Das sich entwickelnde globale Datenschutz-Framework
André Thompson, Privacy and Ethics Counsel bei Trūata, spricht über die zunehmenden Komplikationen globaler Datenschutzregelungen, insbesondere während der aktuellen COVID-Ära, und darüber, wie wir uns als Unternehmen anpassen müssen.
Angesichts der globalen geopolitischen, sozialen und wirtschaftlichen Landschaft gibt es für 2020 nur wenige Gewissheiten. Was im Januar wie ein bereits kompliziertes Jahr aussah, änderte sich unermesslich, als sich Covid-19 auf der ganzen Welt ausbreitete. Die in der Neuzeit beispiellose globale Reaktion der Nationalstaaten auf die Pandemie brachte die Privatsphäre der Bürger erneut in den Vordergrund, als die Regierungen versuchten, intelligente Geräte einzusetzen, um die Ausbreitung des Virus zu verfolgen, indem sie Daten über die Bewegungen des Benutzers sammelten und verarbeiteten und Verhalten. Es ist daher an der Zeit, über die Auswirkungen der DSGVO auf die zunehmende Verbreitung und den Einfluss von Datenschutzgesetzen weltweit nachzudenken, da die DSGVO ihren zweiten Jahrestag feiert gemischte Bewertungen. Obwohl die DSGVO Schlagzeilen gemacht hat, ist es für Unternehmen von entscheidender Bedeutung zu erkennen, dass sie nicht das einzige Gesetz ist, das sich auf datengesteuerte Unternehmen auswirkt. Das gestiegene Bewusstsein in der Öffentlichkeit und den Medien für den Datenschutz infolge der Kontaktnachverfolgungsmaßnahmen von Covid-19 bedeutet, dass der globale Datenschutzrahmen wahrscheinlich noch komplizierter wird. Da das Volumen dieser Gesetze ständig zunimmt, ist es für Unternehmen daher schwierig, den Überblick über die Compliance-Anforderungen von einem Markt zum nächsten zu behalten.
Um dies in einen Zusammenhang zu bringen: Ab Februar 2020 haben 11 US-Bundesstaaten Datenschutzgesetze oder Gesetzesentwürfe erlassen, und in einer Reihe anderer Staaten gibt es Task Forces für den Datenschutz. Ein US-Bundesdatenschutzgesetz wurde vorgeschlagen. Es ist noch einige Zeit entfernt, aber die Dynamik wächst. Die neuen Datenschutzgesetze von Brasilien, Südafrika und Indien werden verabschiedet oder befinden sich in einem fortgeschrittenen Stadium des Gesetzgebungsprozesses. Sie schließen sich Ländern an, die bereits über modernisierte Datenschutz- und Datenschutzgesetze verfügen, wie Kanada, Russland, Japan, Singapur, Südkorea, Malaysia und Nigeria - und viele andere, die auf dieser Reise sind. Obwohl Covid-19 die Gesetzgebungsverfahren verzögert hat und die Gesetze in Brasilien, Südafrika und Indien verschoben wurden, haben mehr als 60 Bezirke Datenschutzgesetze eingeführt, um auf den Wunsch ihrer Bürger nach Kontrolle über ihre Datenschutz- und Datenschutzrechte zu reagieren. In zunehmend globalisierten Märkten und mit der zunehmenden Verbreitung von Cloud Computing und PaaS-, IaaS- und SaaS-Diensten können nur wenige große Unternehmen das ignorieren, was wir als "globales Datenschutz-Framework" bezeichnen können.
Mit diesem sich weiterentwickelnden globalen Datenschutzrahmen ist die Compliance-Belastung erheblich. Einige Gerichtsbarkeiten, wie z. B. Russland, haben Gesetze zur Datenlokalisierung. Andere unterscheiden sich in subtilen, aber signifikanten Punkten von der DSGVO, dem Gesetz, an das sich die meisten Unternehmen halten wollen. Die brasilianische LGPD verfügt über zehn rechtmäßige Verarbeitungsgrundlagen im Vergleich zu den sechs GDPR-Grundlagen. Südafrikas POPIA schützt die Daten natürlicher (dh lebender) Personen und juristische Personen (dh Körperschaften). Wenn Unternehmen beginnen, sich mit den Anforderungen dieser unterschiedlichen Gesetze auseinanderzusetzen, erkennen sie die Schwierigkeit eines einheitlichen Ansatzes. Dies birgt ein erhebliches Risiko auf Vorstandsebene. Forrester prognostiziert eine 300-prozentige Zunahme von Sammelklagen zum Schutz der Privatsphäre. Bei so vielen unterschiedlichen Geschmacksrichtungen und Ansätzen zum Datenschutz wird es für Unternehmen mit globaler Präsenz immer schwieriger, Daten zu verwalten und zu analysieren und gleichzeitig das Vertrauen der Kunden zu wahren.
Wie können Unternehmen den mit dem globalen Datenschutzrahmen verbundenen „Compliance-Overhead“ angehen? Wie verwalten sie globale Vorschriften, halten sie auf dem Laufenden und halten sie ein? Unabhängig von der Gerichtsbarkeit gibt es eine Konstante: Datenschutzgesetze basieren auf dem Schutz „personenbezogener Daten“. Wenn die Daten nicht "persönlich" sind, gelten keine Datenschutzgesetze. Die echte Anonymisierung personenbezogener Daten ist daher eine Möglichkeit, die Einhaltung von Vorschriften zu unterstützen und das Vertrauen der Kunden unabhängig von der Gerichtsbarkeit zu stärken. Unternehmen können damit den Wert ihrer Daten freischalten und die Gefährdung durch globale Datenschutzgesetze verringern. Das übergeordnete Thema der Datenschutzbestimmungen ist, dass die Rechte zur Nutzung personenbezogener Daten eingeschränkt und die Rechte der betroffenen Personen erweitert werden. In diesem Umfeld sind das Risiko von Geldbußen, ein negatives Markenimage und Umsatzrückgänge sehr real. Die Frage ist nicht, wie man den globalen Datenschutzrahmen einhält, sondern wie man ihn insgesamt vermeidet. Es gibt allen Grund zu der Annahme, dass die Anonymisierung ein Instrument ist, das in den nächsten Jahren für datengesteuerte Unternehmen unverzichtbar sein wird. Es erinnert an die Maxime: „nicht planen, planen nicht”: Unternehmen müssen jetzt darüber nachdenken, wie sie in ein, zwei, fünf oder zehn Jahren die Anforderungen erfüllen werden, da die Auswirkungen aktueller Ereignisse die Art und Weise verändern können, wie wir mit personenbezogenen Daten Geschäfte machen. Die Compliance-Belastung wird nur noch schwieriger und vorausschauendes Denken ist unerlässlich.
