Der rasante Anstieg der Datenerfassung ist für viele Menschen leicht zu ignorieren. Solange unsere Apps reibungslos laufen und unsere Pakete pünktlich ankommen, machen wir uns wenig Gedanken darüber, was alles dazugehört, um dies zu ermöglichen.
Diese selige Unwissenheit wurde in den letzten Jahren durch die zunehmenden Datenverletzungen, Skandale und Aufdeckung schlechter Geschäftspraktiken. Infolgedessen wird den Verbrauchern immer bewusster, wie ihre Daten gesammelt, verwendet, weitergegeben, verkauft und oft auch falsch gehandhabt werden.
Auch die Regierungen tun, was sie können, um die Daten der Nutzer zu schützen, ihnen mehr Kontrolle zu geben und die Unternehmen zur Verantwortung zu ziehen.
Es liegt nun an den Unternehmen, eine Kultur der Transparenz und des Respekts für die Daten ihrer Kunden zu pflegen.
Für diesen Artikel haben wir mehreren Datenschutzexperten einige Fragen über die Zunahme der Datenerfassung, ihre Auswirkungen auf die Welt und die Vorschriften sowie darüber gestellt, wie sich Unternehmen und Regierungen in Zukunft verhalten sollten.
Mit wem wir gesprochen haben:
 Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US |
 Petruta Pirvan, CIPM, CIPP/E, CIPP/US |
 Cristina Costache, CIPP/E, CIPM, CIPT, FIP |
 Derek A. Lackey, CIPM |
 Tim Clements |
 Jeff Jockisch, CIPP/US |
Das Aufkommen von Big Data
Das letzte Jahrzehnt hat eine beispiellose Zunahme der Datenerfassung, der Datennutzung, des Datenverkaufs und vieles mehr mit sich gebracht.
Im April 2022 gab es weltweit fünf Milliarden Internetnutzer weltweit, eine erstaunliche 63% der Weltbevölkerung. Aber die Datenerfassung erfolgt nicht nur durch die Nutzer, die sich hier und da auf einer Website anmelden.
Mit dem Aufkommen von "intelligenten" Dingen hatten Unternehmen noch nie eine solche Fundgrube an Nutzerinformationen. Heutzutage werden bei allem, was wir tun, Daten gesammelt, solange wir mit dem Internet verbunden sind.
Über 29 Milliarden verbundene Geräte werden für 2022 prognostiziert, wobei das Internet der Dinge (IoT) - mit dem Internet verbundene Alltagsgegenstände - etwa 18 Milliarden ausmacht. Diese Zahl wird sich voraussichtlich auf 38,6 Milliarden weltweit bis 2025.
Unsere Verbindung zu diesen Geräten führt zu 2,5 Quintillionen Bytes an Daten die täglich erzeugt werden, wobei unsere Handlungen ständig aufgezeichnet, analysiert und zu Geld gemacht werden.
Das goldene Zeitalter der Datenerhebung
Eine Zeit lang hatten die Unternehmen freie Hand bei der Verwendung von Nutzerdaten. Sie konnten Daten sammeln und sie nach Belieben verwenden, ohne dass sie dabei überwacht wurden.
Alles war neu und glänzend, und das Einzige, was die Verbraucher wussten, war, dass ihr Leben einfacher werden würde. Daten waren ein Wort, das von Fachleuten verwendet wurde; der Durchschnittsbürger hatte kaum etwas damit zu tun.
Im Zuge der technologischen Entwicklung und der zunehmenden Vernetzung erkannten die Unternehmen, wie wichtig es ist, den Kunden zu verstehen und personalisierte Erlebnisse zu schaffen.
Also begannen sie, Daten zu horten - ungehindert und mit oder ohne Zustimmung der Nutzer.
Sie begannen zum Beispiel, die Aktionen der Kunden, wie das Anklicken eines Links, das Herunterladen eines Gutscheins oder einen Online-Kauf, als Indikatoren für den zukünftigen Verkaufserfolg zu betrachten. Die Vermarkter konnten nun sehen, wie viele Menschen auf ihre Anzeigen klickten, wie viel Zeit sie mit der Betrachtung ihrer Produkte verbrachten, wo sie vorher waren und ob sie wiederkamen.
Daten waren gut für das Geschäft, und sie waren da, um zu bleiben.
Big Data nimmt Fahrt auf
Da sich die Anzahl der Datenpunkte, die Unternehmen über einen einzelnen Kunden sammeln können, vervielfachte, begannen die Vermarkter, diesen massiven Datensatz als "Big Data" zu bezeichnen - der analysiert werden kann, um Muster, Trends und Assoziationen zu erkennen.
Wie zu erwarten war, führte dies zur Gründung zahlreicher Unternehmen, die Unternehmen bei der Erfassung und Analyse von Daten und der Erstellung von Modellen zur Vorhersage künftigen Verhaltens unterstützen. Schließlich begannen diese Unternehmen, Algorithmen des maschinellen Lernens in den Prozess einzubeziehen, und erstellten umfangreiche Vorhersagegraphen, die Vermarkter zur Bestimmung des Kundenverhaltens und zur Personalisierung des Marketings in einer Weise nutzen, die zuvor nicht möglich war.
Ein weiterer wichtiger Beitrag zu Big Data war die Einführung intelligenter Technologien in physischen Produkten, die es den Unternehmen ermöglicht haben, völlig neue Arten von Informationen zu sammeln, z. B. über den Standort und das Nutzerverhalten. Die dadurch ermöglichte Personalisierung ist heute ein zentraler Bestandteil des Produkterlebnisses.
Aber mit großen Daten kamen auch große Kosten. Während umfangreiche neue Datenströme die Bewältigung aller möglichen modernen Herausforderungen ermöglicht haben, bieten sie auch enorme Möglichkeiten für Missbrauch und schlechte Akteure.
