Im Jahr 2018 ist die wichtigste Währung der Welt die Datenwährung, in der Unternehmen damit handeln und Milliarden von Dollar verdienen. Morgen werden wir die Einführung des umfassendsten Datenschutzrechts der Geschichte erleben, einer Verordnung, die die vielen Fallstricke dieses digitalen Zeitalters angehen soll. Die europäische Allgemeine Datenschutzverordnung (GDPR) wird daher weitreichende Folgen haben.
Die übliche Beschwerde über jede neue Verordnung – und insbesondere jede neue EU-Verordnung – lautet, dass sie zu kompliziert ist. Die GDPR der EU hat die übliche Dosis davon erhalten. Aber in diesem Fall ist die Kritik falsch.
Vera Jourova, die Justizkommissarin der EU, bezeichnet es als eine „scheinbare Waffe“ in den Händen der Regulierungsbehörden. Der EU-Block führt die GDPR ein, die, so argumentieren seine Befürworter, den Kern, mit dem Unternehmen innerhalb und außerhalb der EU mit unseren personenbezogenen Daten umgehen, dramatisch verbessern wird. Das Gesetz wird in allen EU-Mitgliedstaaten durchgesetzt, was die Einhaltung der Vorschriften vereinfacht. Sie gilt auch für alle Organisationen außerhalb der EU, die Daten von EU-Bürgern speichern. Das bedeutet, dass jedes Unternehmen auf der ganzen Welt, das über Kunden- oder Betriebsdaten aus der EU verfügt, geeignete Maßnahmen zum Schutz der Daten ergreifen muss.
GDPR wird die Datenschutzbestimmungen im größten Handelsblock der Welt harmonisieren, den Bürgern mehr Rechte in Bezug auf die Verwendung ihrer Daten einräumen, einen umfassenden Schutz für Kinder einführen und die Fähigkeit der Regulierungsbehörden, bei Verstößen vorzugehen, verbessern.
Als die neuen Regeln zum ersten Mal vorgeschlagen wurden, verspotteten viele Führungskräfte im Silicon Valley sie als restriktiv und wettbewerbswidrig. Aber nach dem Skandal um die Nutzung von Facebook-Daten durch Cambridge Analytica hat der europäische Ansatz zum Datenschutz an Bedeutung gewonnen.
Nach Ansicht vieler Unternehmen und Datenschutzbehörden könnte DGPR zur globalen Norm werden und Standards für das Verhalten nicht nur in der EU, sondern auch in Ländern setzen, in denen Einzelpersonen bisher wenig Waffen zur Verteidigung ihrer Rechte im Internet hatten. Eve Sherly Sandberg, Chief Operating Office von Facebook, gab letzten Monat zu, dass „Europa hier weit voraus war“.
Viele Unternehmen sind nicht auf die neuen Vorschriften vorbereitet, und mehrere Länder haben es versäumt, die notwendigen Rechtsvorschriften zu erlassen, um sie auf nationaler Ebene umzusetzen. Es wurden auch einige Fragen zur Fähigkeit der Datenschutzbehörden in der gesamten Union gestellt, die neuen Vorschriften angemessen durchzusetzen. Selbst Kritiker erkennen an, dass GDPR der chaotischen Patcharbeit von Regeln, die den Umgang mit unseren Daten in ganz Europa regeln, eine neue Dynamik verleihen wird. Sie verlangt von jedem Unternehmen auf der ganzen Welt, das mit den personenbezogenen Daten eines EU-Bürgers umgeht, Transparenz darüber, wie es Speicher sammelt und verarbeitet.
Unternehmen müssen eine eindeutige Einwilligung einholen, um Daten zu verwenden und zu speichern, auf dem neuesten Stand zu halten, alte Daten zu löschen und – wenn sie über ein großes Volumen an personenbezogenen Daten, Betroffenen und Gegenständen verfügen – einen Datenschutzbeauftragten zu benennen.
Aber wann ist ein Unternehmen ein „Datenverantwortlicher“ und wann ist es ein „Datenverarbeiter“? Die beiden haben unterschiedliche Verantwortlichkeiten unter GDPR, aber die Unterscheidung widersetzt sich entschieden dem gesunden Menschenverstand. Bereits jetzt streiten sich die Unternehmen über die Klassifizierung.
Grundsätzlich jedoch, wenn die GDPR in Kraft tritt, wird sie gerechte und einfache Grundsätze aufstellen. Unternehmen, die personenbezogene Daten erheben oder verwenden, sollten die Zustimmung der Person einholen und ihren Grund dafür angeben. Die Daten sollten nur für den angegebenen Zweck verwendet werden. Wenn diese Person dann sehen will, was gesammelt wurde, sollte sie dazu in der Lage sein. Wenn personenbezogene Daten gehackt werden, sollte dies schnell geschehen.
