Stand der DSGVO im Jahr 2021: Wichtige Aktualisierungen und was sie bedeuten

Veröffentlicht: 2022-03-10
Kurze Zusammenfassung ↬ Als digitale Praktiker hat die DSGVO jeden Aspekt unseres Berufs- und Privatlebens beeinflusst. Egal, ob Sie süchtig nach Instagram sind, Ihrer Familie Nachrichten über WhatsApp senden, Produkte von Etsy oder Google-Informationen kaufen, niemand ist den Regeln entgangen, die 2018 eingeführt wurden.

Die EU-Richtlinien haben sich praktisch auf jeden Digitalprofi ausgewirkt, da Produkte und Dienstleistungen unter Berücksichtigung der DSGVO entwickelt wurden, unabhängig davon, ob Sie ein Webdesign-Unternehmen in Wisconsin oder ein Vermarkter in Malta sind. Die weitreichenden Auswirkungen der DSGVO wirken sich nicht nur darauf aus, wie Daten verarbeitet, Produkte entwickelt und Daten sicher innerhalb und zwischen Organisationen übertragen werden sollten. Es definiert internationale Datenübertragungsabkommen wie das zwischen Europa und Amerika.

Kevin Kelly, einer der klügsten digitalen Futuristen der Welt, behauptet, dass „Technologie eine ebenso große Kraft wie die Natur ist“. Was er damit meint, ist, dass Benutzerdaten und Informationstechnologie eine der tiefgreifendsten Perioden in der Menschheitsgeschichte seit der Erfindung der Sprache verursachen. Schauen Sie sich nur an, was passiert, wenn Regierungen und multinationale Technologiekonzerne darum kämpfen, das Internet zu kontrollieren.

Allein letzte Woche, als die australische Regierung Plattformbesitzer dazu zwingen wollte, Herausgeber für die Inhalte zu bezahlen, die auf ihrer Plattform geteilt werden, beschloss Facebook, Nachrichten für australische Benutzer zu blockieren, was von der australischen Regierung mit großem Aufruhr begleitet wurde.

Und das zusätzlich zu früheren Kontroversen (die Organisation des Aufstands im US-Kapitol, der Cambridge-Analytica-Skandal) an der Schnittstelle, an der sich Regierung und Technologie treffen.

In diesem Artikel sehen wir uns an, wie sich die DSGVO seit 2018 entwickelt hat. Wir werden einige Updates aus der EU, einige wichtige Entwicklungen und die voraussichtliche Entwicklung der DSGVO durchgehen. Wir werden untersuchen, was das für uns als Designer und Entwickler bedeutet. Und wir schauen uns an, was das für Unternehmen innerhalb und außerhalb der EU bedeutet.

Im nächsten Artikel konzentrieren wir uns auf die Cookie-Einwilligung und das Paradoxon, bei dem Vermarkter stark auf Cookie-Daten von Google Analytics angewiesen sind, sich aber an Vorschriften halten müssen. Und dann tauchen wir tief in das First-Party-Ad-Tracking ein, da wir beginnen, Bewegungen weg von Drittanbieter-Cookies zu sehen.

  • Teil 1: DSGVO, wichtige Updates und was sie bedeuten
  • Teil 2: Cookie-Zustimmung für Designer und Entwickler

Eine kurze Zusammenfassung der DSGVO

Beginnen wir damit, uns daran zu erinnern, was GDPR ist. Die DSGVO ist am 25. Mai 2018 innerhalb der EU in Kraft getreten. Sie basiert auf 7 Grundprinzipien:

