Categories: Regulierung

Wie sieht der Datenschutz in Zukunft aus?

In schneller Folge werden gegenwärtig Umfragen veröffentlicht, wie es um die Umsetzung der Datenschutz-Grundverordnung (DSGVO) steht:

  • Eine Umfrage von Commvault zeigt, dass 57 Prozent der deutschen Unternehmen noch nicht mit der Umsetzung der EU-DSGVO begonnen haben. 52 Prozent der Unternehmen wissen auch nicht, wie lange sie brauchen, um personenbezogene Daten zu finden und eine Anfrage zu beantworten, oder benötigen dazu mehrere Tage.
  • Es herrscht Unklarheit darüber, welche personenbezogenen Daten geschützt werden müssen. Von den deutschen Befragten waren sich nur 35 Prozent darüber im Klaren, dass das Geburtsdatum eines Kunden als personenbezogen klassifiziert ist. Zusätzlich würden nur 64 Prozent ihre Marketing-Datenbanken als personenbezogen einordnen. 34 Prozent stufen Adressen von Kunden fälschlicherweise nicht als personenbezogen ein, 23 Prozent deren E-Mail-Adressen, so eine Studie von Trend Micro.
  • Fast die Hälfte (47 Prozent) der von WatchGuard befragten Unternehmen in Deutschland war sich zum Zeitpunkt der Befragung zwischen Mai und August 2017 nicht im Klaren darüber, ob die DSGVO in ihrem Fall greift.

Diese Beispiele zeigen, es bleibt noch sehr viel zu tun. Doch so schwierig es ist, die Umsetzung der DSGVO noch fristgerecht zu schaffen, der Datenschutz bleibt auch nach dem 25. Mai 2018 ein führender Punkt auf der Agenda.

Viele konkrete Regelungen folgen erst noch

Während die (zahlreichen) Öffnungsklauseln der DSGVO von den Mitgliedsstaaten der EU bis 25. Mai 2018 mit Leben gefüllt werden können, also in verschiedenen Bereichen wie dem Beschäftigtendatenschutz nationale Regelungen (wie in Deutschland mit dem BDSG) neu getroffen werden können, bleiben auch am 25. Mai 2018 noch viele Bereiche ohne konkrete Vorgaben.

Zum einen ist dies so gewollt, denn die Unternehmen müssen selbst Maßnahmen definieren, um zum Beispiel die Datensicherheit zu gewährleisten. Dabei müssen bekanntlich der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden.

Zum anderen wird es aber auch sogenannte Verhaltensregeln geben. Die Verhaltensregeln sollen dazu beitragen, dass es in besonderen Verarbeitungsbereichen und insbesondere bei kleinsten, kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung der DSGVO kommt, sprich: sie sollen dazu beitragen, dass die DSGVO richtig ausgelegt und angewendet wird.

Verhaltensregeln und Leitlinien bieten Unterstützung

Die DSGVO nennt Bereiche, in denen Verhaltensregeln durch Verbände und andere Vereinigungen ausgearbeitet oder geändert oder erweitert werden können, darunter:

  • die Pseudonymisierung personenbezogener Daten
  • die Maßnahmen für die Sicherheit der Verarbeitung
  • die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten
  • die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen

In diesen und weiteren Bereichen ist es also möglich und sehr wahrscheinlich, dass es Verhaltensregeln für einen Datenschutz nach DSGVO geben wird. Es gehört zu den Aufgaben der Aufsichtsbehörden für den Datenschutz, die Ausarbeitung von Verhaltensregeln zu fördern und zu diesen Verhaltensregeln Stellungnahmen abzugeben und sie zu billigen.

Neben den zu genehmigenden Verhaltensregeln, die zum Beispiel Verbände entwickeln, wird es auch einen Europäischen Datenschutzausschuss geben, der aus den Aufsichtsbehörden für den Datenschutz der EU-Mitgliedsstaaten gebildet wird.

Dieser Datenschutzausschuss wird Leitlinien, Empfehlungen und bewährte Verfahren zu verschiedenen Bereichen der Datenverarbeitung veröffentlichen, die Unternehmen dann kennen und umsetzen sollten. Dies betrifft zum Beispiel die „Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat“. Unternehmen sollten dies dann in ihrem Verfahren zur Meldung von Datenschutzverletzungen berücksichtigen.

Auch Privacy Shield ist nicht abgeschlossen

Es zeigt sich, dass es auch in Zukunft noch einiges zu implementieren gilt, nachdem die Frist zur Umsetzung der DSGVO abgelaufen ist. Nicht vergessen werden sollten aber auch Themen wie Privacy Shield und die weitere Entwicklung, wenn es um Datenübermittlungen in die USA geht. Auch hier erwartet Unternehmen noch einiges an möglicher Arbeit.

