ePVO, Schrems II, Cookies und Co.
Datenschutz: Das ist 2020 wichtig
Sowohl aus der IT- als auch der Geschäftsperspektive waren die letzten Jahre bezüglich DatenschutzDatenschutz in ganz Europa recht fordernd: Die Auflagen der EU-Datenschutz-Grundverordnung (DSGVODSGVO), die langsame Einführung der ePrivacy-Verordnung (ePVO) und die überarbeiteten Cookie-Richtlinien staatlicher Behörden verlangten viele technische und organisatorische Anpassungen in den Unternehmen. Zusätzlich galt es, während der unklaren Situation in Großbritannien, Prozesse zu erarbeiten, um potenzielle Komplikationen durch den Brexit einzudämmen. Alles zu DSGVO auf CIO.de Alles zu Datenschutz auf CIO.de
2020 hat zwar gerade erst begonnen, doch gibt es bereits eine Reihe von Entwicklungen, die die Art und Weise, wie Unternehmen zukünftig mit Daten umgehen, noch weiter verändern werden.
Datenschutzgesetze außerhalb der EU
In anderen Teilen der Welt werden zur DSGVO vergleichbare Gesetze eingeführt oder sind bereits in Kraft. Beispiele finden sich in den USA, Brasilien und Indien.
Die Regelungen des Consumer Privacy Act (CCPA) in Kalifornien sind nun in Kraft und dienen sowohl anderen US-Bundesstaaten als auch den Gesetzgebern in Washington als Vorlage. Sollten sie im Jahr 2020 auf breiter Basis eingeführt werden, könnten in der EU ansässige Unternehmen mit Aktivitäten in den USA gezwungen sein, ihre Geschäftsprozesse zu ändern, wenn die örtliche Gesetzgebung von der DSGVO abweicht. In jedem Fall muss 2020 darauf geachtet werden, die individuellen Bestimmungen der Landesgesetzte zu berücksichtigen.
Das brasilianische Lei Geral de Proteção de Dados Pessoais (Allgemeines Gesetz zum Schutz personenbezogener Daten, LGPD) ähnelt in vielen Punkten der europäischen DSGVO. Bezüglich einiger Aspekte wie Rechtsgrundlagen und Meldepflicht bei Datenverletzungen geht es über die EU-Verordnung hinaus. Da die Umsetzung für August 2020 vorgesehen ist, könnte dies Unternehmen mit einem Standort in Brasilien einige zusätzliche Compliance-Maßnahmen abverlangen.
In Indien haben die Änderungen im Datenschutz durch das Gesetz Personal Data Protection (PDP) unter Umständen Auswirkungen auf den Datenaustausch zwischen internationalen Standorten.
Voraussichtlich werden auch andere Länder in Afrika und Asien im Jahr 2020 mit weiteren Regelungen nachziehen. Dies sollten die Verantwortlichen in Unternehmen, die dort geschäftlich präsent sind, im Auge behalten.
Gerichtsurteile zur Datenübertragung
Die Entscheidung des Europäischen Gerichtshofs (EuGH) über die Gültigkeit von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) sollte dieses Jahr ebenfalls beobachtet werden. Der Hauptfall Schrems II, juristisch als Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Datenschutzbeauftragter / Facebook Ireland Limited, Maximillian Schrems) bekannt, ist bereits seit einiger Zeit im Gange, könnte sich aber nun dem Abschluss nähern.
Tatsächlich äußerte sich im Dezember 2019 der EU-Generalstaatsanwalt in einer unverbindlichen Erklärung zu diesem Fall. Daher ist zu erwarten, dass es auch bald eine offizielle gerichtliche Beurteilung der Angelegenheit geben wird. Sollte Facebook Irland untersagt werden, Daten an seine amerikanische Zentrale weiterzugeben, könnte auf nationaler Ebene eine Überarbeitung der Richtlinien für Datentransfers aus einer Gerichtsbarkeit heraus nötig sein.
Der Datenschutzaktivist Maximilian Schrems klagte dagegen, dass Facebook Irland, in dem sich der europäische Hauptsitz des US-Unternehmens befindet, Daten an den Mutterkonzern in den USA weitergibt. Schrems forderte deshalb von dem irischen Datenschutzbeauftragten, die Datenübermittlungen zu überprüfen.
Schon 2013 hatte er einen ganz ähnlichen Rechtsstreit begonnen, der 2015 dazu führte, dass der Europäische Gerichtshof das sogenannte Safe-Harbor-Abkommen für ungültig erklärt hatte, das die Übermittlung personenbezogener Daten an US-Unternehmen regelte. Schrems argumentiert, dass Facebook in den USA dazu verpflichtet sei, Daten nationalen Behörden wie der Bundespolizei FBI zugänglich zu machen.
Darüber hinaus sollte auch die Entscheidung des EU-Gerichtshofs über die Zukunft von Privacy Shield in der Sache "La Quadrature du Net / Kommission" bald erfolgen. Streitpunkt ist ein Mechanismus, der von vielen Unternehmen genutzt wird, um Datentransfers von der EU in die USA zu genehmigen. Geklagt hatte die französische Gruppe für digitale Rechte, La Quadrature du Net, gegen das neu verhandelte Übertragungsabkommen der Europäischen Kommission.
Privacy Shield wurde vor drei Jahren verabschiedet, nachdem Safe Harbor aufgehoben wurde. Die neu verhandelte Vereinbarung zwischen der EU und den USA verschärfte einige Elemente und ist einer jährlichen Überprüfung durch die Kommission unterworfen. La Quadrature du Net ist ein langjähriger Kritiker dieser Vereinbarung und der Arbeit der Kommission in diesem Bereich. Die Aktivisten hatten ihre Beschwerde bereits im Oktober 2016 - unmittelbar nach dem Inkrafttreten der neuen Vereinbarung - eingereicht. Sie argumentieren, dass der Mechanismus gegen grundlegende EU-Rechte verstoße und keinen angemessenen Schutz für die EU-Bürger biete.