Zunahme der Angriffe auf Daten
Das exponentielle Wachstum der Datenmenge hat zu einer erheblichen Zunahme negativer Folgen für Internetnutzer geführt. In der Tat hat eine aktuelle Studie der Universität von Maryland ergab, dass im Durchschnitt alle 39 Sekunden ein Hackerangriff auf einen mit dem Internet verbundenen Computer erfolgt.
So deckte beispielsweise der europäische Online-Kontaktlinsenanbieter Vision Direct eine Datenpanne auf, bei der Cyberkriminelle auf die vollständigen Kreditkartendaten von rund 6 600 Kunden zugriffen. Innerhalb von fünf Tagen hatte ein Hacker Zugriff auf Kartennummern, Ablaufdaten und CVV-Nummern!
Vision Direct behauptet, zahlreiche Maßnahmen ergriffen zu haben, um sicherzustellen, dass sich so etwas nicht wiederholt. Aber das ist nur ein Beispiel für viele Datenschutzverletzungen, die in den letzten Jahren aufgetreten sind.
Diese Zunahme der Angriffe zeigt, wie verletzlich die von uns geteilten Daten sind, und hat viele Verbraucher dazu veranlasst ihre Beziehungen mit Unternehmen wegen Daten zu beenden.
Wir haben die Experten gefragt:
Was ist die größte Auswirkung, die die zunehmende Datenerfassung und -nutzung auf unsere moderne Welt hat?
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
Dass neben den Regierungen und öffentlichen Einrichtungen eine Handvoll Technologieunternehmen die Zwecke und Mittel der globalen Datenverarbeitung bestimmen und ihre oligopolistische Vorherrschaft mit allen Mitteln verteidigen.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Die größte Auswirkung ist der Mangel an Kontrolle über persönliche Daten und private Angelegenheiten. Wir leben in einer digitalen Kultur, dem Zeitalter der Massenmessung. Die Kultur des massenhaften Sammelns verändert auch die Qualität der Daten. Es spielt nicht einmal mehr eine Rolle, ob die von uns gesammelten Daten nützlich sind oder nicht. Datenvorräte werden nur für den Fall der Fälle angelegt.
Diese Vision über die Daten stellt das klassische Konzept des Datenschutzes und der Privatsphäre auf den Kopf. Wie können wir in diesem Zusammenhang sicherstellen, dass das Individuum die Herrschaft über sich selbst behält ("la seigneurie de soi-meme" auf Französisch), wie Goethe in Bezug auf den willensstarken Menschen so schön sagte.
Derek A. Lackey, CIPM
Ich muss sagen, der Cambridge Analytica/Facebook-Skandal "Welle II". . . . . Dieser [Skandal] hat einen Teil der Öffentlichkeit wachgerüttelt, was ihre eigenen persönlichen Daten angeht und was damit gemacht werden könnte. Bis dahin sahen wir Daten nur als ein Rinnsal hier und ein Rinnsal da, ohne zu wissen, was schlaue Computerprogrammierer und Persönlichkeiten wie Aleksandr Kogan tun könnten, wenn sie all diese Daten sammeln und zur Manipulation der betroffenen Personen verwenden würden!
Diese Geschichte köchelte vier Jahre lang vor sich hin, bis Christopher Wylie sie aufdeckte und detailliert beschrieb, wie das System funktionierte.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Aus der Sicht des Datenschutzes wird es jeden Tag komplizierter und wichtiger. Je weiter wir technologisch fortgeschritten sind und je mehr Daten wir in den Äther geben, desto mehr können sie dazu verwendet werden, uns oder anderen zu schaden.
Die Zunahme von Big Data kann sowohl Nutzen als auch Schaden bringen. Es ist unsere Aufgabe als Datenschützer, klar zu unterscheiden und zu bewerten, ob die Vorteile die Risiken der möglichen Schäden rechtfertigen, und Kontrollen zu entwickeln und umzusetzen, um die möglichen Schäden so weit wie möglich zu verringern.
Jeff Jockisch, CIPP/US
Der größte Einfluss, den die Datenerfassung auf unsere moderne Welt hat, besteht darin, dass wir unsere Sorgen über Big Brother auf Big Tech übertragen haben. Unsere größten Science-Fiction-Autoren haben sich den Aufstieg des Überwachungskapitalismus nicht vorstellen können.
Die Regierungen versuchen, unsere Probleme mit der Privatsphäre, mit Datenschutzverletzungen und mit der Identität zu lösen. Aber im Allgemeinen nehmen sie sich selbst von den von ihnen erlassenen Vorschriften aus, zum Teil, weil zu viel Privatsphäre es ihnen erschwert, zu regieren, politische Kampagnen zu führen und die Strafverfolgungsbehörden mit Überwachungsbefugnissen bei Laune zu halten.
Doch die heute geltenden Datenschutzgesetze haben die Datenerfassung nicht wesentlich verändert. Datenmakler sind auf dem Vormarsch. Big Tech hat sich nicht viel verändert. Die Ad-Tech-Maschine brummt von ganz allein. Und Risikokapital finanziert weiterhin Unternehmen, die auf Geschäftsmodellen basieren, die in die Privatsphäre eingreifen.
Das Aufkommen des Datenschutzes
Im Laufe der Zeit, als die Technologie allgegenwärtig wurde, wurden sich die Menschen - und die Regierungen - immer mehr der Risiken bewusst, die mit den Annehmlichkeiten von Big Data einhergingen. Dieses Bewusstsein führte zu der Forderung nach mehr Datenschutz und einer größeren Verantwortung der Unternehmen für den Umgang mit Nutzerdaten.