  1. Rechtmäßigkeit, Fairness und Transparenz
    Sie müssen Daten verarbeiten, damit die Menschen verstehen, was, wie und warum Sie ihre Daten verarbeiten.
  2. Zweckbindung
    Sie sollten Daten nur für klare, festgelegte und rechtmäßige Zwecke erheben. Sie können es dann nicht auf eine Weise verarbeiten, die mit Ihren ursprünglichen Zwecken nicht vereinbar ist.
  3. Datenminimierung
    Sie sollten nur die Daten erheben, die Sie benötigen.
  4. Genauigkeit
    Ihre Daten müssen korrekt sein und auf dem neuesten Stand gehalten werden. Unrichtige Daten sind zu löschen oder zu berichtigen.
  5. Speicherbeschränkung
    Wenn Daten mit Personen verknüpft werden können, können Sie sie nur so lange aufbewahren, wie dies für die Erfüllung der von Ihnen angegebenen Zwecke erforderlich ist. (Vorbehalte für wissenschaftliche, statistische oder historische Forschungszwecke.)
  6. Integrität und Vertraulichkeit (dh Sicherheit)
    Sie müssen sicherstellen, dass die von Ihnen gespeicherten personenbezogenen Daten sicher verarbeitet werden. Sie müssen es vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung schützen.
  7. Rechenschaftspflicht
    Sie sind jetzt für die von Ihnen gespeicherten Daten verantwortlich und sollten in der Lage sein, Ihre Einhaltung der DSGVO nachzuweisen.
Diagramm mit den sieben Grundsätzen der DSGVO: Rechtmäßigkeit, Integrität, Speicherung und Zweckbindung, Datenminimierung und -genauigkeit sowie Rechenschaftspflicht – überlagert von Transparenz, Datenschutz und Kontrollen
Die Grundsätze der DSGVO basieren auf Transparenz, Datenschutz und Benutzerkontrolle. (Bildnachweis: Cyber-Duck) (Große Vorschau)

Einige Definitionen

  • EuGH
    Gerichtshof der Europäischen Union. Die Entscheidungen dieses Gerichts verdeutlichen EU-Gesetze wie die DSGVO.
  • DPAs
    Nationale Datenschutzbehörden. Jedes EU-Land hat einen. Die DSGVO wird von diesen Stellen auf nationaler Ebene durchgesetzt und Bußgelder verhängt. Das britische Äquivalent ist das Information Commissioner's Office (ICO). In den Vereinigten Staaten wird der Datenschutz im Stil der DSGVO weitgehend von jedem Bundesstaat gesetzlich geregelt.
  • Europäische Kommission
    Die Exekutive der Europäischen Union (im Wesentlichen der öffentliche Dienst der EU). Die Europäische Kommission entwirft Gesetze, einschließlich der DSGVO.
  • DSGVO
    Die Datenschutz-Grundverordnung 2018.

Wichtige Updates aus der EU

Die DSGVO steht seit Mai 2018 nicht still. Hier ist ein kurzer Überblick darüber, was seit ihrem Inkrafttreten passiert ist.

Wie haben die EU und ihre Mitgliedstaaten die DSGVO umgesetzt?

Die Europäische Kommission berichtet, dass die DSGVO in der gesamten EU fast vollständig umgesetzt ist, obwohl einige Länder – darunter Slowenien – nachlässig sind. Die Umsetzungstiefe variiert jedoch. Die EU sagt auch, dass ihre Mitgliedsländer ihrer Meinung nach ihre neuen Befugnisse fair nutzen.

Sie hat jedoch auch ihre Besorgnis darüber zum Ausdruck gebracht, dass sich eine gewisse Divergenz und Fragmentierung einschleicht. Die DSGVO kann im gesamten EU-Binnenmarkt nur dann effektiv funktionieren, wenn die Mitgliedstaaten aufeinander abgestimmt sind . Wenn die Gesetze auseinander gehen, trübt das das Wasser.

Wie will die EU die DSGVO entwickeln?

Wir wissen, dass die EU es Einzelpersonen erleichtern möchte, ihre Rechte gemäß der DSGVO auszuüben. Das bedeutet grenzüberschreitende Zusammenarbeit und Sammelklagen . Sie will die Datenübertragbarkeit für Verbraucher über Banken und Telekommunikation hinaus sehen.

Sie will auch kleinen und mittleren Unternehmen ( KMU ) die Einhaltung der DSGVO erleichtern. Dies wird wahrscheinlich in Form von zusätzlicher Unterstützung und Instrumenten wie mehr Standardvertragsklauseln erfolgen – im Wesentlichen Vorlagen für Rechtssprache, die KMU kopieren und in Verträge einfügen können – da die EU nicht daran interessiert ist, die Regeln für sie zu beugen.

