Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Europa in Kraft, um die Datenschutzrechte in allen 28 EU-Mitgliedsstaaten zu harmonisieren. Während einzelne Länder ihre eigenen Datenschutzgesetze beibehalten und zusätzliche Strafen verhängen können, schafft die DSGVO eine gemeinsame Grundlage für den Schutz von Bürgern (und Einwohnern) der EU sowie für Datensammler und -verarbeiter. personenbezogene Daten– eine Reihe gemeinsamer Verpflichtungen und möglicher Geldbußen (bis zu 41 TP3B des weltweiten Umsatzes pro Unternehmen und Land).
Wessen Daten sind es überhaupt?
Eine der grundlegenderen Neuerungen der DSGVO ist die Institutionalisierung eines Grundrechts auf die eigenen Daten. Gemäß der DSGVO hat jeder EU-Bürger (oder Einwohner) das Recht auf Zugriff, Übertragung und Löschung seiner Daten. Unternehmen, die Verbraucher- oder Mitarbeiterdaten erheben und verarbeiten, sind verpflichtet, die Daten einer Person auf Anfrage herauszugeben. Die DSGVO ordnet das Verhältnis von Rechten und Pflichten zwischen Dateneigentümer und Datenverarbeiter neu. Bürger verlieren nie ihr Recht auf die Daten, die sie betreffen oder von ihnen stammen, während Unternehmen wiederum zu Datenverwaltern mit neuen Pflichten für die Daten werden, die sie im Auftrag der Dateneigentümer verwalten.
Dieses neue Prinzip wird nirgendwo so deutlich wie im Prinzip des Rechts auf Vergessenwerden. Obwohl die Idee des Rechts auf Vergessenwerden bereits vor der DSGVO in Europa und anderswo existierte, hebt die DSGVO das Konzept auf eine höhere Ebene und beseitigt jegliche Unklarheiten bezüglich der Verpflichtung. Gemäß der DSGVO haben EU-Bürger und -Einwohner ein Grundrecht auf Löschung ihrer Daten auf Anfrage. Es gibt keine Überprüfung, ob die Daten fehlerhaft sind. Die Daten gehören dem Einzelnen, und dieser kann mit ihnen nach eigenem Ermessen verfahren.
Welchen Sinn haben Datenverantwortliche ohne Datenkontrollen?
Für Unternehmen, die personenbezogene Daten erheben und verarbeiten, bedeutet dieses neue Recht auf Daten einen grundlegenden Wandel in der Art und Weise, wie sie diese Daten betrachten und verwalten. Seit der Einführung von Datenbanken wurden personenbezogene Daten eher als Ware betrachtet, was sich auch in den Begriffen widerspiegelt, mit denen beschrieben wird, wo sie gespeichert werden: Datenspeicher, Data Warehouse, Data Lake. Die Kenntnis der Identität des Dateneigentümers, sofern vorhanden, diente in erster Linie der Personalisierung und Prognose. Es ging – und geht im Wesentlichen immer noch – darum, „zu analysieren, um daraus Geld zu machen“.
Die DSGVO trägt jedoch dazu bei, den Personenbezug personenbezogener Daten wiederherzustellen. Sie erinnert Unternehmen daran, dass die Daten einer Person gehören, der sie Rechenschaft ablegen und Rechenschaft ablegen müssen. Die Kenntnis der persönlichen Daten einer Person hat jedoch einen Mehrwert, der über die bloße Information hinausgeht. Unbekannte Daten sind nicht unsichtbar, sondern nur anfällig für Diebstahl, Missbrauch und Kompromittierung. Um die neuen DSGVO-Anforderungen zu erfüllen, müssen Unternehmen Daten personenbezogen finden und inventarisieren. Dies wiederum eröffnet neue Möglichkeiten für Datenschutz, Compliance und Governance. Das Recht auf Vergessenwerden stellt sicher, dass die Daten einer Person nicht vergessen werden. Indirekt ermöglichen die neuen Datenschutzrechte einen besseren Schutz personenbezogener Daten, egal ob Sozialversicherungsnummer oder IP-Adresse.
Datengesteuerte Verwaltung und Schutz personenbezogener Daten
Vorschriften haben Unternehmen in der Vergangenheit geholfen, ihre Aufmerksamkeit und ihr Budget zu fokussieren. In den USA zwangen Vorschriften wie Sarbanes (SOX), HIPAA und PCI, um nur einige zu nennen, Unternehmen dazu, Prioritäten neu zu setzen und ihren Umgang mit Daten und Anwendungen zu überdenken. Da die USA ein Land sind, das für Industrialisierung steht, führte dies unweigerlich zur Einführung neuer Formen der Technologieautomatisierung mit einprägsamen Akronymen wie SIEM, SSO, DLP, DAM und DRM. Doch jede Innovation ist die Antwort auf ein spezifisches Problem, und so begegneten diese Innovationen einem spezifischen Problem zu einem bestimmten Zeitpunkt. Individuelle Rechte auf Zugriff, Übertragung oder Löschung ihrer Daten stellen neue Anforderungen und damit auch neue Anforderungen an Datenverwaltung, -schutz und -konformität.
Die DSGVO setzt neue Maßstäbe für Datenschutzbestimmungen und ist nicht der einzige Wegbereiter dieser neuen Ära der Datenverwaltung und des Datenschutzes. China und viele andere Länder haben kürzlich ein ähnliches Recht eingeführt. Auch in den USA diskutieren mehrere Bundesstaaten über Gesetzesentwürfe, die neue Rechte an personenbezogenen Daten verankern sollen. Für Unternehmen bedeutet dies eine neue Art der Datenverwaltung, des Datenschutzes und der Compliance, die die Daten einer Person berücksichtigt und die Verantwortlichkeit gegenüber dieser Person gewährleistet. Es überrascht nicht, dass eine neue Generation von Unternehmen wie BigID diese Lücke mit Technologien füllen will, die Unternehmen helfen, die neuen Verpflichtungen zu erfüllen und gleichzeitig gegenüber Kunden und Mitarbeitern rechenschaftspflichtiger und transparenter zu sein.
@dimitrisirota
Autor