Die aktuellen Datenschutzstatistiken zeigen, dass 75 % der Amerikaner sind der Meinung, dass es mehr Vorschriften zum Schutz ihrer Privatsphäre geben sollte.
Bedenken hinsichtlich des Datenschutzes und Versuche, diesen zu regeln, gibt es zwar schon seit langem, aber erst mit dem Aufkommen der Internettechnologie mussten die Regierungen komplexe Rechtsvorschriften zum Schutz der Daten und der Privatsphäre ihrer Bürger einführen.
Wir haben die Experten gefragt:
Was war der Auslöser für die Zunahme der weltweiten Datenschutzvorschriften?
Tim Clements
In den letzten Jahren gab es eine enorme Zunahme an neuen Gesetzen und Vorschriften zum Datenschutz und zum Schutz der Privatsphäre sowie an Änderungen bestehender Gesetze. Obwohl viele auf die DSGVO als Auslöser verweisen, dürfen wir nicht vergessen, dass die Konvention 108 das einzige internationale rechtsverbindliche Abkommen zum Datenschutzrecht ist. Das Übereinkommen 108 wurde erstmals am 28. Januar 1981 vom Europarat, einem von der EU völlig unabhängigen Gremium, zur Unterzeichnung aufgelegt.
Die Gesetze zum Datenschutz und zum Schutz der Privatsphäre lassen sich weltweit auf unterschiedliche Ursprünge zurückführen. In Europa müssen wir bis in die 1930er Jahre in Deutschland zurückgehen, um ihren Ursprung zu verstehen, der zusammen mit dem Aufkommen automatisierter Verarbeitungstechnologien und den Enthüllungen über die globale Überwachung in den frühen 1970er Jahren die ersten Datenschutzgesetze in Europa auslöste.
In den USA wurden Ende der 60er/Anfang der 70er Jahre Bedenken hinsichtlich des "Abhörens" und der durch die Technologie ermöglichten Überwachung zusammen mit den riesigen Mengen an Bürgerdaten, die von der Regierung und privaten Unternehmen verarbeitet werden, laut, die schließlich Anfang der 70er Jahre zur Verabschiedung von Datenschutzgesetzen führten.
In den letzten 50 Jahren ist die Technologie zu einem entscheidenden Aspekt im Leben vieler Menschen geworden, der direkt und indirekt zu Ergebnissen führt, die für den Einzelnen nicht immer günstig sind. Wir sehen heute Verarbeitungstechnologie in den Taschen der Menschen, an ihren Handgelenken, eingebettet in ihre Körper und Überwachung als eine Selbstverständlichkeit in vielen Gesellschaften.
Die Gesetzgeber holen ständig auf, aber angesichts der rasanten Entwicklung neuer Technologien und des Eifers der Unternehmen, diese zu übernehmen, um das Wachstum anzukurbeln, Ineffizienzen zu verringern usw., bleibt eine ständige Lücke bestehen.
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
Das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ("Übereinkommen Nr. 108") des Europarats ist das erste rechtsverbindliche internationale Instrument im Bereich des Datenschutzes und wurde 1981 verabschiedet. Es stand Pate für viele wichtige aktuelle internationale Datenschutzvorschriften wie die DSGVO.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Nach dem Zweiten Weltkrieg, der Europa in Schutt und Asche gelegt hat, wurde eine frühere Idee des US-Präsidenten Woodrow Wilson aufgegriffen, nämlich die Idee einer Weltorganisation zur Sicherung des Friedens, und die Vereinten Nationen wurden gegründet. In Artikel 12 der Charta der Vereinten Nationen heißt es, dass das Eindringen in die Privatsphäre eine Verletzung der Menschenrechte darstellt. Gleichzeitig wurde im Westdeutschland der 1960er Jahre viel über die Verletzung der Privatsphäre durch die Gestapo während des Zweiten Weltkriegs und die Verletzung der Privatsphäre durch die Stasi in Ostdeutschland nachgedacht.
Das deutsche Bundesland Hessen war das erste, das 1970 den Schutz der Privatsphäre in seine Verfassung aufnahm. Es folgten Schweden im Jahr 1976 und Frankreich im Jahr 1978. Auf EU-Ebene wurde 1995 mit der Gemeinschaftsrichtlinie ein einheitliches Recht geschaffen, das gerade noch rechtzeitig kam, um die größte Erfindung der 1990er Jahre zu bändigen - das World Wide Web und die Entstehung des digitalen Handels. Der digitale Handel hat die Ära der Globalisierung eingeleitet, und der Datenschutz ist zu einem globalen Thema geworden. In der Zwischenzeit wurde die Richtlinie von 1995 durch die DSGVO ersetzt, und Länder auf der ganzen Welt sahen sich mit dem Dilemma konfrontiert, die persönlichen Daten der Menschen zu schützen. Die DSGVO ist zum goldenen Standard geworden, dem viele Länder außerhalb der EU nacheifern.
Derek A. Lackey, CIPM
Zweifellos war es die EU, die die allgemeine Datenschutzrichtlinie in die allgemeine Datenschutzverordnung umwandelte. Die Durchsetzungsstruktur war ein wichtiger Bestandteil. Es war klar, dass die Unternehmen das taten, was die Technologie ihnen erlaubte, und nicht darüber nachdachten, was sie tun sollten. In dieser Welt der vierteljährlichen Aktionärsberichte und der in die Höhe schießenden Vorstandsgehälter sowie des Strebens nach noch mehr Gewinn, selbst auf Kosten der Ethik, konnte man der Wirtschaft nicht zutrauen, sich selbst zu regulieren. Es musste etwas geschehen. Ich glaube, die Geschichte wird zeigen, dass die konsequente Durchsetzung von DSGVO der Wendepunkt in der Welt des Datenschutzes war.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Manche nennen es den Brüsseler Effekt. Ich denke, dass DSGVO der Auslöser für den Anstieg der Datenschutzbestimmungen, der Durchsetzung und des öffentlichen Bewusstseins für den Schutz und den Wert ihrer Daten war. Natürlich spielen auch der Missbrauch personenbezogener Daten und die Schäden, die ein solcher Missbrauch verursachen kann, eine Rolle. Wir alle wissen von Cambridge Analytica und anderen Fällen, in denen Daten zur gezielten Beeinflussung verwendet wurden. Mit jedem solchen Fall steigt das Bewusstsein, die Bürger werden aktiv (ich empfehle dringend die Lektüre der Stop LAPD Spaying Coalition unter https://stoplapdspying.org/) und die Regierungen bemühen sich um eine Gesetzgebung, die solche Vorfälle in Zukunft verhindern könnte.