Große Entwicklung Nr. 1: Die unerwartet breite Definition von „Joint Controller“

Richtig, hier ist die erste große Änderung, seit die DSGVO in Kraft getreten ist. In zwei Musterverfahren, an denen Facebook beteiligt war, hat der Gerichtshof der Europäischen Union den Begriff „gemeinsam für die Verarbeitung Verantwortlicher“ weit weiter gefasst als erwartet.

Eine Situation gemeinsamer Verantwortlicher entsteht, wenn zwei oder mehr Verantwortliche beide für die Einhaltung der Bestimmungen der DSGVO verantwortlich sind. (Hier ist eine gute Erklärung des ICO zu gemeinsamen Controllern.) Im Wesentlichen:

  • Wenn Sie Kundendaten verarbeiten, entscheiden Sie gemeinsam mit Ihren Mitverantwortlichen, wer jeden Schritt verwaltet, damit Sie die DSGVO einhalten.
  • Sie alle tragen jedoch die volle Verantwortung dafür, dass der gesamte Prozess konform ist . Jeder von Ihnen ist gegenüber der Datenschutzbehörde des Landes, in dem Beschwerden bearbeitet werden, vollständig rechenschaftspflichtig.
  • Eine Einzelperson kann eine Beschwerde gegen alle gemeinsam für die Verarbeitung Verantwortlichen einreichen.
  • Sie sind alle für alle verursachten Schäden verantwortlich – es sei denn, Sie können nachweisen, dass Sie keine Verbindung zu dem Ereignis haben, das den Schaden verursacht hat.
  • Eine Einzelperson kann von jedem gemeinsam Verantwortlichen eine Entschädigung verlangen. Möglicherweise können Sie einen Teil dieser Vergütung von Ihren Controller-Kollegen zurückfordern.

Im ersten Facebook-Fall bestätigte der EuGH, dass ein Unternehmen, das eine Facebook-Fanpage betreibt, neben Facebook als gemeinsam Verantwortlicher gilt. Im zweiten Fall bestätigte der EuGH auch, dass ein Unternehmen, das einen Facebook-Like-Button auf seiner Website eingebettet hat, mit dem sozialen Netzwerk den Status eines gemeinsamen Controllers innehat.

Diese Fälle haben die Datenschutz-Community erschüttert, da sie neben Plattformen wie Facebook im Wesentlichen Social-Publisher, Website-Betreiber und Fanpage-Moderatoren für Benutzerdaten verantwortlich machen.

Allerdings stellte der EuGH auch klar, dass geteilte Verantwortung nicht gleiche Verantwortung bedeutet . In beiden Fällen lag die Verantwortung primär bei Facebook – nur Facebook hatte Zugriff auf die Daten und nur Facebook konnte sie löschen. Die Auswirkungen dieser Entscheidung mögen also weniger schwerwiegend sein, als es zunächst klingt – aber sie ist dennoch von entscheidender Bedeutung.

Und das könnte der Grund sein, warum einige Websites – wie die Website für die deutsche EU-Ratspräsidentschaft 2020 – eingebettete soziale Inhalte standardmäßig blockieren, bis Sie sich ausdrücklich dafür entschieden haben:

Screengrab von eu2020.de zeigt Social-Feed-Inhalte, die blockiert sind, bis das Drittanbieter-Tracking eingeschaltet ist
Einige Websites blockieren standardmäßig das Erscheinen eingebetteter sozialer Feeds auf ihren Websites und bieten Benutzern die Möglichkeit, sich für Tracking zu entscheiden. (Große Vorschau)

Große Entwicklung Nr. 2: Bye Bye Privacy Shield, Hallo CPRA

Die zweite große Änderung war vorhersehbarer: Privacy Shield , der Mechanismus, der es amerikanischen Unternehmen erleichterte, europäische Kundendaten zu verarbeiten, wurde von Gerichten niedergeschlagen.