Es besteht ein nicht unerhebliches Risiko, dass der EuGH Datenübertragungsmechanismen über SCCs für ungültig erklärt. Sollte dies eintreffen, stehen viele Unternehmen ohne eine praktikable Lösung zur Legitimierung der internationalen Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraumes da. Dadurch können DSGVO-Bußgelder, behördliche Strafmaßnahmen einschließlich Unterlassungsanordnungen und Schadenersatzforderungen Dritter drohen.
Cookie-Management
Konkrete Entwicklungen gab es bereits im Bereich Cookie-Management. Die Regulierungsbehörden in Großbritannien, Frankreich und Deutschland haben im Herbst 2019 neue Regeln bekanntgegeben und damit der Einführung einer europaweiten Reglementierung über die ePVO vorgegriffen. Noch in diesem Jahr werden viele dieser neuen Bestimmungen in den genannten Mitgliedsstaaten in Kraft treten.
Das "Planet49"-Urteil des EuGH stellte klar, dass vorangekreuzte Checkboxen nicht als rechtmäßige Einwilligung gelten. Das wurde vom Büro des britischen Datenschutzbeauftragten (Information Commissioner's Office, ICO) prompt in dessen Regelwerk übernommen. Das ICO veröffentlichte zudem einen Leitfaden zur Verwendung personenbezogener Daten spezieller Kategorien und zur Weitergabe von Daten ohne ausdrückliche Zustimmung. Am 20. Dezember 2019 legte die Behörde ihre diesbezügliche Vorgehensweise und die nächsten Schritte fest.
In Frankreich, Deutschland und seit kurzem auch in den Niederlanden wurden ähnliche Maßnahmen in Angriff genommen. Die jeweiligen staatlichen Instanzen erklärten vor der Einführung der neuen Regelungen Mitte 2020, wie sie Websites in ihrem Zuständigkeitsbereich kontrollieren wollen.
Der Großteil dieser Maßnahmen wird durch die kommende ePVO und die DSGVO untermauert. Insbesondere letztere hat die Sichtweise der Wirtschaft und des Gesetzgebers auf Daten verändert. Seit ihrer Einführung im Mai 2018 können staatliche Stellen in Bezug auf Unternehmensverhalten und "Best Practice"-Modelle härter durchgreifen. Die 2018 und 2019 gegen große Technologieunternehmen festgesetzten Geldbußen sind wohl die bisher bedeutendsten Schritte. Auch in Großbritannien, Dänemark, den Niederlanden und in Deutschland wurden die Maßnahmen zur Durchsetzung der Vorschriften verstärkt.
In Anbetracht dessen sollten Unternehmen, sofern sie es nicht schon getan haben, 2020 der Ausarbeitung einer Strategie zur Daten- und Aufzeichnungsspeicherung priorisieren.
Datenschutzstrategien für Unternehmen
Unternehmen haben teilweise bereits vor oder mit Inkrafttreten der DSGVO Policies und Prozesse eingesetzt, um die Verordnung einzuhalten, obwohl es zu dem Zeitpunkt nur wenige regulatorische Vorgaben gab. Mittlerweile haben die Datenschutzbehörden (DSB) und der Europäische Datenschutzausschuss jedoch einige nützliche Dokumente veröffentlicht.
So existieren Beispiel-Frameworks für "Datenschutz-Folgenabschätzungen" (Data Protection Impact Assessments, DPIAs), "besondere Kategorien personenbezogener Daten", automatisierte Entscheidungsprozesse und Erklärungen zu bestimmten Gesetze, die nur für spezifische Bereiche gelten. Das britische ICO und andere staatliche Stellen in Europa haben darüber hinaus sogenannte "Appropriate Policy Documents" erstellt, die Informationen zur Verarbeitung von Daten verschiedener spezieller Kategorien liefern. Das gibt Unternehmen einige Hilfestellungen, um ihre gegenwärtige Praxis zu prüfen, zu verbessern und Schritte zur Risikominimierung zu unternehmen.
Datenschutz und KI
Viele Unternehmen loten gerade die Möglichkeiten von künstlicher Intelligenz (KI) für Ihr Business aus. Dabei handeln Fach- und IT-Abteilungen oft noch nach ungeschriebenen Regeln für die Entwicklung und den Einsatz der Trendtechnologie. Es ist unwahrscheinlich, dass das 2020 so bleiben wird. Einige Unternehmen und Forschungseinrichtungen arbeiten bereits an Rahmenbedingungen für den KI-Einsatz. Die Verantwortlichen sollten daher jetzt auf die Ausarbeitung schriftlich fixierter Verhaltens- oder Verfahrensregeln innerhalb ihres Unternehmens drängen.
Die meisten europäischen Institutionen bieten entsprechende Leitfäden an. Vor allem Unternehmen in Großbritannien dürften von einem neuen "KI-Audit-Framework" profitieren. Darin wird die Arbeit der Prüfungs- und Sicherheitsteams des ICO dargelegt. Für Unternehmen könnte das einen wertvollen Leitfaden bieten, um die Vorschriften zu erfüllen und mögliche "Stichproben" zu bestehen.
Mit Blick auf die Zukunft gibt es für den Datenschutz also eine ganze Menge zu bedenken. Es verspricht, ein arbeitsintensives Jahr 2020 zu werden.