Datenschutz in der Gesetzgebung

Mit der Datenschutzgrundverordnung (DSGVO) hat die Europäische Union die weltweit strengsten Datenschutzgesetze vorgelegt. Doch andere Staaten – von den USA über den Nahen Osten bis hin nach Asien – folgten und intensivierten in den letzten beiden Jahren diesbezügliche Gesetzgebungen. Worauf dabei und bei folgenden Gesetzen zu achten ist, weiß Todd Moore von Thales. [...]

Gartner schätzt, dass bis zum Jahr 2023 drei Viertel der Weltbevölkerung in Ländern mit moderne Datenschutzbestimmungen leben werden. Die International Association of Privacy Professionals (IAPP) hat in Zusammenarbeit mit dem Westin Research Center eine interaktive Karte erstellt, auf der die Länder mit Datenschutzgesetzen verzeichnet sind. Die IAPP hat auch ein Diagrammtool für viele der weltweiten Datenschutzgesetze veröffentlicht, inklusive der Gesetze in den USA und der EU. Dieses umfassende Instrument demonstriert die Gemeinsamkeiten zwischen den verschiedenen Datenschutzgesetzen auf der ganzen Welt und die Auswirkungen, die die DSGVO hat.

Drei Datenschutzpolitik-Trends

Die wichtigsten Veränderungen beim Datenschutz lassen sich in drei Trends zusammenfassen:

Zunehmende Komplexität der Vorschriften: Für Unternehmen und Datenschutzbeauftragte ist es ein großes Problem, mit den raschen Änderungen von Vorschriften und Gesetzen Schritt zu halten. Durch die Verwendung von standardisierten und gut dokumentierten Best Practices für die Sicherheit können Datenschutz- und Compliance-Teams proaktiv mit den Änderungen der Vorschriften Schritt halten. Die Integration von Flexibilität und Agilität in die Architektur von Unternehmenssystemen hilft bei der Anpassung an diese neuen Standards.

Eine sich rasant entwickelnde Daten- und Technologielandschaft: Unternehmen sehen die Einhaltung von Vorschriften gelegentlich als Hindernis für Innovationen, da immer neue Technologien und Datennutzungstechniken auftauchen. Die Einführung eines „Privacy-by-Design“-Ansatzes kann Unternehmen jedoch helfen, die gesetzlichen Vorschriften einzuhalten und dennoch Spitzenleistungen zu erbringen.

Wachsendes Bewusstsein der Stakeholder: Geschäftsabläufe, Ethik und Unternehmensführung werden von Stakeholdern wie Kunden, Beschäftigten und Investoren sehr genau geprüft. Folglich sind Transparenz und Zustimmung sehr wichtig. In den kommenden Jahren wird die Fähigkeit, das Vertrauen der Verbraucherinnen und Verbraucher durch transparente Kommunikation zu gewinnen, ein strategisches Unterscheidungsmerkmal für Unternehmen sein.

Die Entwicklung des Datenschutzes geht weit über die Einhaltung gesetzlicher Vorschriften hinaus und führt zu einer Ära der integrierten Datenverwaltung und vertrauenswürdigen Datennutzung. Darüber hinaus wird der Datenschutz in den Vorstandsetagen und bei den Stakeholdern immer mehr in den Vordergrund gerückt. Dies wiederum gibt den Compliance-Teams die Möglichkeit, überzeugend darzustellen, wie die Bemühungen um den Datenschutz im gesamten Unternehmen integriert werden, um neue Ziele zu erreichen.

Weltweite Meilensteine des Datenschutzes im Jahr 2023

Im Jahr 2023 stehen vier wichtige Ereignisse an:

1. In Kraft tretende US-Gesetze: In diesem Jahr treten der California Privacy Rights Act oder der Virginia Consumer Data Protection Act in Kraft. Der Connecticut’s Act Concerning Personal Data Privacy and Online Monitoring oder der Colorado Privacy Act werden bis zum 1. Juli 2023 und der Utah Consumer Privacy Act bis zum 31. Dezember in Kraft treten. Auf Bundesebene ist der American Data Privacy and Protection Act (ADPPA) das bedeutendste US-Bundesgesetz zum Datenschutz seit dem U.S. Privacy Act von 1974. Das ADPPA verfolgt einen umfassenden Ansatz zum Schutz der Privatsphäre, der viele Richtlinien der DSGVO einbezieht.
2. Abkehr von Drittanbieter-Cookies: Cookies von Drittanbietern werden nach dem 31. Dezember 2023 nicht mehr verwendet werden. Dies stellt eine erhebliche Veränderung gegenüber den derzeitigen Ansätzen für gezielte Werbung und Personalisierung dar, schafft aber auch neue Möglichkeiten für Unternehmen und Vermarkter.
3. Grenzüberschreitende Datenübermittlung und der Datenschutzrahmen: Im Juli 2020 stellte der Gerichtshof der Europäischen Union (EuGH) fest, dass der EU-US-Datenschutzschild-Rahmen unzureichend ist. Obwohl sich der Fall auf Datenübertragungen zwischen der EU und den USA bezog, sind die Auswirkungen global. Der Europäische Datenschutzausschuss (EDPB) hat einen Leitfaden herausgegeben, der die nächsten Schritte klärt – die Unternehmen werden ihre Verfahren für die Handhabung internationaler Datenübertragungen neu bewerten müssen.
   Im Oktober 2022 veröffentlichte die Regierung Biden den EU-US-Datenschutzrahmen, der auf gemischte Reaktionen stieß. Die Europäische Kommission muss nun einen Angemessenheitsbeschluss fassen, der nicht vor Frühjahr 2023 erwartet wird.
4. Neue EU-Richtlinien: Der EU Data Governance Act (DGA) wird den Zugang zu und die gemeinsame Nutzung von Daten mit dem öffentlichen Sektor zum Wohle der Allgemeinheit erleichtern. Dies wird eine weitere Ebene der Komplexität hinzufügen, da Organisationen versuchen, ihre Daten zu verstehen und zu erkennen, was erforderlich ist, um eine konforme Datenübertragung zu ermöglichen. Der DGA ist am 23. Juni 2022 in Kraft getreten und wird nach einer 15-monatigen Karenzzeit ab September 2023 gelten. Darüber hinaus schlug die Europäische Kommission im Februar 2022 die EU-Datenschutzverordnung (EU Data Act) vor, die regelt, wer auf die Daten von Verbrauchern und Unternehmen zugreifen darf und zu welchen Bedingungen.

Diese neuen Richtlinien zeigen, dass es immer wichtiger wird, eine einzige Source of Trust für die Datenkatalogisierung und das Daten-Mapping zu haben. Die Ausrichtung des Unternehmens auf diese strategische Richtung wird sich auszahlen, sobald diese neuen Verpflichtungen vollständig in Kraft treten.