Unserer Meinung nach gibt es in all dem nur sehr wenig zu diskutieren. Wenn die Besetzung der Einhaltung signifikant ist, spricht das weniger für die Regel als für die Tatsache, dass Unternehmen unsere Daten so gesammelt und gespeichert haben, dass wir uns unwohl fühlen sollten, wie Herr Zuckerberg mit Facebook, das wir zusammenfassen können als „Wenn Sie Ihre eigene Kreation nicht kontrollieren“!
Allerdings bleiben ernsthafte Fragen, ob das Gesetz die beabsichtigten Auswirkungen haben wird oder welche unbeabsichtigten Folgen es haben kann. Am wichtigsten ist dabei, ob die Last der Compliance für alle Technologieunternehmen gleichermaßen abnimmt. Die Analogie zur Bankenreform nach der Krise ist nützlich. Regeln, die teilweise darauf abzielten, „too big to fail“ zu beenden, hatten den gegenteiligen Effekt: Die Kosten für die Einhaltung der Vorschriften waren für große Institute leichter zu tragen. Der Effekt war wahrscheinlich eine allgemeine Dämpfung des Wettbewerbs. Der Europäische Datenschutzrat (DDOW) – die für den Antrag von GDPR zuständige Stelle – sollte sicherstellen, dass nach Ablauf der ersten Übergangszeit die Einhaltung der Kosten kleine Unternehmen nicht dauerhaft benachteiligt.
Als nächstes stellt sich die Frage, wie die Verantwortung für die Durchsetzung auf die EU-Mitgliedstaaten verteilt wird. Für Unternehmen wird die Aufsichtsverantwortung für die Durchsetzung auf die EU-Mitgliedstaaten verteilt. Für Unternehmen wird die Aufsichtsverantwortung der Datenschutzbehörde (DPA) des Mitgliedstaates übertragen, in dem sie ihren Sitz haben oder ihre Haupttätigkeit ausüben. Beschwerden mit Ursprung in anderen Ländern werden an dieses DPA weitergeleitet. Bei Facebook, Twitter und LinkedIn zum Beispiel würde Irland wahrscheinlich die Verantwortung übernehmen. In grenzüberschreitenden Fällen werden die nationalen DPAs der EDPB Durchsetzungsmaßnahmen zur Entscheidung empfehlen. Sollten die Unternehmen das EDPB-Urteil anfechten, würde der Fall im Gerichtssystem des Mitgliedslandes ausgetragen.
Die neuen Regeln verbieten es Unternehmen auch, Daten über Rasse, ethnische Zugehörigkeit, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder sexuelle Orientierung ohne ausdrückliche Zustimmung zu verarbeiten.
Letztendlich wird die Wirkung von GDPR davon abhängen, ob der Einzelne beschließt, die größeren Befugnisse auszuüben, die ihm die Regeln geben. Sie sind Teil eines weltweit wachsenden Bestrebens, dass die Kunden zu „digitalen Erwachsenen“ heranwachsen, mit mehr Kontrolle und Verantwortung für ihre eigenen Informationen. Die Befürworter hoffen, dass GDPR den Einzelnen helfen wird, anspruchsvoller und sensibler für ihre neue Macht zu werden. „Die betroffenen Personen werden sich ihrer Rechte zunehmend bewusst werden, und sie werden keine schlechten Praktiken von Unternehmen hinnehmen“, sagt Helen Dixon, Irlands Datenschutzbeauftragte. Sie weist auch darauf hin, dass die registrierten Nutzer von Facebook sogar zugenommen haben, während der Cambridge Analytica-Skandal als Beispiel für das so genannte „Datenschutzparadoxon“ gewütet hat, dass die Menschen zwar sagen, dass sie die Kontrolle über ihre Datenangelegenheiten bei ihnen haben, dass sie aber im Großen und Ganzen beiläufig geblieben sind, es aufzugeben.
-Die Reichweite von GDPR-
Die Reichweite der GDPR erstreckt sich bereits weit über die EU hinaus. Laut Graham Greenleaf, Professor für Recht und Informationssysteme an der University of New South Wales in Australien, hatten 2017 weltweit 120 Länder Datenschutzgesetze, aber GDPR ist wahrscheinlich die am meisten übertragende und die strengste.
Zunächst einmal muss jedes Land, das ein Handelsabkommen mit der EU unterzeichnen möchte, die Einhaltung der GDPR unterzeichnen, und zwar beim ersten Mal, wenn die EU sich im Rahmen ihrer Rolle bei der Aushandlung von Freihandelsabkommen im Namen ihrer 28 Mitgliedstaaten formell mit dem Thema Handel und Datenströme befasst.