Hier ist der Grund.

Die EU will die personenbezogenen Daten ihrer Bürger schützen. Es will aber auch den internationalen Handel sowie die grenzüberschreitende Zusammenarbeit in Bereichen wie Sicherheit fördern.

Die EU sieht sich – völlig zu Recht – als Vorreiter im Datenschutz. Also nutzt es seinen politischen Einfluss, um Länder, die mit dem Block Handel treiben wollen, zu ermutigen, seine Datenschutzstandards einzuhalten.

Geben Sie die Vereinigten Staaten ein. Europäische und amerikanische Philosophien zum Thema Datenschutz sind diametral entgegengesetzt . (Im Wesentlichen ist die europäische Ansicht, dass personenbezogene Daten privat sind, es sei denn, Sie erteilen Ihre ausdrückliche Zustimmung. Die amerikanische Ansicht ist, dass Ihre Daten öffentlich sind, es sei denn, Sie verlangen ausdrücklich, dass sie vertraulich bleiben.) Aber als die beiden größten Verbrauchermärkte der Welt müssen sie dies tun handeln. So haben die EU und die USA Privacy Shield entwickelt.

Privacy Shield wurde entwickelt, um es US-Unternehmen zu ermöglichen, Daten von EU-Bürgern zu verarbeiten, solange sich diese Unternehmen den höheren Datenschutzstandards unterzeichnen.

Aber nach US-Recht könnte die US-Regierung diese Daten immer noch überwachen. Dies wurde in einem Fall des österreichischen Datenschützers Max Schrems angefochten. Der EuGH stellte sich auf seine Seite: Privacy Shield wurde niedergeschlagen und den 5.300 amerikanischen KMU, die Privacy Shield nutzten, wurde keine andere Wahl gelassen, als die von der EU vorgeschriebenen Standardvertragsklauseln zu übernehmen.

Offensichtlich ist es im Interesse aller, dass der Datenschutzschild ersetzt wird – und das wird er auch. Experten sagen jedoch, dass sein Ersatz zu gegebener Zeit wahrscheinlich wieder niedergeschlagen werden wird, da europäische und amerikanische Ansätze zum Datenschutz im Wesentlichen nicht kompatibel sind.

Unterdessen wurde in Kalifornien der von der DSGVO inspirierte California Consumer Privacy Act (CCPA) von 2018 im November 2020 gestärkt, als der California Privacy Rights Act (CPRA) verabschiedet wurde.

Das California Consumer Privacy Act (CCPA)

Der im Januar 2020 in Kraft getretene CCPA gibt kalifornischen Bürgern das Recht, dem Verkauf ihrer Daten zu widersprechen . Sie können auch verlangen, dass alle gesammelten Daten offengelegt werden, und sie können verlangen, dass diese Daten gelöscht werden. Anders als die DSGVO gilt der CCPA nur für gewerbliche Unternehmen:

  • Die die Daten von mehr als 50.000 Einwohnern Kaliforniens pro Jahr verarbeiten, ODER
  • Die einen Bruttoumsatz von mehr als 25 Millionen US-Dollar pro Jahr erzielen, ODER
  • Die mehr als die Hälfte ihres Jahresumsatzes mit dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens erzielen

Das California Privacy Rights Act (CPRA)

Das CPRA, das im Januar 2023 in Kraft tritt, geht über das CCPA hinaus . Zu seinen Kernpunkten gehören:

  • Es legt die Messlatte für Unternehmen höher, die die Daten von 100.000 Einwohnern Kaliforniens pro Jahr verarbeiten
  • Es bietet mehr Schutz für die sensiblen Daten der Kalifornier , wie z. B. ihre Rasse, Religion, sexuelle Orientierung sowie Gesundheitsdaten und amtliche Ausweise
  • Es verdreifacht die Bußgelder für die Verletzung von Daten Minderjähriger
  • Es gibt Kaliforniern das Recht, die Berichtigung ihrer Daten zu verlangen
  • Es verpflichtet Unternehmen, bei CPRA-Untersuchungen zu helfen
  • Und es richtet eine kalifornische Datenschutzbehörde ein, um das CPRA durchzusetzen
Grafische Zusammenfassung des CPRA
Kalifornien verschärft seine Datenschutzgesetzgebung mit dem CPRA, das 2023 eingeführt wird. (Große Vorschau)

Weitere Vorstöße in Richtung Datenschutzgesetze finden in anderen Bundesstaaten statt, und zusammengenommen könnten diese die Notwendigkeit föderaler Datenschutzmaßnahmen unter der neuen Biden-Administration verstärken.