Die DSGVO und andere strenge Datenschutzgesetze
Als das Bewusstsein für Datenmissbrauch wuchs, erkannten die Regierungen, dass sie eingreifen und ihre Bürger schützen mussten. Die EU übernahm die Führung mit dem bis heute umfassendsten und am meisten nachgeahmten Datenschutzgesetz: DSGVO.
Die DSGVO ist das strengste Datenschutz- und Sicherheitsgesetz der Welt und gilt für jede Verarbeitung personenbezogener Daten, bei der der Verarbeiter oder die betroffene Person in der EU ansässig ist oder die Verarbeitung physisch in einem EU-Land stattfindet.
Unter DSGVO müssen die Verbraucher ihre Zustimmung zur Datenerhebung geben, was bedeutet, dass Unternehmen ihre Datenerhebungspraktiken nicht mehr verstecken oder schwer verständlich machen können; sie müssen für alle Verbraucher leicht verständlich sein.
Die DSGVO verpflichtet die Unternehmen außerdem, ihren Nutzern das Recht auf Zugang zu ihren Daten zu gewähren, das Recht, diese Daten mitzunehmen und anderweitig zu verwenden, sowie das Recht der Verbraucher, die vollständige Löschung ihrer persönlichen Daten aus ihren Unterlagen zu verlangen.
Weltweite Auswirkungen
Die Website DSGVO gilt nicht nur für Unternehmen mit Sitz in der EU. Die EU hat versprochen, Strafen zu verhängen, wenn eine Marke beim Umgang mit den Daten von EU-Bürgern gegen die Website DSGVO verstößt, unabhängig von ihrem Standort.
Seit ihrem Inkrafttreten hat die DSGVO einen Dominoeffekt ausgelöst, und viele andere Länder haben sie als Vorbild für die Gestaltung ihrer eigenen Datenschutzvorschriften genutzt. Bis jetzt 69 % der Länder der Welt eine Gesetzgebung zum Datenschutz und zum Schutz der Privatsphäre, und weitere 10 % haben einen Gesetzesentwurf.
In den USA war Kalifornien der erste Staat, der ein umfassendes Datenschutzgesetz verabschiedet hat. Der California Consumer Privacy Act(CCPA) trat 2020 in Kraft, und der California Privacy Rights Act (CPRA) wird Anfang 2023 in Kraft treten.
Weitere Länder mit strengen Datenschutzgesetzen sind Kanada, Brasilien, Australien, Chile, Nigeria und Island - wobei die Zahl der Länder jedes Jahr wächst.
Island wurde in der Tat die "Schweiz der Daten" genannt wegen seiner strengen Datenschutzgesetze. Das Datenschutzgesetz (2000) besagt, dass Daten nur für bestimmte Zwecke und nur mit der klaren und informierten Zustimmung der betroffenen Person erhoben werden dürfen. Bei Nichteinhaltung drohen Geldstrafen oder bis zu 3 Jahre Haft.
Zwischen Januar 2021 und Januar 2022 werden fast 1,1 Milliarden Euro an Geldbußen wegen Verstößen gegen DSGVO verhängt - ein jährlicher Anstieg von 594 %. Robuste Datenschutzrichtlinien und -praktiken helfen Unternehmen, solche kostspieligen Klagen zu vermeiden. Daher aktualisieren viele ihre Datenschutzrichtlinien, um die Datenschutzgesetze einzuhalten und das Vertrauen ihrer Kunden zurückzugewinnen und ihnen genau zu zeigen, wie ihre Daten verwendet werden.
Wir haben die Experten gefragt:
Tun die Regierungen genug, um die Daten der Bürger zu schützen?
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Nein, sonst wären die Aktionen von Aktivisten wie Johnny Ryan oder noyb nicht notwendig. Erst vor wenigen Monaten hat das berühmte Wired-Magazin einen Artikel mit dem Titel How DSGVO Is Failing veröffentlicht. Tatsache ist, dass die irische Datenschutzbehörde, die für die Durchsetzung der DSGVO zuständig ist, bei der Anwendung des Rechtsstaatsprinzips oft strauchelt und damit die Empörung ihrer Kollegen in den anderen Mitgliedstaaten hervorruft. Auf der anderen Seite sind andere Datenschutzbehörden bei der Auslegung und Anwendung der DSGVO noch nicht so weit, und das mangelnde Verständnis ihrer Mitarbeiter für die Kernprinzipien des Datenschutzes ist leider für die Betroffenen sichtbar und kann von den großen Technologieunternehmen ausgenutzt werden, die über die gesamte Infrastruktur verfügen, um die Anwendbarkeit des Gesetzes zu verzögern oder zu beeinträchtigen.