Für viele große multinationale Unternehmen könnte es sinnvoll sein, die GDPR weltweit sowohl unter Kosten- als auch unter Konsistenzaspekten anzuwenden. Regulierungsbehörden in Ländern wie Hongkong haben ihre Gesetze auf die Datenschutzrichtlinie der EU von 1995 gestützt und bestätigt, dass sie beabsichtigen, sie an die GDPR anzupassen.
Doch trotz der Vorhersagen über die globalen Auswirkungen gibt es große Fragen, wie sie tatsächlich in der EU umgesetzt werden. Angesichts des Umfangs der neuen Vorschriften, die sich auf mehr als 200 Seiten erstrecken, hat sich die Vorbereitung auf die GDPR als lästig und teuer erwiesen. Schätzungen zufolge mussten Unternehmen im britischen FTSE 100 durchschnittlich 15 Millionen Pfund ausgeben, um sie einzuhalten, so die Studie der Rechtsberatungsfirma Axiom. In den USA sagen die International Association of Privacy Professionals und EY, dass Mitglieder der Fortune 500 zusammen 7,8 Milliarden US-Dollar für Compliance ausgeben werden, durchschnittlich fast 16 Millionen US-Dollar.
Die Umfrage deutet darauf hin, dass Fortune-500-Unternehmen jeweils durchschnittlich fünf fest angestellte Datenschutzbeauftragte – wie z.B. Datenschutzbeauftragte – sowie weitere fünf Mitarbeiter einstellen mussten, um Teilzeit an der Compliance zu arbeiten. Für einige Unternehmen hat GDPR verlangt, dass sie eine Prüfung der von ihnen gespeicherten Informationen durchführen, aber die Aufgabe, Datenbanken mit alten oder doppelten Informationen zu „bereinigen“ und Personen um Zustimmung zu bitten, hat Monate gedauert.
Angesichts des Umfangs der Aufgabe wird eine beträchtliche Anzahl von Unternehmen nicht rechtzeitig zum 25. Mai bereit sein. Eine Umfrage des Analytikunternehmens SAS unter fast 200 globalen Unternehmen im Februar ergab, dass weniger als die Hälfte der Befragten erwartet, dass sie bis zum Stichtag vollständig konform sind.
Kleinere Unternehmen in der EU und anderswo sind besonders gefährdet. Im März stellte die britische Federation of Small Business zum Beispiel fest, dass weniger als jedes zehnte kleine Unternehmen im Vereinigten Königreich vollständig auf die GDPR vorbereitet war, wobei knapp jedes fünfte Unternehmen nicht einmal von der Existenz der neuen Vorschriften wusste.
Aber nicht nur Unternehmen hinken hinterher. Im Januar erklärte die Europäische Kommission, dass die 28 Mitgliedstaaten des EU-Blocks nur Österreich und Deutschland Änderungen ihrer Rechtsvorschriften im Vorfeld der neuen Verordnungen vollständig übernommen hätten. Es wird erwartet, dass Länder wie Großbritannien die Gesetze in letzter Minute verabschieden. Baker McKenzie sagt, dass fünf EU-Länder, Bulgarien, Griechenland, Malta, Portugal und Rumänien, noch nicht einmal einen Gesetzentwurf oder angemessene Informationen darüber veröffentlicht haben, wie sie GDPR umsetzen werden.
Für Unternehmen, die weiterhin gegen die neuen Vorschriften verstoßen, könnte die Nichteinhaltung hohe Kosten verursachen, mit Bußgeldern von potenziell 4% des weltweiten Umsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist.
Die Kosten für die Behebung der Probleme sowie der Reputationsschaden könnten noch höher sein. Aber es gibt erhebliche Fragezeichen, ob die Verantwortlichen für die Durchsetzung der neuen Regeln der Aufgabe gewachsen sind.
Bereits 2015 warnte Jacob Kohnstamm, ehemaliger Vorsitzender der niederländischen Datenschutzbehörde, dass Unternehmen, die gegen die Regeln verstoßen, „wenig Chancen haben, erwischt zu werden“. Angesichts des Budgets seiner Organisation für Untersuchungen „ist die Chance, dass die Regulierungsbehörde an Ihre Tür klopft, weniger als alle tausend Jahre“.
Die Mittel, die den meisten europäischen DPA-Haushalten zur Verfügung stehen, sind immer noch ein Bruchteil der Mittel in Nordamerika – und sind im Durchschnitt im gesamten Block nur um etwa ein Viertel gestiegen, als Reaktion auf die gestiegenen Anforderungen, die GDPR an sie stellt.