Große Entwicklung Nr. 3: Cookie-Einwilligung

Im Mai 2020 aktualisierte die EU ihre DSGVO-Leitlinien, um mehrere Punkte klarzustellen, darunter zwei wichtige Punkte für die Cookie-Einwilligung:

  • Cookie-Walls bieten Benutzern keine echte Wahl, denn wenn Sie Cookies ablehnen, wird Ihnen der Zugriff auf Inhalte verweigert. Es bestätigt, dass Cookie-Walls nicht verwendet werden sollten.
  • Das Scrollen oder Wischen durch Webinhalte ist nicht gleichbedeutend mit einer stillschweigenden Zustimmung . Die EU bekräftigt, dass die Zustimmung ausdrücklich erfolgen muss.

Darauf gehe ich nächste Woche im zweiten Artikel näher ein.

Cyber-Duck-Cookie-Hinweis mit standardmäßig aktiviertem Ad-Tracking
Die EU hat ihre Leitlinien zur Cookie-Zustimmung aktualisiert. (Große Vorschau)

Große Entwicklung Nr. 4: Google und Apple beginnen damit, sich vom Drittanbieter-Tracking zu verabschieden

Während die großen digitalen Akteure herausfinden, wie sie die DSGVO erfüllen und die Datenschutzgesetze zu ihrem Vorteil nutzen können, sind einige bereits unter Beschuss geraten.

Sowohl Google als auch Apple sehen sich nach Beschwerden von Adtech -Unternehmen und Verlagen mit Kartellklagen konfrontiert.

In beiden Fällen, so die Beschwerdeführer, nutzen die großen Technologiekonzerne ihre marktbeherrschende Stellung aus.

Auch dazu beim nächsten Mal mehr.

Mehr nach dem Sprung! Lesen Sie unten weiter ↓

Große Entwicklung Nr. 5: Hohe DSGVO-Bußgelder kommen auf uns zu

Natürlich haben viele Unternehmen die DSGVO eingehalten, weil sie die Bußgelder befürchteten, die die Aufsichtsbehörden verhängen könnten. Diese Bußgelder haben begonnen zu rollen:

Die französische Datenregulierungsbehörde hat Google wegen „mangelnder Transparenz, unzureichender Informationen und fehlender gültiger Zustimmung zur Personalisierung von Anzeigen“ mit einer Geldstrafe von 50 Millionen Euro belegt und erklärt, die Nutzer seien „nicht ausreichend darüber informiert“ worden, wie und warum Google ihre Daten erfasst habe.

Sein britisches Äquivalent, die ICO, hat den US-Hotelkonglomerat Marriott International Inc. mit einer Geldstrafe von 18,4 Millionen Pfund belegt, weil es versäumt hat, 339 Millionen Gästedatensätze sicher zu verwahren. Der Cyberangriff von 2014 auf Starwood Hotels and Resorts Worldwide, Inc., das Marriott 2016 übernommen hatte, wurde erst 2018 entdeckt.

Das britische ICO hat British Airways außerdem eine Rekordstrafe von 20 Millionen Pfund für eine Datenschutzverletzung von 400.000 persönlichen Daten und Kreditkartendaten von Kunden im Jahr 2018 auferlegt.

Dann ist da noch mein persönlicher Favorit, ein schockierender Vertrauensbruch der Mitarbeiter von H&M, der zu einer Strafe von 35 Millionen Euro führte.

Da stehen wir also heute.

Was bedeutet das für Sie?

Als Designer und Entwickler hat die DSGVO einen großen Einfluss auf die Produkte, die wir entwerfen und bauen, und auf die Art und Weise, wie wir für Daten entwerfen – und wird dies auch weiterhin tun.

Hier ist, was wir als Designer wissen sollten

  • Die DSGVO ist für Sie von entscheidender Bedeutung, da Sie die Punkte entwerfen, an denen Benutzer ihre Daten teilen , welche Daten erfasst und wie sie verarbeitet werden.
  • Befolgen Sie die Best Practices für Privacy by Design. Versuchen Sie nicht, das Rad neu zu erfinden – wenn Sie ein konformes Cookie-Banner erstellt haben, verwenden Sie Ihr bewährtes Designmuster.
  • Arbeiten Sie mit Ihren Compliance- und Entwicklungsteams zusammen, um sicherzustellen, dass Designs der DSGVO entsprechen und implementiert werden können. Fragen Sie nur die Daten an, die Sie benötigen.
  • Fragen Sie schließlich Ihre Benutzer, welche Daten sie gerne teilen und wie Sie sie verwenden möchten. Wenn sie es gruselig finden, überdenken Sie Ihren Ansatz.

Hier ist, was wir als Entwickler wissen sollten

  • Die DSGVO ist für Sie von entscheidender Bedeutung, da Sie die Datenverarbeitung, -freigabe und -integration ermöglichen .
  • Als allgemeine Regel gilt bei der DSGVO ein Need-to-Access-Ansatz . Beginnen Sie damit, alles ohne Zugriff zu implementieren, und geben Sie Ihrem Team dann nur dann Zugriff auf Daten, wenn dies erforderlich ist (z. B. indem Sie Entwicklern Zugriff auf die Google Analytics-Konsole gewähren). Auditieren und dokumentieren Sie unterwegs.
  • Befolgen Sie die Prinzipien von „Privacy by Design“ und „Security by Design“. Robuste, sichere Vorlagen für die Implementierung der Infrastruktur sind der Schlüssel.
  • Stellen Sie sicher, dass Sie im Voraus in technische Aspekte einbezogen werden, z. B. Cookie-Einwilligung/Nachverfolgung von Konversationen, damit die Entscheidungen umgesetzt werden können.
  • Die Prozessabbildung zeigt, wo Daten mit verschiedenen Teilen des Unternehmens geteilt werden.
  • Die Automatisierung bietet eine sichere Datenverarbeitung, die menschliche Fehler reduziert. Es hilft auch zu verhindern, dass die falschen Personen auf Daten zugreifen.
  • DSGVO-Checklisten und natürlich Runbooks helfen Ihnen bei der Verwaltung Ihres Prozesses. Überprüfen und dokumentieren Sie erneut, wie Sie gehen.

Lassen Sie uns nun sehen, wie sich die DSGVO in naher Zukunft entwickeln wird. Wir konzentrieren uns auf drei Bereiche.

Drei Bereiche, in denen sich die DSGVO schnell weiterentwickelt

1. Wie die EU die DSGVO umsetzt

Lassen Sie uns zunächst sehen, wie die DSGVO weiter in die Gesetzgebung eingebettet wird.

Die EU will ihre Mitgliedsstaaten auf Augenhöhe halten , denn das erleichtert grenzüberschreitende Klagen und internationale Zusammenarbeit. Daher hat es bekräftigt, dass Länder weder von der DSGVO abweichen noch sie überschreiten sollten. Einige Mitgliedstaaten legen, wie gesagt, Lippenbekenntnisse zu der Verordnung ab. Andere wollen die Standards der DSGVO übertreffen.

Als Gegenleistung für ihre Angleichung wird die EU die Einhaltung durchsetzen , daran arbeiten, Sammelklagen und billigere grenzüberschreitende Klagen zu ermöglichen, und auch den Datenschutz und einheitliche Standards außerhalb der EU fördern. Neben zusätzlichem Support und Tools für KMU sehen wir möglicherweise auch eine Zertifizierung für Security und Data Protection by Design.