Derek A. Lackey, CIPM
Nein. Mit ein paar Ausnahmen. Achten Sie auf Quebec. Nach der kürzlichen Verabschiedung von Gesetzentwurf 64 zur Änderung des Gesetzes über den Schutz personenbezogener Daten im privaten Sektor (PPIPS) und zur Ausstattung der Commission d'accès à l'information (CAI) mit starken Durchsetzungsbefugnissen werden wir meiner Meinung nach sehen, wie die Daten der Bürger mit dem richtigen politischen Willen geschützt werden können. Im September 2023 wird fast das gesamte Gesetz in Kraft treten, und ich glaube, die CAI wird uns zeigen, wie eine echte Durchsetzung aussieht. Ihr Gesetz ist in mancher Hinsicht noch strenger als das von DSGVO (zum Beispiel gibt es in PPIPS kein "berechtigtes Interesse". Nur Zustimmung oder vertraglich, mit wenigen Ausnahmen. In der EU werden die meisten Geschäfte auf der Rechtsgrundlage des berechtigten Interesses abgewickelt, aber Quebec hat das weggelassen.) und die Durchsetzungsbefugnisse. Außerdem wurde die oberste Behörde des Unternehmens standardmäßig für alle personenbezogenen Daten verantwortlich gemacht, über die das Unternehmen verfügt. Ich glaube, sie haben die Tatsache erkannt, dass sich die C-Suite in der EU oft nicht für den Schutz der Privatsphäre und den Datenschutz einsetzt. Quebecs Klausel über die "oberste Behörde" wird das, wenn sie richtig durchgesetzt wird, schnell ändern.
Die meisten Regierungen haben Angst, ihre Geldgeber - die Unternehmen - zu verärgern. Die meisten sind von der verrückten Idee überzeugt, dass die Durchsetzung des Datenschutzes die Innovation abwürgen würde. Das ist irrsinnig. Es handelt sich nicht um ein Nullsummenspiel. Da Veränderungen einen fruchtbaren Boden für Innovationen schaffen, würde eine Änderung der Datenpraktiken wahrscheinlich zu noch mehr Innovationen führen - und nicht zu deren Unterdrückung!
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
Es gibt immer Spielraum für Verbesserungen. So sollten die Regierungen die Aufsichtsbehörden mit ausreichenden Ressourcen ausstatten (insbesondere mit Mitteln für die Einstellung von qualifiziertem Personal), um die notwendige Ausbildung und wirksame Durchsetzung zu ermöglichen. Angemessene Ressourcen sind etwas, woran es den meisten Datenschutzbehörden bis heute mangelt.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Welche Regierungen? Hier müssen wir unterscheiden. Während einige Länder sich die Durchsetzung der DSGVO zu Herzen genommen haben und Geldstrafen gegen Regierungsstellen wegen Nichteinhaltung verhängen und extrem umfangreiche DPIAs über die Nutzung einiger cloudbasierter Dienste erstellen, tun andere Länder einfach nichts oder so wenig wie möglich im Bereich der Einhaltung der DSGVO durch öffentliche Stellen.
Wir bringen unseren Kindern bei, wie wichtig es ist, mit gutem Beispiel voranzugehen. Leider sehen wir, wie Regierungsbehörden wegen Nichteinhaltung der DSGVO mit Geldstrafen belegt werden, und wir stellen fest, dass grundlegende Prinzipien wie das Fehlen ausreichender Sicherheitsmaßnahmen oder die Nichternennung eines DSB nicht eingehalten werden.
Also nein, die Regierung tut nicht genug, wenn es um die Durchsetzung bei öffentlichen Einrichtungen geht. Wir neigen dazu, zu vergessen, dass die staatlichen Behörden eine riesige Menge an Daten über ihre Bürger besitzen, wenn wir uns auf den privaten Sektor konzentrieren.
Gab es schon immer einen Bedarf an einer Datenschutzverordnung?
Es hat schon immer Leute gegeben, die sich über den Datenschutz aufgeregt haben.
Zum Beispiel in den 1990er Jahren, Befürworter des Datenschutzes ihre Bedenken über Lotus Marketplace, ein Datenbankprogramm, das gemeinsam von der Lotus Development Corporation (dem Softwareentwickler) und Equifax (dem Informationsanbieter) entwickelt wurde. Das Programm sollte private Informationen über 120 Millionen Menschen und 80 Millionen Haushalte in den Vereinigten Staaten enthalten. Über 30.000 Menschen kontaktierten Lotus, um aus der Datenbank auszusteigenund es kam zu massiven Protesten und Klageandrohungen, die sich auf die Verletzung der Privatsphäre beriefen.
Aber die Regierungen - und die Bürger - stehen in der heutigen Welt vor neuen und komplexeren Herausforderungen. Mit der modernen Technologie gibt es nicht mehr nur ein paar Unternehmen in ein paar Branchen, die Daten sammeln und verarbeiten, sondern jedes Unternehmen in jeder Branche.
Während sich die Regierungen in der Vergangenheit mit Fragen des Datenschutzes in bestimmten Bereichen befassen mussten, ist ihre Aufgabe heute viel komplexer. Aufgrund der Vernetzung unserer Welt erwarten die Bürger von ihnen, dass sie Lösungen schaffen, die nahezu jedes Unternehmen in jedem Teil der Welt regeln.
Auch wenn der Fokus auf Privatunternehmen manchmal untergeht, müssen Regierungen sich selbst und andere staatliche Akteure für ihren Umgang mit Daten zur Rechenschaft ziehen.
Wir haben die Experten gefragt:
Wie sah die Welt vor der Datenschutzverordnung aus?
