In der Welt des Datenschutzes hat die Datenschutz-Grundverordnung der Europäischen Union für Schlagzeilen gesorgt. Als wegweisendes Gesetz hat die EU GDPR Dies gilt für jedes Unternehmen oder jede Organisation, die Daten von EU-Bürgern speichert oder verarbeitet. Es ist jedoch bei weitem nicht das einzige Problem, mit dem sich globale Organisationen derzeit auseinandersetzen müssen. US-Regulierungsbehörden wie die FCC und die FTC verstärken ihre Bemühungen zur Regulierung der digitalen Identität, während in Kanada, Australien, Singapur und Russland die Datenschutzanforderungen verschärft werden – und zunehmend an Biss gewinnen. Während in den USA Bundesbehörden wie die FTC, die FCC und sogar sektorale Regulierungsbehörden wie die SEC, die CFPB und die FINRA bei der Durchsetzung des Datenschutzes wachsamer geworden sind, werden auch einzelne Bundesstaaten proaktiver, wenn es um den Schutz von Privatsphäre und Verbraucherdaten geht. Jüngstes Beispiel ist die Ausweitung der Meldepflichten für Datenschutzverletzungen in Florida gemäß FIPA (Der Florida Information Protection Act) Dieses Gesetz schreibt nun vor, dass im Falle eines Verstoßes der Generalstaatsanwalt des jeweiligen Bundesstaates benachrichtigt werden muss und dass die betroffenen Organisationen sich mit den örtlichen Strafverfolgungsbehörden beraten müssen.
Global, rund 65 Länder Viele Länder – darunter China und Brasilien – haben im letzten Jahr neue Datenschutzgesetze verabschiedet oder stehen kurz davor. Der Grund für die zunehmende Bedeutung von Datenschutz und -sicherheit liegt in der zunehmenden Beunruhigung der Verbraucher über die Auswirkungen digitaler Geschäftsmodelle auf ihre Daten – verstärkt durch anhaltende Datenschutzverletzungen zur Erlangung personenbezogener Daten. Regulierungsbehörden und Gesetzgeber weltweit intensivieren ihre Bemühungen, die Anforderungen an die Erhebung, Speicherung, Verarbeitung und Weitergabe von Verbraucher- und Kundendaten zu konkretisieren.
Die Kosten der Fahrlässigkeit
Unabhängig von der Gerichtsbarkeit oder dem Ausgangspunkt der Regulierungsbehörden besteht ein gemeinsamer Punkt darin, dass Unternehmen Verantwortung und Transparenz bei der Speicherung, Verarbeitung und Übertragung privater Daten zeigen und als Verwalter persönlicher und privater Daten agieren müssen. Neben klaren Absichtserklärungen zur Datenerhebung und der Einwilligung von Verbrauchern und Kunden müssen Unternehmen eine Datenschutzrichtlinie bereitstellen.
Die Einzelheiten der Gesetzgebung – ob im Hinblick auf Verbraucherrechte Wie das Recht auf Vergessenwerden, die Anforderungen an die Datenspeicherung oder die Notwendigkeit von Datenschutzbeauftragten – können je nach Rechtsraum stark variieren, ebenso wie die Möglichkeit, die Gesetze oder Vorschriften tatsächlich durchzusetzen und Strafen zu verhängen. Obwohl die Höhe der Bußgelder und Strafen von Land zu Land unterschiedlich ist, ist gemeinsam, dass die Strafen höher sind und die Aufsichtsbehörden sie immer häufiger anwenden.
In diesem Zusammenhang stellt die EU-DSGVO die bedeutendste Änderung für den Datenschutz im digitalen Zeitalter dar, und zwar nicht nur aufgrund der technischen Anforderungen oder der unter bestimmten Umständen erforderlichen Stellen für Datenschutzbeauftragte. Vielmehr geht es um die Höhe der Strafen für Verstöße und die erklärte Bereitschaft der Regulierungsbehörden, bei Inkrafttreten der Vorschriften Geldbußen von bis zu 41 Milliarden Euro des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres zu verhängen.
