Die Datenschutz Grundverordnung (DSGVO), die größte Änderung der europäischen Datenschutzgesetze der letzten 20 Jahre, ist jetzt vollständig in Kraft. Unternehmen hatten ein komplettes Jahr, um sich vorzubereiten, aber einige amerikanische Unternehmen scheinen entschieden zu haben, dass die Einhaltung die Mühe nicht wert ist.
Mikko Hypponen, Chief Research Officer von F-Secure, hat einige der Firmen verfolgt, die entweder ihre Angebote an europäische Kunden komplett beenden oder beschneiden.
Ist das eine praktische Entscheidung? Ist die DSGVO unfair gegenüber nichteuropäischen Interessen?
“Ich denke, sie verstehen einen wichtigen Punkt bezüglich persönlicher Daten nicht”, so Erik Andersen, Practice Leader bei F-Secures Cyber Security Services Delivery, in einer Folge des Cyber Security Sauna Podcast. “Und das ist eben, dass es nicht ihre Daten sind.”
Erik sagt, dass wir in einer Art “Ära des Wilden Westens” im Bereich des Datenschutzes gelebt haben. Bei dieser Metapher ist die DSGVO nun der Sheriff, der ausgesandt wird, um in den wilden Bereichen für Ordnung zu sorgen. Und man kann nicht erwarten, dass jeder glücklich ist, wenn er den Sheriff trifft.
“Unternehmen, die alle Daten, die sie finden konnten, als ihre eigenen Daten betrachtet haben und sich das Recht herausgenommen haben, sie so zu nutzen, wie sie wollten, werden die DSGVO durchaus als unfair bezeichnen. Aber diese Unternehmen verstehen schlicht nicht, dass es nicht ihre Daten sind.”
Er gibt zu bedenken, dass einer der besten Fürsprecher des so genannten “neuen Deals für Daten” ein amerikanischer Professor ist: Alex “Sandy” Pentland, Toshiba Professor of Media Arts and Sciences beim MIT. Der Professor stellt dar, dass die unglaublichen Mengen an Daten, die generiert werden, sowohl große Chancen für Innovation, aber auch große Ansätze zum Missbrauch bieten, weshalb man funktionierende Garantien für Datenschutz benötigt, die dann auch einfach durchsetzbar sind.
“Zusammenfassend haben wir jetzt Daten, die dabei helfen können, unsere Umwelt grüner zu machen, eine transparente Regierungsarbeit zu fördern, uns erlaubt, Pandemien einzugrenzen und natürlich auch dafür sorgt, dass wir besser arbeiten und den Kunden besseren Service bieten können”, so Pentland gegenüber dem Harvard Business Review. “Aber das kann natürlich durch Einzelpersonen oder durch ein Unternehmen missbraucht werden.”
Mit der DSGVO zu einem Zeitpunkt, den man durchaus noch als den Anbruch der Ära von “Big Data” bezeichnen kann, können die User das zurückfordern, was eigentlich schon immer ihr Eigentum war: ihre Daten.
Das ist die große Idee hinter der DSGVO: Die Bürger verdienen volle Kontrolle über ihre Privatsphäre.
Und obwohl das Konzept der DSGVO für einige amerikanische Unternehmen neu zu sein scheint, hat sich das Gesetz in diese Richtung schon länger entwickelt. Die Richtlinie verlangt zum Beispiel, dass ein Datenleck innerhalb von drei Tagen angezeigt werden muss, eine bahnbrechende Pflicht, wo es normalerweise durchschnittlich 191 Tage dauert, bis ein Unternehmen bemerkt, dass es angegriffen wurde. Allerdings ist die Bekanntgabe von Datenvorfällen nichts Neues in den USA.
“Obwohl es kein bundesweites Gesetz dazu gibt, haben 47 US-Bundesstaaten bereits Gesetze zur Meldung von Datenvorfällen“, erklärt Erka Koivunen, Chief Information Security Officer bei F-Secure, in seinem exzellenten Post zu den Mythen der DSGVO. “Deshalb gibt es so viele öffentlich bekannte Meldungen zu amerikanischen Datenlecks. Dabei ist es nicht etwa so, dass amerikanische Unternehmen schlechter im Bereich ‘Cyber’ als europäische Unternehmen sind – sie gehen mit ihren Fehlern nur offener und ehrlicher um.”
Also ist es eigentlich ein bisschen so, als würde Europa zu den USA aufschließen und so den Rest der Welt mitziehen, wenn es um die neue Welt geht, in der, wie Mikko oft betont, “alles, was Strom nutzt, online geht.”
Sollte Ihr Unternehmen immer noch dabei sein, hinterherzulaufen, sollten Sie diese Best Practices lesen. Und natürlich können Sie jederzeit Ihre E-Mail-Präferenzen bei F-Secure überarbeiten.
Kategorien