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
Bevor umfassende Datenschutzvorschriften in Kraft traten, hatten Staaten und ihre Vertreter (Regierungsstellen und öffentliche Einrichtungen) die Hoheit darüber, wie personenbezogene Daten von Bürgern verarbeitet werden, und dies war oft ein willkürlicher Akt. Mit dem Aufkommen internationaler kohärenter Datenschutzstandards haben die Betroffenen nun einen Teil ihrer Verfügungsgewalt zurückgewonnen.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Die Welt wäre ohne Datenschutzgesetze ein viel dunklerer Ort. Das Recht auf Datenschutz fungiert als übergreifender Schutz für die anderen Grundrechte. Da ich selbst unter einem kommunistischen Regime aufgewachsen bin, habe ich die Angst der Menschen gesehen und erlebt, sich zu äußern, weil sie glauben, dass ihre eigenen politischen Optionen oder religiösen oder philosophischen Ansichten sie selbst und ihre Familie in große Gefahr bringen, von der Regierung verfolgt zu werden. Deshalb, um meine Idee aufzugreifen, genießen wir aufgrund unseres Rechts auf Privatsphäre die Freiheit der Meinungsäußerung, die Meinungsfreiheit, die Religionsfreiheit, das Recht, unabhängig von unserer ethnischen Zugehörigkeit gleich behandelt zu werden, usw.
Derek A. Lackey, CIPM
Manchmal ist Unwissenheit ein Segen. Die meisten Menschen waren sich der Macht von Computern und dem Internet nicht bewusst. In Wirklichkeit war der Verbraucher jedoch machtlos, was die Verwendung seiner persönlichen Daten anging. Das große Erwachen der Privatsphäre gibt ihnen ihre Macht zurück oder bietet ihnen zumindest einige Möglichkeiten. Es ist fast unmöglich, im Jahr 2022 keinen digitalen Fußabdruck zu hinterlassen. Die Datenregulierung ist eine Frage des WANN, nicht des OB.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Das Tempo, mit dem die Rechtsvorschriften zum Schutz der Privatsphäre erlassen wurden, war viel, viel langsamer, und auch die Durchsetzungsaktivitäten waren geringer.
Aus der Sicht meines Unternehmens zum Beispiel: Wir sind in über 60 Ländern tätig. Im vergangenen Jahr haben 12 dieser Länder neue Datenschutzgesetze erlassen oder die bestehenden verschärft, und in 28 weiteren Ländern sind Datenschutzgesetze oder Änderungen im Entwurfsstadium, die voraussichtlich in den nächsten 12 bis 24 Monaten verabschiedet werden.
Wir können auch einen Blick auf die Durchsetzungsmaßnahmen werfen: Vor DSGVO gab es auf europäischer Ebene keine Geldbußen von mehr als 100 Millionen Euro, außer im Zusammenhang mit dem Kartellrecht. Jetzt scheinen Bußgelder in Höhe von 50 und mehr Millionen Euro etwas Alltägliches zu sein, und wir halten nicht den Atem an, wenn wir diese Art von Nachrichten sehen. Neu ist, dass Verstöße gegen die Datenschutzbestimmungen geahndet werden. Hongkong und die Philippinen sind die ersten, die solche Bestimmungen durchsetzen, und wir erwarten, dass weitere Länder folgen werden.
Die wachsende Nachfrage nach Datentransparenz
Was bedeutet Datentransparenz?
Der Begriff klingt ziemlich selbsterklärend, aber werfen wir zunächst einen Blick auf die offizielle Datentransparenzdefinition von PCMag:
Datentransparenz bedeutet sowohl "die Möglichkeit, leicht auf Daten zuzugreifen und mit ihnen zu arbeiten, unabhängig davon, wo sie sich befinden oder mit welcher Anwendung sie erstellt wurden", als auch "die Gewissheit, dass die gemeldeten Daten korrekt sind und von der offiziellen Quelle stammen".
Ihre Definition kann für "Nicht-Techniker" schwer zu verstehen sein, also vereinfachen wir sie.
Im Grunde bedeutet Datentransparenz, dass Unternehmen - und andere Stellen, die mit Daten umgehen - die Daten der Nutzer mit größtmöglicher Integrität behandeln sollten. Ihr Umgang mit Daten sollte rechtmäßig, fair, nachvollziehbar und verantwortungsbewusst sein.
Darüber hinaus sollten die betroffenen Personen darüber informiert werden, welche Daten von ihnen erhoben werden, wie und warum sie erhoben werden, wer Zugang zu den Daten hat, wie sie verwendet werden und wie sie auf die Daten zugreifen und sie löschen oder ändern können.
Warum also ist Datentransparenz wichtig?
Die steigende Nachfrage nach Datentransparenz kommt von den Bürgern und damit auch von den Regierungen. Die Bürger - oder Verbraucher - sind sich zunehmend bewusst, wie viele ihrer persönlichen Daten gesammelt, weitergegeben und verkauft werden. Sie stellen zunehmend fest, dass Unternehmen nicht immer wohlwollend damit umgehen, wie und warum sie Nutzerdaten sammeln.
Die Sensibilisierung hat dazu geführt, dass die Regierungen mehr Maßnahmen zum Schutz der Daten und zur Rechenschaftslegung der Unternehmen fordern.
Den Staaten ist zugute zu halten, dass sie schnell gehandelt haben. Die EU brachte den Ball mit ihrer DSGVO ins Rollen, was weitere Länder - und US-Bundesstaaten - dazu veranlasste, Gesetze zum Schutz ihrer eigenen Bürger zu erlassen.
Doch die Verbraucher erwarten nicht nur staatliche Maßnahmen. Sie beginnen, die Unternehmen selbst an höhere Standards zu binden. Die Verbraucher fangen an, Unternehmen zu meiden, die nicht transparent mit ihren Daten umgehen.