Neben expliziteren Anforderungen an ihre Verantwortung in verschiedenen Rechtsräumen müssen Unternehmen auch die erweiterte Definition personenbezogener Daten einhalten – seien es biometrische Daten im Fall der EU-DSGVO oder MAC-Adressen oder Cookie-IDs im Fall der neuen Datenschutzbestimmungen der US-amerikanischen FCC. Die singapurische Datenschutzkommission argumentierte in ihren jüngsten Durchsetzungsentscheidungen, dass der Kontext entscheidend sei: Verstöße gegen Datenschutzbestimmungen, wenn es sich um „sensible finanzielle Daten“ handelt, würden eher zu Geldstrafen führen. Von Unternehmen, die die neuen Datenschutzbestimmungen einhalten wollen, wird daher zunehmend erwartet, dass sie alle personenbezogenen Daten präzise und in großem Umfang finden können.
Es geht um gemeinsame Prinzipien
Sicherlich werden sich viele Vorschriften und Anforderungen mit der Verabschiedung stärker an die Bestimmungen der DSGVO annähern, und die zugrundeliegenden Grundsätze werden zu einem Vergleichspunkt. Es ist jedoch wichtig zu verstehen, dass es weiterhin unterschiedliche Ansätze geben wird. So verfolgt die EU-DSGVO beispielsweise einen umfassenden Ansatz, insbesondere im Vergleich zu den USA, wo ein deutlich stärkerer sektoraler Fokus unter der Leitung der Branchenregulierungsbehörden im Vordergrund steht. Ein klares Beispiel hierfür ist der aktuelle Streit zwischen FCC und FTC um die Definition des digitalen Datenschutzes.
Auch wenn es in den USA derzeit keine allgemeine Datenschutzgesetzgebung auf Bundesebene gibt, die im weitesten Sinne für den privaten Sektor gilt, Unternehmen[1] Viele Bundesstaaten, darunter Kalifornien, Massachusetts und Florida, haben Gesetze zum Schutz der Verbraucherdaten erlassen. Der Gesetzgeber des Bundesstaates New York befasst sich derzeit mit einem Gesetzentwurf für ein Gesetz zum Schutz der Online-Privatsphäre und zur Internetsicherheit. Dieser sieht die Einrichtung einer Gruppe für Datenschutzverletzungen vor, zu der der Generalstaatsanwalt, Staatsbeamte, der CIO und der Heimatschutzbeauftragte gehören sollen.
In Australien haben Regulierungsbehörden und Gesetzgeber gemeinsam mit Unternehmen selbstregulierende Rahmenbedingungen und Standards definiert, um einen verantwortungsvollen Schutz der Privatsphäre der Verbraucher zu gewährleisten. Das Ergebnis: Die bundesweiten Datenschutzgrundsätze konzentrieren sich stärker auf die praktischen Auswirkungen auf die Umsetzung von Datenschutzrichtlinien und -schutzmaßnahmen. Im Gegensatz dazu legt Kanadas PIPEDA (Personal Information Protection and Electronic Documents Act) den Schwerpunkt auf operative Grundsätze und orientiert sich stärker am umfassenden Ansatz der EU zum Schutz der Privatsphäre der Bürger.
Das Datenschutzgesetz gilt für Bundesbehörden: Es legt einen Verhaltenskodex für den fairen Umgang mit Informationen fest, der die Erhebung, Pflege, Verwendung und Verbreitung personenbezogener Daten über Einzelpersonen regelt, die in den Aufzeichnungssystemen der Bundesbehörden gespeichert werden.