Giovanni Buttarelli, der europäische Datenschutzbeauftragte der EU, warnte Ende letzten Jahres, dass die Zahl der Personen, die für die Regulierungsbehörden in der EU arbeiten – etwa 2.500 – nicht viele Menschen seien, die die Einhaltung eines komplexen Rechts überwachen, das für alle Unternehmen auf der Welt gilt, die Dienstleistungen für Menschen in Europa erbringen oder überwachen“.
Im vergangenen September sagte Elizabeth Denham, die britische Informationskommissarin, sie brauche mehr Personal bei besserer Bezahlung, wenn die Regulierungsbehörde die GDPR wirksam durchsetzen wolle. Nach einer Aufstockung der staatlichen Mittel wird das Büro des für Informationsfragen zuständigen Kommissars die Mitarbeiterzahl bis 2020 um ein Drittel auf etwa 700 erhöhen, aber DPAs und Unternehmen in der gesamten Region kämpfen darum, das ausgebildete Personal einzustellen, das sie benötigen.
Das Büro von Frau Dixon in Irland hat 100 Mitarbeiter, und sie plant, in diesem Jahr weitere 40 einzustellen, wobei sie Prozessanwälte, Strafverteidiger und Mitarbeiter mit Ermittlungserfahrung, zum Beispiel aus dem Versicherungssektor, hinzuzieht. „Um große Korrekturkräfte einzusetzen, die wirklich beißen, müssen wir nachweislich zeigen, dass wir einen fairen Prozess verfolgt haben“, sagte sie. Frau Dixon ist sich des Umfangs der anstehenden Aufgabe bewusst, da Dublin die europäische Heimat vieler US-Tech-Gruppen wie Facebook, Twitter, Dropbox, LinedIn und Airbnb ist.
Im Rahmen von GDPR wird eine Behörde die Leitung in Fällen wie Datenschutzverletzungen und damit zusammenhängenden Fragen übernehmen und nicht in der aktuellen Situation, in der ein Unternehmen mehreren rechtlichen Herausforderungen durch Regulierungsbehörden in verschiedenen EU-Mitgliedstaaten ausgesetzt sein kann. Theoretisch verbietet GDPR „Forum Shopping“ für Unternehmen, die ihre bevorzugte Regulierungsbehörde wählen wollen, und objektive Kriterien sollten regeln, wer in bestimmten Fällen führt.
Facebook würde in die Zuständigkeit der irischen DPA fallen, da sich ihre zentrale Verwaltung in Irland befindet, ihre Dienstzeit mit ihrer irischen Einheit verbunden ist und sie über ein umfangreiches Team für Datenschutz und Privatsphäre in Dublin verfügt.
Für Unternehmen wie Google, das Dienstleistungen über seinen globalen Hauptsitz erbringt, wird die Regulierung davon abhängen, wo in Europa Fälle eingereicht werden. Dadurch wird weniger deutlich, welche Regulierungsbehörde die Aufsicht über die Datennutzung und die Datenschutzpraktiken des Unternehmens hat.
Es gibt noch andere Grauzonen. Unternehmen der Werbetechnik, die Daten von Websites Dritter sammeln, müssen möglicherweise die Zustimmung der Nutzer einholen. Google hat versucht, dem entgegenzuwirken, indem es sich selbst als „Kontrolleur“ von Daten unter GDPR im Umgang mit Informationen Dritter definiert. Aber die Bezeichnung wurde von Verlagen abgelehnt, die die Zustimmung zur Weitergabe von Informationen an Google einholen müssen, was zu Bedenken bei ihren eigenen Nutzern führt.
Daher stellt sich die Frage, ob die nationalen DPAs über die finanziellen und organisatorischen Voraussetzungen verfügen, um starke Unternehmen zu übernehmen?
Die DPA-Mittel werden aus den nationalen Haushalten stammen; ihnen wurden keine europäischen Mittel zugewiesen. Und die EDPB selbst ist dünn besetzt und könnte Schwierigkeiten haben, Unterstützung zu leisten. Irlands DPA ist relativ gut besetzt, aber sein Budget von 11,7 Millionen Euro in diesem Jahr ist eine kleine Veränderung im Vergleich zur Public Affairs-Abteilung von Facebook oder Google.
GDPR soll den EU-Bürgern Informationen und Kontrolle geben. Wenn sie die Informationen nicht aufnehmen oder die Kontrolle ausüben und die Zustimmung beiläufig erteilen, werden sie durch die Regeln nicht besser gestellt.
Wir sind der Meinung, dass noch viel zu tun ist, um es am besten in die Praxis umzusetzen. Wir wissen jedoch bereits, dass Rechte leer sind, sofern sie nicht ausgeübt werden.