Um diesen Punkt zu verdeutlichen, hier einige alarmierende Datenschutzstatistiken zur Einstellung der Verbraucher gegenüber Unternehmen und Daten:
- 62 % der Amerikaner glauben nicht, dass es möglich ist, durch den Alltag zu gehen, ohne dass Unternehmen Daten über sie sammeln. (Pew Research Center)
- 63 % der Internetnutzer sind der Meinung, dass die meisten Unternehmen nicht transparent darüber sind, wie ihre Daten verwendet werden, und 48 % haben aufgrund von Datenschutzbedenken schon einmal bei einem Unternehmen eingekauft. (Tableau)
- 33 % der Nutzer haben ihre Beziehungen zu Unternehmen wegen ihrer Daten gekündigt. Sie verließen Social-Media-Unternehmen, Internetanbieter, Einzelhändler, Kreditkartenanbieter und Banken oder Finanzinstitute. (Cisco)
- Eine Studie der University of Maryland hat die nahezu konstante Rate von Hackerangriffen auf Computer mit Internetzugang quantifiziert - sie beträgt alle 39 Sekunden. (Universität von Maryland)
- Mehr als 120 Länder haben sich bereits in irgendeiner Form mit internationalen Datenschutzgesetzen befasst, um einen besseren Schutz für ihre Bürger und deren Daten zu gewährleisten. (Thales)
Wie Ihr Unternehmen bei Verbrauchern Vertrauen aufbauen kann
Da die Nachfrage der Verbraucher nach Transparenz steigt, müssen die Unternehmen beginnen, sich weiterzuentwickeln, oder sie werden zurückgelassen. Es gibt kein Zurück mehr zu den Tagen, in denen Nutzerdaten ungehemmt und mit wenig bis gar keiner Rechenschaftspflicht abgesaugt wurden.
Bürger und Regierungen tragen ihren Teil dazu bei, indem sie ihr Bewusstsein schärfen, mit ihrem Geldbeutel sprechen und Vorschriften erlassen. Jetzt liegt es an den Unternehmen selbst, einen neuen Trend zu einem verantwortungsvollen Umgang mit Daten zu fördern.
Wie kann ein Unternehmen also genau das tun?
Es gibt einige Dinge, die Unternehmen tun können, um Nutzerdaten zu respektieren und zu schützen und ihren Kunden zu versichern, dass sie dies auch tun. Ein guter Ausgangspunkt ist die Befolgung der sieben Grundsätze des "Privacy-by-Design", die von der DSGVO.
- Grundsatz Nr. 1: Seien Sie in Sachen Datenschutz proaktiv, nicht reaktiv
- Grundsatz Nr. 2: Der Datenschutz steht bei allem, was Sie tun, an erster Stelle
- Grundsatz Nr. 3: Integrieren Sie den Datenschutz von Anfang an in Ihren Entwurf, Ihre Entwicklung und Ihre Implementierung
- Grundsatz Nr. 4: Datenschutz ist ein Positivsummenspiel, kein Nullsummenspiel
- Grundsatz Nr. 5: End-to-End-Sicherheitsmaßnahmen für Daten
- Grundsatz Nr. 6: Sichtbar und transparent sein
- Grundsatz Nr. 7: Konzentriere dich auf deine Nutzer und respektiere sie
Zusätzlich zu den sieben oben genannten Grundsätzen sollte Ihr Unternehmen anerkennen, dass die Nutzer vollständig Eigentümer ihrer Daten sind. Ihre Kunden sollten alles, was Sie von ihnen sammeln, kennen, darauf zugreifen können und die volle Kontrolle darüber haben.
Erhebliche Veränderungen in der Kultur und in den üblichen Geschäftspraktiken können schwer zu bewältigen sein, und Sie fragen sich vielleicht, warum Sie sich überhaupt die Mühe machen. Abgesehen von den zunehmenden rechtlichen Anforderungen haben Unternehmen einen weiteren offensichtlichen Anreiz, über sich hinauszuwachsen: ihr Ruf.
Vertrauenswürdigkeit als Differenzierungsmerkmal im Wettbewerb
Während Datenschutzgesetze wie das DSGVO einen erheblichen Einfluss auf die Datenpraktiken der Unternehmen haben, kommt ein weiterer Faktor ins Spiel: der Wettbewerb.
Vertrauenswürdigkeit hat bei Verbraucherentscheidungen schon immer eine Rolle gespielt, und beim Datenschutz ist das nicht anders. Unternehmen, die die oben beschriebenen Praktiken nicht anwenden und ihren Nutzern gegenüber völlig transparent sind, werden Kunden an diejenigen verlieren, die dies tun.
So wie das Internet das Wachstum von Unternehmen enorm beeinflusst hat, so kann es sich auch auf ihren Niedergang auswirken. Nachrichten verbreiten sich heute schnell, und Ihr Unternehmen kann sich kaum verstecken, wenn der Internet-Bienenstock beschließt, dass es in Sachen Datenschutz nicht auf der Höhe der Zeit ist.
Infolgedessen stellen immer mehr Unternehmen die Nutzer in den Mittelpunkt und setzen angemessene Datenpraktiken ein. Sie minimieren die Menge an individuellen Informationen, die sie aufbewahren müssen, sind transparent in Bezug auf alle Datenerhebungen und -verwendungen, sorgen für Sicherheit und geben den Nutzern vollen Zugang und Kontrolle über ihre Daten.
Fragen Sie sich also selbst: Wenn Ihr Unternehmen nicht dasselbe tut, warum sollten sich Ihre Kunden dann für Sie entscheiden und nicht für einen Konkurrenten, der dies tut?
Die Zukunft eines Marktes, in dem digitale Daten - ihre Erfassung, Analyse und Anwendung - zunehmend die Geschäftsmodelle bestimmen, liegt im Vertrauen der Verbraucher.
In der Tat, 37% der Nutzer sagen, dass Unternehmen, die ihre Daten transparent machen und den Datenschutz proaktiv durchsetzen, ihre Bedenken verringern.
Infolgedessen beginnen Unternehmen, Vertrauenswürdigkeit als Wettbewerbsvorteil und als Möglichkeit zur Maximierung der Investitionsrendite zu betrachten.
