Am 25. Mai 2018 trat die DSGVO in Kraft und schuf damit die erste solide Grundlage für umfassende Datenschutz in der EU.
Die neue Verordnung schafft einheitliche Datenschutzregeln für eine einheitliche Einhaltung in ganz Europa. Jeder, der in Europa geschäftlich tätig ist, unterliegt der DSGVO, ebenso wie jeder, der wissentlich die Daten europäischer Bürger verarbeitet.
Vorteile und Herausforderungen
In den letzten zwei Jahren zwang die DSGVO Unternehmen innerhalb und außerhalb Europas dazu, ihren Umgang mit Daten völlig zu überdenken. Sowohl datenschutzbewusste Unternehmen als auch solche, die den Kopf in den Sand stecken, mussten aufwachen und darauf achten, wie sie wertvolle Daten sammeln, weitergeben, verwenden und entsorgen.
Der neue Fokus auf den Datenschutz beeinflusste Budgets, Rollen und Kommunikation. Als Reaktion auf die DSGVO stellten viele Organisationen Datenschutzbeauftragte und Datenschutzbeauftragte Zum ersten Mal mussten Berichtsstandards eingehalten, die Einhaltung gesetzlicher Vorschriften sichergestellt und der Umgang mit Daten operationalisiert werden. Unternehmen, die Daten sammelten oder kontrollierten („Verantwortliche“), mussten aktive Gespräche führen und Verträge mit den Unternehmen abschließen, die ihre Daten verarbeiteten („Auftragsverarbeiter“).
Die neuen Bestimmungen haben außerdem das öffentliche Bewusstsein für die Datenschutzrechte von Einzelpersonen gestärkt und die betroffenen Personen dazu ermutigt, Organisationen für die ordnungsgemäße Erfassung und Verwaltung ihrer Daten zur Verantwortung zu ziehen.
Das Problem ist, dass die Verantwortung, die Kontrolle über die eigenen Daten zu übernehmen, beim „betroffenen“ oder Endnutzer liegt. Die DSGVO stützt sich stark auf ZustimmungUnd obwohl die DSGVO das Recht auf Widerruf der Einwilligung vorsieht, reicht dies möglicherweise nicht aus, um den betroffenen Personen – den Menschen, die den größten Schutz benötigen – eine wirkliche und sinnvolle Kontrolle über die Verarbeitung ihrer Daten zu geben.
Die Tatsache, dass die DSGVO erfordert Datenschutz-Selbstmanagement ist ein heiß diskutiertes Thema. Professor Daniel Solove sagt: „Die Einwilligung legitimiert nahezu jede Form der Erhebung, Nutzung oder Offenlegung personenbezogener Daten.“ Wenn die Einwilligung also nicht richtig verstanden wird und diese zusätzlichen Rechte nicht angemessen gehandhabt werden, sind die betroffenen Personen möglicherweise nicht viel besser dran als vor der DSGVO.
Ein interessengruppenübergreifender Ansatz
Die erfolgreiche Einhaltung der DSGVO erfordert einen interessengruppenübergreifenden Ansatz, der die Kommunikation und Zusammenarbeit zwischen den Teams für Datenschutz, Sicherheit und Governance sowie der Rechts-, IT- und Marketingabteilung und allen Abteilungen umfasst, die an der Verarbeitung personenbezogener Daten beteiligt sind.
Viele Unternehmen haben vollständig operationalisierte Programme eingerichtet, um sicherzustellen, dass einzige Wahrheit hinter ihren Daten damit es genau, qualitativ hochwertig und sicher ist und im Falle eines Datenschutzverletzung.
Ein wichtiger Erfolgsfaktor ist die Fähigkeit, zeitnah auf Anfragen betroffener Personen zu reagieren und das Interesse der Aufsichtsbehörden zu vermeiden. Dazu benötigen Unternehmen einen klaren Überblick über die von ihnen verarbeiteten Daten, deren Zuordnung, eine Möglichkeit, diese Anfragen zu erfüllen, und jemanden, der die Entscheidungsfindung in Bezug auf die Daten übernimmt.
Zwar sind Beschwerden und Untersuchungen unvermeidlich, doch Organisationen, die nachweisen können, dass sie sich an die Absicht des Gesetzes gehalten haben, sind sowohl bei den Vollstreckungsbehörden als auch in der öffentlichen Wahrnehmung in einer besseren Position.
Ein weitreichender Einfluss
Die DSGVO hat sich als Vorreiter erwiesen und ist Vorreiter bei der Entwicklung von Gesetzen zum Schutz der Privatsphäre und personenbezogener Daten auch außerhalb der EU.
Brasilien beispielsweise hat sich direkt an der DSGVO orientiert und seine eigene umfassende Datenschutzverordnung formuliert (LGPD) und nutzt sogar ähnliche Bestimmungen – wie etwa die Terminologie „personenbezogene Daten“, Anforderungen der Extraterritorialität und mehrere Rechte, die betroffene Personen geltend machen können.
Der kalifornische Verbraucherdatenschutzgesetz (CCPA) nahm eine etwas anderer Ansatz, sondern bietet auch „Verbraucherrechte“ für kalifornische Bürger. Wenn die neue Volksinitiative für den California Privacy Rights Act oder CPRA, in Kraft tritt, dann wird das kalifornische Gesetz hinsichtlich der Anforderungen, Pflichten und Strafen bei Nichteinhaltung für Unternehmen, die Daten kalifornischer Verbraucher verarbeiten, über die DSGVO hinausgehen.
Auch die nächste Phase der EU-Datenschutzbestimmungen ist in Vorbereitung. Obwohl es aufgrund der COVID-19-Pandemie zu Verzögerungen kam, wird die Europäische Kommission (EK) ihre Überprüfung durchführen und über die Umsetzung der DSGVO berichten. Experten weisen bereits auf eine Reihe von Redaktionelle Mängel für die EG zu berücksichtigen.
In den USA gibt es eine Reihe staatlicher Datenschutzgesetze und wohlmeinende Diskussionen über bundesweite Datenschutzgesetze, die zunehmend an Bedeutung gewinnen. Weltweit werden wir wahrscheinlich immer mehr Länder erleben, die in Sachen Datenschutz aus dem Häuschen kommen. Indien, China, Australien, Japan, Südafrika und die Türkei sind einige Länder, die bereits entsprechende Gesetze haben oder kurz vor dem Inkrafttreten stehen.
Und obwohl niemand eine Kristallkugel hat, wäre es ideal, wenn sich mehrere Interessengruppen gemeinsam darum bemühen würden, eine umfassende Datenschutzregelung für den gesamten Globus zu schaffen, um die Datenverarbeitung auf einer harmonisierteren, einheitlicheren und geschützteren Grundlage zu gewährleisten.