Fünf wichtige Entwicklungen im Bereich der Datensouveränität: Das Risiko kennen und beherrschen.
An wen richtet sich diese Information?
Dieser Artikel ist für Sie relevant, wenn Sie als Verantwortlicher in Ihrem Unternehmen nach Lösungen für das Risikomanagement beim internationalen Datenverkehr suchen bzw. verantwortlich sind. Sie finden hier fünf Datenschutztrends, die Sie als Risiko- und Sicherheitsmanager kennen sollten.
Datensouveränität und Rechtsunsicherheit
Die Datensouveränität ist für viele Staaten ein zentrales Anliegen des Datenschutzes. “Datensouveränität zielt auf den Menschen als Anwender ab. Er soll digitale Medien kompetent, sicher und vielfältig nutzen können. Der Staat muss die rechtlichen Voraussetzungen schaffen, damit Bürger, Unternehmen und Institutionen die volle Kontrolle über ihre Daten behalten bzw. selbstbestimmt über die Verwendung ihrer Daten entscheiden können1.” (Bundesdruckerei)
In diesem Artikel finden Sie fünf entscheidende Trends für datenbezogene Risiken.
Die wichtigsten Trends im Datenschutz
Immer mehr Kunden wollen wissen, wie ihre persönlichen Daten verwendet werden
Das Gefühl der Menschen, die Kontrolle über ihre Daten zu verlieren und machtlos zusehen zu müssen, wie Unternehmen Informationen über sie sammeln, hat sich zuletzt etwa in einer Studie der britischen Digital Marketing Association gezeigt2. Eine Umfrage ergab, dass ein Drittel der Verbraucher bereit wäre, wegen des Umgangs mit oder der Weitergabe von Daten das Unternehmen zu wechseln3. Vielen Verbrauchern ist es zunehmend wichtig, wo ihre Daten gespeichert bzw. verarbeitet werden und wer Zugang dazu hat.
Unternehmen sollten sich entscheiden, wie sehr sie Loyalität und Vertrauen ihrer Kunden stärken wollen, indem sie die Sicherheit der Kundendaten schützen. Sie müssen transparent offenlegen, wie sie mit personenbezogenen Daten umgehen. Unternehmen können sich nicht länger hinter juristischem Vokabular in ihren AGB verstecken.
Die Fragmentierung des Internets bedroht den internationalen Datenverkehr
Schon seit 2019 versucht auch die Welthandelsorganisation (WTO), Regeln für den grenzüberschreitenden Datenverkehr auszuhandeln. Die weit verbreitete Besorgnis über Störungen durch frei fließende Daten hat jedoch dazu geführt, dass sich bisher die Hälfte der 184 Mitgliedsstaaten gegen eine Teilnahme an den Verhandlungen entschieden hat. Diese Länder sind also nicht bereit, gemeinsame Regeln zu entwickeln.
Der internationale Datenverkehr wird dennoch weitergehen, aber solange es keinen globalen Ansatz für die Regulierung von Datenschutz und Datenaustausch gibt, müssen wir uns mit einem Flickenteppich konkurrierender Vorschriften herumschlagen.
Unternehmen sollten davon ausgehen, dass der internationale Datenverkehr Risiken birgt, die sie jedoch minimieren können, indem sie:
- die überarbeiteten Standardvertragsklauseln (SCC) der Europäischen Kommission für den internationalen Datenverkehr verwenden
- den Datenverkehr mit Ländern minimieren, die keinen ausreichenden Datenschutz bieten
- Folgenabschätzungen für Länder mit unzureichenden Datenschutzgesetzen vornehmen.
Die Durchsetzung der Datenschutzbestimmungen wird wieder stärker strafrechtlich geprägt sein
Die europäischen Aufsichtsbehörden wetzen schon die Messer – DSGVO-Bußgelder sind gestiegen. Die fünf höchsten DSGVO-Bußgelder im Jahr 2021 waren:
- Amazon: 746 Mio. Euro
- WhatsApp: 225 Mio. Euro
- Notebooksbilliger.de: 10,4 Mio. Euro
- Österreichische Post: 9,5 Mio. Euro
- Vodafone España: 8,15 Mio. Euro4.
Unternehmen, die Vorschriften der DSGVO missachten, müssen mit gravierenden Konsequenzen rechnen – inklusive saftiger Geldstrafen, die sie in ihre Risikokalkulation für den Datenverkehr einbeziehen müssen.
Unternehmen können diesem Risiko jedoch begegnen, indem sie ihre Sicherheitsrichtlinien dokumentieren und veröffentlichen sowie deren Einhaltung überwachen.
Die Rechtsunsicherheit wird Unternehmen verstärkt dazu veranlassen, Daten vor Ort zu verarbeiten.
Am 16. Juli 2020 hob der Europäische Gerichtshof (EuGH) den EU-US Privacy Shield auf, ein Regelwerk, das die Übermittlung von Daten zwischen EU- und US-Unternehmen erleichtert hatte. Diese Entscheidung wurde aufgrund von Bedenken gegenüber US-Überwachungssystemen gefällt.
Erklärungen von EU- und US-Offiziellen Ende 2021 gaben Anlass zu der Hoffnung, dass die Verabschiedung eines neuen Privacy Shield (Privacy Shield 2.0) unmittelbar bevorsteht (s. u.). Auch dieser wäre aber erst nach einer Überprüfung des EuGH rechtssicher.
In Hinblick auf die vielen Rechtsunsicherheiten im Zusammenhang mit internationalen Datenübertragungen sollten Unternehmen die Notwendigkeit dieses Datenverkehrs generell hinterfragen und zu einer stärker lokalen Datenverarbeitung übergehen.
Die USA könnten ein DSGVO-orientiertes Bundesgesetz zum Datenschutz bekommen
Der IT-Markt ist von US-Unternehmen beherrscht. Das US-Datenschutzrecht besteht allerdings aus einem Flickenteppich von sektor- und bundesstaatsspezifischen Gesetzen.
Nach jahrzehntelanger Arbeit wurde im Juni 2022 der Entwurf eines Bundesgesetzes zum Datenschutz verabschiedet. Es ähnelt in seinem generellen Anspruch der DSGVO, auch wenn es Schlupflöcher und Ausnahmen enthält5. Selbst wenn das Gesetz – was ungewiss ist – beschlossen wird, müsse sich erst erweisen, ob es tatsächlich DSGVO-konform ist. Dasselbe gilt hinsichtlich des Dekrets für ein neues Datenschutzabkommen zwischen den USA und der EU, dass Präsident Joe Biden im Oktober 2022 erlassen hat.6
Unternehmen sollten die Notwendigkeit internationaler Datenübertragungen hinterfragen und zu einer stärker lokalisierten Datenverarbeitung übergehen.
Daten – Globalisierung oder Protektionismus?
Datensouveränität bewegt sich im Spannungsfeld zwischen Bestrebungen zur Datenglobalisierung, um den internationalen Datenfluss zu forcieren, und Datenprotektionismus (Schaffung rivalisierender regionaler Einflusssphären), der den internationalen Datenfluss hemmt. Diese Bestrebungen sind in Abbildung 1 dargestellt.
Abbildung 1: Bestrebungen in Richtung Datenglobalisierung bzw. Datenprotektionismus
“Es sind Unternehmen die das digitale Ökosystem entwerfen, produzieren, verkaufen und warten, und die Staaten sind von diesen Unternehmen abhängig. Doch Staaten haben die Macht, den digitalen Raum zu regulieren.”
- Luciano Floridi, Professor für Philosophie and Informationsethik, University of Oxford 7
Welche Bestrebungen die Oberhand gewinnen werden, lässt sich nur schwer vorhersagen.
Ein weltweites Abkommen über Datenschutzstandards ist für den internationalen Datenverkehr entscheidend, doch die Fortschritte dabei vollziehen sich in fast geologischen Zeiträumen. Der Datenverkehr zwischen der EU und den USA wird also noch viele Jahre lang mit Schwierigkeiten behaftet sein.
Fazit: Empfehlungen zur Risikominimierung
Europäische Unternehmen sollten den Risiken des internationalen Datenverkehrs durch folgende Maßnahmen begegnen:
Minimierung und Vereinfachung der Datenströme
Verwendung der von der EU genehmigten SCC für die Übermittlung personenbezogener Daten
Prüfung der Frage, ob es sich lohnt, verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules, BCR) für die EU zu entwickeln, die nur einmal genehmigt werden müssen
Lobbying bei der Europäischen Kommission, um das Genehmigungsverfahren zu beschleunigen, das derzeit 3-4 Jahre dauert, ohne dass eine Frist festgelegt wurde 8.
Wenn Sie an verwalteten Servicelösungen zur Beseitigung des Datentransferrisikos interessiert sind, können Sie hier mehr lesen.
Wenn Sie bis hierher gelesen haben, verstehen Sie wahrscheinlich die Notwendigkeit des nächsten, eher überflüssigen Satzes. Dieser Artikel stellt eine Stellungnahme und keine Rechtsberatung dar.
Referenzen
[1] https://www.bundesdruckerei.de/de/innovation-hub/digitale-souveraenitaet-was-ist-das
[2] https://dma.org.uk/uploads/misc/5a857c4fdf846-data-privacy---what-the-consumer-really-thinks-final_5a857c4fdf799.pdf
[3] https://hbr.org/2020/01/do-you-care-about-privacy-as-much-as-your-customers-do
[4] https://immedis.com/blog/why-we-all-need-to-be-concerned-about-data-sovereignty/
[5] https://www.politico.com/news/2022/06/03/bipartisan-draft-bill-breaks-stalemate-on-federal-privacy-bill-negotiations-00037092
[6] https://www.zeit.de/politik/ausland/2022-10/usa-eu-datenschutzabkommen-joe-biden
[7] https://www.hinrichfoundation.com/research/article/digital/data-is-disruptive-how-data-sovereignty-is-challenging-data-governance/
[8] Fieldfisher write very eloquently about data protection law in the following blog: https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/what-future-for-the-transfers-of-personal-data