Inzwischen gibt es auf der ganzen Welt umfassende Datenschutzgesetze. Zwar ist jedes von ihnen anders formuliert, doch es gibt viele Gemeinsamkeiten in Bezug auf die Rechte, Pflichten und Durchsetzungsbestimmungen für Unternehmen. Worauf Unternehmen bei der Datenschutz-Gesetzgebung achten sollten, erklärt Todd Moore, VP Encryption Products bei Thales.
Die Bemühungen der Gesetzgeber haben sich in den letzten zwei Jahren intensiviert, es wurden viele Datenschutzgesetze verabschiedet und angenommen. Dieser Trend setzte sich bis 2022 fort, wobei Regionen wie der Nahe Osten, der asiatisch-pazifische Raum und Bundesstaaten in den USA Gesetze zum Datenschutz einführten oder abänderten.
Die immerwährenden Auswirkungen der DSGVO
Gartner schätzt, dass bis zum Jahr 2023 75 Prozent der Weltbevölkerung in Ländern mit moderne Datenschutzbestimmungen leben werden. Die International Association of Privacy Professionals (IAPP) hat in Zusammenarbeit mit dem Westin Research Center eine interaktive Karte erstellt, auf der die Länder mit Datenschutzgesetzen verzeichnet sind.
Die IAPP hat auch ein Diagramm-Tool für viele der weltweiten Datenschutzgesetze veröffentlicht, einschließlich der Gesetze in den USA und der EU. Dieses umfassende Instrument ist eine gute Demonstration der Gemeinsamkeiten zwischen den verschiedenen Datenschutzgesetzen auf der ganzen Welt und der Auswirkungen, die die DSGVO hat.
Drei Trends für die Datenschutzpolitik von heute
Die wichtigsten Veränderungen beim Datenschutz und der Datenverwaltung lassen sich in drei Trends zusammenfassen:
- Zunehmende Komplexität der Vorschriften
Für Unternehmen und Datenschutzbeauftragte ist es ein großes Problem, mit den raschen Änderungen von Vorschriften und Gesetzen Schritt zu halten. Durch die Verwendung von standardisierten und gut dokumentierten Best Practices für die Sicherheit können Datenschutz- und Compliance-Teams proaktiv mit den Änderungen der Vorschriften Schritt halten. Die Integration von Flexibilität und Agilität in die Architektur von Unternehmenssystemen hilft bei der Anpassung an diese neuen Standards.
- Eine sich rasant entwickelnde Daten- und Technologielandschaft
Unternehmen sehen die Einhaltung von Vorschriften gelegentlich als Hindernis für Innovationen, da immer neue Technologien und Datennutzungstechniken auftauchen. Die Einführung eines „Privacy by Design“-Ansatzes kann Unternehmen jedoch dabei helfen, die gesetzlichen Vorschriften einzuhalten und dennoch Spitzenleistungen zu erbringen.
- Wachsendes Bewusstsein der Stakeholder
Geschäftsabläufe, Ethik und Unternehmensführung werden von Stakeholdern wie Kunden, Beschäftigten und Investoren sehr genau geprüft. Folglich sind Transparenz und Zustimmung sehr wichtig. In den kommenden Jahren wird die Fähigkeit, das Vertrauen der Verbraucherinnen und Verbraucher durch transparente Kommunikation zu gewinnen, ein strategisches Unterscheidungsmerkmal für Unternehmen sein.
Die Entwicklung des Datenschutzes geht über die Einhaltung gesetzlicher Vorschriften hinaus und führt zu einer Ära der integrierten Datenverwaltung und vertrauenswürdigen Datennutzung. Darüber hinaus wird der Datenschutz in den Vorstandsetagen und bei den Stakeholdern immer mehr in den Vordergrund gerückt. Dies gibt den Compliance-Teams die Möglichkeit, überzeugend darzustellen, wie die Bemühungen um den Datenschutz im gesamten Unternehmen integriert werden, um neue Ziele zu erreichen.
Wichtige Meilensteine des weltweiten Datenschutzes im Jahr 2023
Im Jahr 2023 stehen vier wichtige Ereignisse an:
- In Kraft tretende US-Gesetze
In diesem Jahr traten der California Privacy Rights Act oder der Virginia Consumer Data Protection Act in Kraft. Der Connecticut’s Act Concerning Personal Data Privacy and Online Monitoring oder der Colorado Privacy Act werden bis zum 1. Juli 2023 und der Utah Consumer Privacy Act bis zum 31. Dezember in Kraft treten.
Auf Bundesebene ist der American Data Privacy and Protection Act (ADPPA) das bedeutendste Bundesgesetz zum Datenschutz in den USA seit dem U.S. Privacy Act von 1974. Das ADPPA verfolgt einen ziemlich umfassenden Ansatz zum Schutz der Privatsphäre, der viele der Richtlinien der DSGVO einbezieht.
- Abkehr von Drittanbieter-Cookies
Cookies von Drittanbietern werden nach dem 31. Dezember 2023 nicht mehr verwendet werden. Dies stellt eine erhebliche Veränderung gegenüber den derzeitigen Ansätzen für gezielte Werbung und Personalisierung dar, schafft aber auch neue Möglichkeiten für Unternehmen und Vermarkter.
- Grenzüberschreitende Datenübermittlung und der Datenschutzrahmen
Im Juli 2020 stellte der Gerichtshof der Europäischen Union (EuGH) fest, dass der EU-US-Datenschutzschild-Rahmen unzureichend ist. Obwohl sich der Fall auf Datenübertragungen zwischen der EU und den USA bezog, sind die Auswirkungen global.
Der Europäische Datenschutzausschuss (EDPB) hat einen Leitfaden herausgegeben, der die nächsten Schritte klärt, und die Unternehmen werden ihre Verfahren für die Handhabung internationaler Datenübertragungen neu bewerten müssen.
Im Oktober 2022 veröffentlichte die Regierung Biden den EU-US-Datenschutzrahmen, der auf gemischte Reaktionen stieß. Die Europäische Kommission muss nun einen Angemessenheitsbeschluss fassen, der nicht vor Frühjahr 2023 erwartet wird.
- Neue EU-Richtlinien
Der EU Data Governance Act (DGA) wird den Zugang zu und die gemeinsame Nutzung von Daten mit dem öffentlichen Sektor zum Wohle der Allgemeinheit erleichtern. Dies wird eine weitere Ebene der Komplexität hinzufügen, da Organisationen versuchen, ihre Daten zu verstehen und zu erkennen, was erforderlich ist, um eine konforme Datenübertragung zu ermöglichen. Die EU-DSGVO ist am 23. Juni 2022 in Kraft getreten und wird nach einer 15-monatigen Karenzzeit ab September 2023 gelten.
Darüber hinaus schlug die Europäische Kommission im Februar 2022 die EU-Datenschutzverordnung (EU Data Act) vor, die „Verbrauchern und Unternehmen noch mehr Kontrolle darüber geben wird, was mit ihren Daten geschehen kann, indem sie klarstellt, wer auf Daten zugreifen darf und zu welchen Bedingungen“, wie Margrethe Vestager, Vizepräsidentin der Kommission für ein Europa, in einer Pressemitteilung erklärte.
Diese neuen Richtlinien zeigen, dass es immer wichtiger wird, eine einzige Source of Trust für die Datenkatalogisierung und das Daten-Mapping zu haben. Die Ausrichtung des Unternehmens auf diese strategische Richtung wird sich auszahlen, sobald diese neuen Verpflichtungen vollständig in Kraft treten.