Wir haben die Experten gefragt:
Welchen Tipp würden Sie einem Unternehmen geben, das bei den Verbrauchern Vertrauen in den Datenschutz aufbauen will?
Jeff Jockisch, CIPP/US
Die Verbraucher schätzen den Datenschutz. Es ist ein besseres Modell für Ihr Unternehmen und ein Wettbewerbsvorteil. Unternehmen, die etwas anderes behaupten, haben im Allgemeinen keine nennenswerte Konkurrenz.
Bauen Sie das Vertrauen des Kunden auf und konzentrieren Sie sich auf das Sammeln begrenzter Daten der ersten Partei. Dies ist der weniger riskante Weg und erfordert weniger Technik.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Wissen, wo Ihre Daten sind. Dies ist der erste Schritt beim Aufbau eines Datenschutzprogramms, das darauf abzielt, durch Transparenz, Verantwortung und Rechenschaftspflicht das Vertrauen Ihrer Kunden zu gewinnen.
Denken Sie an die gesetzliche Verpflichtung der Lebensmittelhersteller, die Zutaten und andere relevante Informationen auf ihren Produkten anzugeben. Ein Lebensmittelhersteller sollte doch wissen, was in seinen Produkten enthalten ist, oder? Wir sollten den gleichen Ansatz verfolgen, wenn es darum geht, zu wissen, welche Daten wir haben und wo sie gespeichert sind, und unsere Kunden darüber informieren, was wir mit ihren Daten machen. Sie haben das Recht, diese Informationen zu erhalten und eine fundierte Entscheidung zu treffen, wenn sie ihre Daten an ein bestimmtes Unternehmen weitergeben wollen.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Sie sollten die Ethik bei der Auslegung und Anwendung des Rechts in den Mittelpunkt ihrer Tätigkeit stellen. Andernfalls werden sie weiterhin Kästchen ankreuzen, zum Nachteil des Verbrauchers, der klug ist, seine Rechte kennt und immer nach Alternativen suchen wird, um dem Gefühl zu entkommen, dass er getäuscht wird.
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
Ein verbraucherorientierter Ansatz, bei dem das Interesse des Verbrauchers im Mittelpunkt jeder Dienstleistungs- oder Produktentwicklung steht und bei dem Auswahl und Transparenz die wichtigsten Mittel sind, um Vertrauen zu gewinnen.
Derek A. Lackey, CIPM
Tun Sie das Richtige. Behandeln Sie Menschen mit Respekt.
Wie Termly helfen kann
Unsere Aufgabe bei Termly besteht darin, Unternehmen die Werkzeuge an die Hand zu geben, die sie zur Einhaltung der Datenschutzgesetze benötigen. Unsere Grundüberzeugung ist jedoch, dass Sie Nutzerdaten respektieren sollten, weil es das Richtige ist, und nicht nur, weil es gesetzlich vorgeschrieben ist.
Für Unternehmen
Unter Termly bieten wir eine komplette Compliance-Lösung für Ihr Unternehmen, von der Verwaltung von Einwilligungen bis hin zur Erstellung von Rechtsrichtlinien.
Sie können Termly verwenden, um:
- Einholung einer ordnungsgemäßen Zustimmung zur Datenerhebung
- Erstellen einer Datenschutzrichtlinie
- Zusätzlich können Sie verschiedene andere Richtlinien erstellen, wie z. B. Bedingungen und Konditionen, Haftungsausschlüsse, Cookie-Richtlinien, EULAs, und mehr.
- Und vieles mehr!
- Testen Sie Termly kostenlos!
Für Agenturpartner
Termly bietet Agenturen eine optimierte Lösung zur Einhaltung von Vorschriften, die sie ihren Kunden als Alleinstellungsmerkmal anbieten können.
Unser Partnerschaftsprogramm umfasst alles, was oben aufgeführt ist, mit zusätzlichen Großhandelspreisen und Mengenrabatten, Multi-Domain (einschließlich Sub-Domains) und Multi-User-Support, direktem Kundensupport und mehr!
Wir arbeiten mit vielen Agenturen in verschiedenen Branchen zusammen und können auf jeden Ihrer Compliance-Bedürfnisse eingehen.
Unsere Ressourcen
Zusätzlich zu unserer Compliance-Software bieten wir eine Vielzahl von Ressourcen für alle Besucher, nicht nur für unsere Kunden. Unsere Ressourcenseite enthält verschiedene Vorlagen für Rechtsrichtlinien, Bildungsartikel, Anleitungen, ein Rechtswörterbuch und vieles mehr!
David Reynier, CEO @ Termly
Wir wollen Werkzeuge und Ressourcen für die Einhaltung der Datenschutzbestimmungen bereitstellen und Unternehmen dazu ermutigen, eine Kultur der Achtung der Privatsphäre der Nutzer zu pflegen.
Zum Mitnehmen
In einer Zeit, in der das Bewusstsein für und die Nachfrage nach Datenschutzrechten wächst, können Sie es sich nicht mehr leisten, den Datenschutz als nachträglichen Gedanken zu betrachten. Er wird immer mehr zu einem Grundpfeiler des modernen Geschäftslebens.
Unternehmen, die die Forderung der Verbraucher nach mehr Transparenz und Verantwortlichkeit ignorieren, werden durch solche ersetzt, die dies nicht tun. Das Internet hat die Interaktion zwischen Kunden und Unternehmen revolutioniert und den Verbrauchern viel mehr Macht gegeben. Bei so vielen Unternehmen, die zur Auswahl stehen, haben die Nutzer kaum einen Grund, sich an diejenigen zu halten, die ihre Bedenken zurückweisen.
Mehr über die Autorin
Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin
