) schnell wieder zu Fall gebracht werden.
Automatische DSGVO-Compliance spart Ressourcen
Was können Unternehmen also in dieser komplexen Situation tun? Die Antwort ist eigentlich gar nicht so schwer: Auf automatisierte Tools setzen, bei denen DSGVO-Compliance fester Bestandteil ist, um etwa die Nutzung von Daten zu überwachen und zugriffsberechtige Nutzer zu identifizieren. Je mehr Prozesse rund um das Identity- und Access-Management (IAM) automatisiert ablaufen, desto weniger besteht die Gefahr, dass Daten (versehentlich oder absichtlich) missbräuchlich genutzt werden. Dank Automatisierung brauchen Mitarbeitende damit auch keine tiefen Datenschutzkenntnisse, um einen sicheren Umgang mit Daten zu gewährleisten.
Wichtig bei der Wahl entsprechender Tools: Sie sollten Datenschutzzertifikate unabhängiger Dritter vorweisen. Unternehmen sind dann von der DSGVO betroffen, wenn sie personenbezogene Daten von EU-Bürgern erheben oder verarbeiten, ganz gleich in welchem Land das Unternehmen ansässig ist. Wer auf Nummer sicher gehen will, dass die DSGVO-Konformität richtig und vollständig im Produkt umgesetzt wurde, sollte deshalb lieber auf einen europäischen Anbieter setzen.
»Bei uns hat Datenschutz seit jeher oberste Priorität. Daher unterziehen wir uns externer Überprüfungen, optimieren und updaten unsere Plattform regelmäßig im Hinblick auf die DSGVO – zuletzt mit dem Umstieg auf First Party Cookies und der Implementierung von anonymem Tracking,« so Modl weiter.
Vier Jahre mit der EU-DSGVO – Ein Resümee
Illustration: Absmeier, Skylarvisio
Am 25. Mai 2016 trat die EU-DSGVO in Kraft und seit 2018 ist sie nun verbindlich umzusetzen. Die Corona-Pandemie der letzten beiden Jahre hat etliche Digitalisierungsprozesse massiv beschleunigt, allerdings auch neue Diskussionen um Cybersicherheit, Transparenz und Datenschutz ausgelöst. Unsere digitalen Ökosysteme entwickeln sich sehr schnell, und Gesetze und Regelungen müssen mitwachsen, um auf dem neuesten Stand der Technik Geltung zu bewahren. Laurent Strauss, Chief Cybersecurity Strategist von Micro Focus, äußert sich zum Stand der Cybersicherheit im Jahr 2022
Eine Sache der Verantwortung – was war und was ist
Richtlinien für Datenschutz waren mal mehr, mal weniger streng und umfassend – bis 2016 wurden europäische Länder nur einzeln betrachtet, mit entsprechend unterschiedlich strengen Auslegungen des Datenschutzes. Weltweit kann man immer noch große Unterschiede etwa zwischen China, den USA und Deutschland erkennen. Was hat sich nun mit der EU-DSGVO geändert? Kurz gesagt die Transparenz und Verlässlichkeit zum Umgang mit Daten in ganz Europa. Eine einheitliche Regelung für die gesamte europäische Union bedeutet mehr Verantwortungsbewusstsein bei Unternehmen sowie eine deutliche Sensibilisierung und steigendes Bedürfnis der Bevölkerung für diese Thematik.
Moderne Technologie: Nicht Problem, sondern Lösung
Mit der umfassenderen Einführung von Remote Work in den letzten zwei Jahren, einer wachsenden Anzahl von IoT-Geräten und damit immer komplexeren IT-Landschaften steigt auch die Anzahl möglicher Bedrohungsszenarien an. Security Operations Center (SOCs) haben alle Hände voll zu tun und holen sich immer mehr Hilfe von KI-Technologien, die im Idealfall bereits praxiserprobt sind. Dazu gehören unter anderem statistisches Lernen, Anomalie-Erkennung und Natural Language Processing (NLP). Aktuelle und neu entstehende Vorschriften verschiedener Staaten in Bezug auf ethische und verantwortungsvolle KI (z. B. China, EU, Kanada) werden sich auch auf Cybersicherheitssysteme auswirken und Anbieter zu mehr Transparenz zwingen. Dies wird auch Zertifizierungsdiskussionen auslösen, da die Cybersicherheitsbranche sich bemüht, auch unterschiedliche regionale Vorschriften einzuhalten.
Datenschutzbedenken treiben Wandel voran
Datenschutzbestimmungen, die lediglich ein staatliches Instrument sind, um zu kontrollieren, wie Unternehmen mit personenbezogenen Daten umgehen, reichen nicht mehr aus. Verärgerte Social-Media-Nutzer, die mehr Sensibilität fordern, könnten letztendlich Dreh- und Angelpunkt für eine positive Veränderung sein. Fragen im Zusammenhang mit dem Schutz der Privatsphäre und dem Vertrauen werden in den Vordergrund rücken und Unternehmen dazu ermutigen, sich auf den Datenschutz zu konzentrieren, anstatt weiterhin personenbezogene Daten zu nutzen und darauf zu warten, dass Regierungen handeln. Auch die EU-DSGVO ist nur ein gesetzlicher Rahmen, der immer wieder aktualisiert wird. Um das Vertrauen ihrer Nutzer zu stärken, müssen Anbieter selbst aktiv werden und die Regularien voll ausschöpfen, um ein maximales Maß an Sicherheit zu bieten.
Was die Zukunft braucht
Es gibt öffentliche Stimmen, die sagen, der Datenschutz sei zu streng und realitätsfern. Sich vor einer nicht greifbaren, zukünftigen Bedrohung zu schützen, die noch keinen Schaden angerichtet hat, ist ein recht diffuses Szenario. Weiterhin mindere er geschäftlichen Erfolg – die Wahrheit ist jedoch eine ganz andere. Der Datenschutz schützt nicht anonymisierte, willkürliche Daten, sondern solche, die sich auf echte Menschen beziehen und von echten Menschen stammen. Der Schutz von digitalen Daten dient dem Schutz der eigenen, ganz persönlichen Privatsphäre. Besonders in Krisenzeiten und Ausnahmesituationen darf der Datenschutz also nicht zu kurz kommen – er dient als essenzieller Regulator und Schutzschirm der Bevölkerung, zu der jeder einzelne Mensch zählt. Denn Vertrauen in sichere Lösungen ist die wichtigste Basis in unserem Jahrhundert des digitalen Lebens – Vertrauen in den sicheren Umgang mit den