Der aktuelle Stand ist hier immer noch: Trotz der fortbestehenden Bedenken hatte die Artikel-29-Datenschutzgruppe beschlossen, die Erkenntnisse der ersten jährlichen Überprüfung des Privacy Shield durch die Europäische Kommission und die US-Regierung im Jahre 2017 abzuwarten. Die europäischen Datenschutzbehörden streben bei dieser Überprüfung eine aktive Beteiligung an. Der Ausgang der Überprüfung ist offen, Änderungsbedarf damit möglich.

Datenschutz-Technologie sorgt ebenso für Änderungen

Neben den weiteren rechtlichen Entwicklungen ist es auch die Technologie, die den Datenschutz in Zukunft deutlich beeinflussen und verändern wird. Technologie ist dabei nicht nur die Ursache möglicher, neuer Datenrisiken, sondern sie kann auch bei der Umsetzung des Datenschutzes helfen. Bereiche, in denen der Datenschutz technische Hilfe benötigt, gibt es viele. Nicht ohne Grund widmet die DSGVO dem Thema Datenschutz durch Technikgestaltung (Privacy by Design) einen eigenen Artikel. Ebenfalls gefordert sind datenschutzfreundliche Voreinstellungen (Privacy by Default).

Finden die Vorgaben Privacy by Design und Privacy by Default (endlich) mehr Beachtung, hilft dies dem Datenschutz enorm. Die betroffenen Nutzer werden entlastet, die Freiwilligkeit der Einwilligung wird gestärkt oder letztlich erst ermöglicht, wenn der Datenschutz eingebaut und voreingestellt ist.

Doch auch neue Technologien haben das Potenzial, den Datenschutz in Zukunft zu erleichtern. Dazu gehört der Einsatz von Künstlicher Intelligenz (KI), um den Nutzer in Datenschutzfragen gezielt zu beraten. Eine entsprechende Entwicklung ist das Projekt DatenschutzScanner. Der DatenschutzScanner soll in Zukunft Nutzer darüber informieren, wie andere Apps mit ihren persönlichen Daten umgehen, er soll es ermöglichen, die Datenverarbeitung von Apps entsprechend der eigenen Datenschutzpräferenzen anzupassen. Zudem sollen auch rechtliche Texte, wie z.B. Datenschutzerklärungen und AGB, automatisiert ausgewertet werden.

Im Bereich der Einwilligung (Consent), eine der grundlegenden Voraussetzungen für eine rechtskonforme Datenverarbeitung, wird sich durch Technologie ebenfalls vieles verändern. So können informierte Einwilligungen nach DSGVO in Zukunft auch zum Beispiel „durch die Auswahl technischer Einstellungen oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“.

Technische Lösungen für das Consent Management können innerhalb von IT-Lösungen die Einwilligung entgegen nehmen und die Einwilligung dokumentieren. Eine Schriftform für die Einwilligung ist mit der DSGVO nicht mehr erforderlich.

Im Datenschutz wird sich viel verändern

Datenschutz bleibt also auch in Zukunft spannend, neue Forderungen und Vorgaben kommen hinzu, gleichzeitig bieten Datenschutz-Technologien eine stärkere Unterstützung an. Ganz klar ist auch, dass Unternehmen in Zukunft den Datenschutz noch ernster nehmen müssen, nicht nur wegen der drohenden, hohen Bußgelder, sondern auch wegen ihrer Kunden. Den Kunden ist Datenschutz wichtig, wie ebenfalls die Umfragen zeigen, die gegenwärtig veröffentlicht werden, zum Beispiel:

Wer sich ein Smart-Home-Produkt kauft, wünscht sich Transparenz zu Sicherheit und Datenschutz, so das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom: Datenschutz spielt eine große Rolle beim Kauf. So sagen 84 Prozent, dass ihnen ein hoher vom Hersteller garantierter Datenschutzstandard wichtig ist, ein unabhängiges Siegel dafür wäre für 79 Prozent ein wichtiges Kaufargument. Zwei Drittel (68 Prozent) achten beim Kauf außerdem darauf, dass die Smart-Home-Daten nur in Deutschland gespeichert werden.

Zum Datenschutz der Zukunft lässt sich also sagen: Datenschutz hat Zukunft. Man kann sogar sagen: Nur mit Datenschutz gelingt in Zukunft die Digitalisierung.

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

6 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

6 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago