Der 25. Mai 2021 markierte den dritten Jahrestag der DSGVO. Daher lohnt sich ein Blick auf den aktuellen Zustand des europäischen Datenschutzes, insbesondere seit dem Schrems-II-Urteil.
Obwohl viele Unternehmen befürchtet haben, dass die strengen Anforderungen der DSGVO die Produktivität und den Umsatz beeinträchtigen könnten, hat sich die DSGVO zu einem Treiber für Innovationen und die Transformation entwickelt. In den letzten drei Jahren haben Unternehmen von der Verordnung profitiert, indem sie:
- die Cyber-Sicherheitslage durch Datentransparenz und -schutz verbessern,
- Datenschutzprozesse im gesamten digitalen Markt der EU standardisieren,
- ihre Markenreputation schützen und
- Vertrauen bei Kunden aufbauen und erhalten konnten.
In diesem Zusammenhang haben sich die Datenschutzbehörden (Data Protection Authorities, DPAs) zu vertrauenswürdigen Ansprechpartnern für Unternehmen entwickelt, die die DSGVO einhalten wollen – die von den DPAs herausgegebenen Rechtsprechungen dienen als Richtlinien, die Unternehmen dabei helfen, Lücken zu vermeiden und ihre Praktiken an die DSGVO-Anforderungen anzupassen. Insgesamt besteht der größte Vorteil der Verordnung darin, dass sie eine kundenzentrierte Cyber-Sicherheit in den Dialog zum Schutz der Datenschutzrechte im digitalen Zeitalter eingebracht hat.
Trotz der durch die Pandemie entstandenen Herausforderungen für den Ausgleich von Datenschutz und Sicherheit mit der Online-Zusammenarbeit, herrscht die Meinung vor, dass die DSGVO den Test der COVID-19-Krise bestanden hat. Wie der Präsident der französischen Datenschutzbehörde feststellte, hat das Jahr 2020 die DSGVO auf die Probe gestellt und in der öffentlichen Debatte viele Spannungspunkte hervorgebracht, die die Wahrnehmung und die Bedenken in Bezug auf personenbezogene Daten und den Schutz der Privatsphäre verändern können. Auch wenn es einige Stimmen gibt, die die DSGVO inzwischen als veraltet ansehen, hat sich die Verordnung als flexibles Dokument erwiesen, das Raum für die Berücksichtigung aller technologischen Fortschritte lässt.
Sie hat auch einen regionalen Rahmen geschaffen, der die Privatsphäre von mehr als 455 Millionen Bürgerinnen und Bürgern in 27 verschiedenen Ländern schützt. Für Unternehmen und Organisationen ist es viel einfacher, die Einhaltung zu verwalten.
Weitreichende Wirkung
„The world’s cybersecurity regulation gold standard“ ist aufgrund des Anstiegs von Cyberbedrohungen gegen persönliche Daten und die Privatsphäre jetzt noch wichtiger als bei der Veröffentlichung im Jahr 2018. Staatlich gesponserte Cyber-Kriminelle bauen ihre Ressourcen und Fähigkeiten aus, wie die jüngsten Angriffe auf kritische Infrastrukturen und Behörden zeigen. Darüber hinaus tun Technologieunternehmen und der kommerzielle Sektor im Allgemeinen nicht genug für den Schutz von persönlichen Daten.
Dies gilt insbesondere für die Vereinigten Staaten, wo das Fehlen eines Bundesgesetzes zum Schutz der Privatsphäre, es Regierungsbehörden und privaten Unternehmen ermöglicht, fragwürdige Praktiken anzuwenden. Das hat den EU-Gerichtshof veranlasst, zu entscheiden, dass das EU-US-Privacy-Shield-Rahmenwerk für Datentransfers über den Atlantik hinweg nicht mehr gültig ist. Das sogenannte Schrems-II-Urteil hat weitreichende Folgen für Tausende von in den USA registrierten Unternehmen, die Daten von EU-Bürgern verarbeiten und speichern.
Die US-Regierung unter Präsident Joe Biden hat erkannt, dass diese problematische Situation die Interessen der USA behindert und ist bereit, an mehreren Fronten zu handeln, um ein Bundesgesetz zum Datenschutz zu schaffen, das mit der DSGVO abgestimmt ist. Tatsächlich begann dieser Trend mit der Verabschiedung des California Consumer Privacy Act (CCPA). Anstelle eines heterogenen Flickenteppichs von unterschiedlichen einzelstaatlichen Gesetzen, würde eine bundesweite Datenschutzgesetzgebung den Verbrauchern in der ganzen USA ein klareres Verständnis ihrer Rechte geben und den Unternehmen helfen, ihre spezifischen Verpflichtungen zur Einhaltung der Vorschriften zu verstehen.
Neben den Vereinigten Staaten hat die DSGVO weitreichende Auswirkungen auf viele Länder und internationale Organisationen. Kürzlich verkündete die Open-Ended Working Group (OEWG) der Vereinten Nationen die Notwendigkeit eines globalen Abkommens/Vertrags zur Cybersicherheit und dass die Staaten angemessene Schritte unternehmen sollten, damit die Nutzer Vertrauen in die Sicherheit von IKT-Produkten haben können und dass die Vertraulichkeit sensibler Informationen gewährleistet werden sollte. Nach dem Brexit replizierte die DSGVO des Vereinigten Königreichs das ursprüngliche DSGVO-Gesetz wortwörtlich, einschließlich der Sanktionen und der Verpflichtung zu einer Anpassung der Cyber-Sicherheit und des Datenschutzes an die etablierten Richtlinien und Praktiken in der EU.
Datenverschlüsselung fördert die Einhaltung der DSGVO
Trotz dieser Entwicklungen versäumen es viele Unternehmen, die Integrität und Vertraulichkeit der von ihnen gespeicherten und verarbeiteten personenbezogenen und sensiblen Daten angemessen zu schützen. Infolgedessen wächst die Besorgnis über die große Menge an gestohlenen, unverschlüsselten Daten, die aufgrund von Datenschutzverletzungen, die Lücken im Datenschutz ausnutzen, kompromittiert werden. Einem aktuellen Bericht zufolge wurden in den ersten drei Quartalen des Jahres 2020 ganze 2.953 Datenschutzverletzungen mit insgesamt 36 Milliarden gefährdeten Datensätzen gemeldet.
Unternehmen sollten in Datenverschlüsselungslösungen investieren, um ihre Daten zu schützen, egal wo sie sich befinden – in der Cloud, vor Ort oder auf dem Transportweg. Datenverschlüsselungslösungen helfen Unternehmen nicht nur, die Auswirkungen eines Datensicherheitsvorfalls zu minimieren, sondern auch die Einhaltung einer wachsenden Anzahl von Sicherheits- und Datenschutzvorschriften wie der DSGVO zu gewährleisten.
Rob Elliss ist Vice President Data Security EMEA bei Thales.