Die 10 Datenschutzgrundsätze von PIPEDA
5 Beschränkung der Nutzung, Offenlegung und Speicherung
10 Compliance in Frage stellen
Australische Datenschutzgrundsätze
APP 1 – Offener und transparenter Umgang mit personenbezogenen Daten
APP 2 – Anonymität und Pseudonymität
APP 3 – Erfassung angeforderter personenbezogener Daten
APP 4 – Umgang mit unerwünschten persönlichen Informationen
APP 5 – Benachrichtigung über die Erhebung personenbezogener Daten
APP 6 – Verwendung oder Offenlegung personenbezogener Daten
APP 7 – Direktmarketing
APP 8 – Grenzüberschreitende Offenlegung personenbezogener Daten
APP 9 – Übernahme, Verwendung oder Offenlegung regierungsbezogener Kennungen
APP 10 – Qualität personenbezogener Daten
APP 11 – Sicherheit personenbezogener Daten
APP 12 – Zugriff auf personenbezogene Daten
APP 13 — Korrektur personenbezogener Daten
Auch wenn die Grundsätze unterschiedlich sein mögen, führt die EU-DSGVO dazu, dass sich die globalen Regulierungstrends um eine Reihe gemeinsamer Anforderungen und Überlegungen herum zusammenschließen:
● Auswahl und Zustimmung
● Sicherheit für den Datenschutz
● Datenzugriff
● Benachrichtigungsanforderungen
● Datenaufbewahrung
● Recht auf Vergessenwerden
● Weitergabe an Dritte
● Datenschutzbeauftragte
● Grenzüberschreitende Übertragungen
Der Umfang der Anforderungen ist jedoch sehr unterschiedlich. So ist beispielsweise selbst im Rahmen der DSGVO die Anforderung eines Datenschutzbeauftragten nur dann zwingend, wenn es sich bei der Organisation um eine Behörde handelt, eine systematische Überwachung im großen Maßstab durchführt oder sensible personenbezogene Daten im großen Maßstab verarbeitet. Nach dem singapurischen PDPA (Personal Data Protection Act) liegt es in der Verantwortung der Organisation, zu entscheiden, ob sie einen hauptamtlichen Datenschutzbeauftragten ernennt oder die Funktion einer anderen Zuständigkeit unterordnet.
Ebenso schreibt PIPEDA vor, dass personenbezogene Daten „so lange wie nötig, um die beabsichtigten Zwecke zu erfüllen“ und nicht für einen bestimmten Zeitraum gespeichert werden sollen.
Wie also geht ein multinationales Unternehmen mit unterschiedlichen Definitionen von PII und unterschiedlichen Anforderungen hinsichtlich des Zugriffs auf personenbezogene Daten, der Benachrichtigungsfenster und der Rückverfolgbarkeit der Verarbeitung um?
Auf einen gemeinsamen Nenner kommen: Data Science in den Datenschutz integrieren
Wir haben die Frage längst hinter uns gelassen: Sollen Datenschutz und -sicherheit überhaupt auf der IT- und Digital-Business-Agenda stehen? Die Frage ist vielmehr, wie sich Geschäftschancen am besten mit den vielfältigen gesetzlichen und regulatorischen Anforderungen vereinbaren lassen.
Der erste Schritt liegt auf der Hand: die Zuordnung der Geschäftstätigkeit zu den Datenschutzbestimmungen. Um strengere Anforderungen wie die EU-DSGVO oder das singapurische PCDA zu erfüllen, müssen spezifische Bedingungen umgangen werden. Wichtig ist außerdem, die zugrunde liegenden Prinzipien der Gesetzgebung zu verstehen: ob umfassend, sektoral oder in Zusammenarbeit mit der Industrie definiert.
Die Grundlage für den Schutz personenbezogener Daten ist jedoch die konsequente Anwendung von Datenschutzrichtlinien und vor allem genaue Kenntnis der zu schützenden Daten. Alle regulatorischen Anforderungen erfordern, dass Sie wissen, welche Daten gespeichert werden, wem sie gehören, wo sie sich befinden, wer auf sie zugreift, welche Einwilligungen für diese Daten vorliegen und wo sie verwendet werden. Ohne dieses grundlegende Wissen lässt sich nicht genau feststellen, ob ein Unternehmen eine bestimmte Vorschrift einhält. Auch die Kontrolle über diese Daten ist nicht möglich. Ohne Informationen keine Kontrolle. Ohne Kontrolle steigt das Risiko von Strafen und sogar Verstößen.
von @stavvmc & @dimitrisirota
Autor