Schließlich könnte dies im Silicon Valley einige Augenbrauen hochziehen: Die EU hat angedeutet, dass sie Verbote der Datenverarbeitung in Betracht ziehen könnte, um die Einhaltung zu fördern . 50 Millionen Euro Bußgelder sind nicht das Ende der Welt für Google und seine Freunde. Aber eine Auszeit auf dem ungezogenen Schritt – und die daraus resultierende schlechte PR – ist eine ganz andere Sache.

2. Wie die DSGVO mit Innovation funktioniert

Die DSGVO wurde so konzipiert, dass sie technologieneutral ist und Innovationen unterstützt, nicht behindert. Dies wurde in den letzten 12 Monaten sicherlich getestet, und die EU weist auf die schnelle Einführung von COVID-19-Apps als Beweis dafür hin, dass ihre Gesetzgebung funktioniert.

Wir können mit Verhaltenskodizes für sensible Datenkategorien (Gesundheit und wissenschaftliche Forschung) rechnen. Diese werden begrüßt.

Sie beobachten Innovatoren jedoch genau. Die EU hat Bedenken hinsichtlich des Datenschutzes bei Videos, IoT-Geräten und Blockchain geäußert. Sie sind besonders besorgt über die Gesichtserkennung (und vermutlich auch die Spracherkennung) und die Entwicklungen in der KI.

Vor allem ist die Kommission zutiefst besorgt über das, was sie „multinationale Technologieunternehmen“, „große digitale Plattformen“ und „Online-Werbung und Mikro-Targeting“ nennt. Ja, wieder einmal schaut es auf Sie, Facebook, Amazon, Google und Freunde.

3. Wie die EU DSGVO-Standards außerhalb der EU fördert

Unsere digitale Wirtschaft ist global, daher wirken sich die Auswirkungen der DSGVO über die Grenzen der EU hinaus aus – und das nicht nur in Bezug auf die Einhaltung. Die EU setzt weltweit Maßstäbe in der Datenschutzgesetzgebung. Neben dem kalifornischen CCPA siehe Brasiliens LGPD sowie Entwicklungen in Kanada, Australien, Indien und einer Reihe amerikanischer Bundesstaaten.

Natürlich ist es im Interesse der EU, wenn andere Länder und Handelsblöcke ihren Standards entsprechen. Es fördert also die DSGVO auf mehreren Wegen :

  • Durch „Mutual Angemessenheitsentscheidungen“ mit Japan und demnächst Südkorea
  • Eingebettet in bilaterale Handelsabkommen zB mit Neuseeland, Australien, UK
  • Durch Foren wie die OECD, ASEAN, die G7 und die G20
  • Durch seine Datenschutzakademie für EU- und internationale Regulierungsbehörden

Es ist besonders daran interessiert, Innovationen durch vertrauenswürdige Datenflüsse zu fördern und die internationale Zusammenarbeit zwischen Strafverfolgungsbehörden und privaten Betreibern zu ermöglichen.

Die EU ist beim Datenschutz weltweit führend. Wo es hingeht, werden andere folgen. Auch wenn Sie also nicht für ein EU-Publikum entwerfen/entwickeln, müssen Sie sich bewusst sein, was passiert.

Was bedeutet das alles für Unternehmen in der EU?

Unternehmen, die in der EU tätig sind, müssen die DSGVO einhalten oder riskieren eine Geldstrafe. Diese Bußgelder können ziemlich hoch sein, wie wir gesehen haben. Sie müssen also nachweisen können, dass Sie die 7 Grundsätze der DSGVO und die spezifischen Leitlinien Ihrer nationalen Datenschutzbehörde einhalten.

Das ist jedoch nicht so einfach, wie es sich anhört, und Sie können sich in einigen Fällen dafür entscheiden, Ihr Risiko zu bewerten. Ich werde Ihnen das nächste Mal ein Beispiel dafür geben.

Was bedeutet dies für Unternehmen mit Sitz außerhalb der EU?

Die Auswirkungen für Unternehmen mit Sitz außerhalb der EU sind genau die gleichen wie für EU-Länder , wenn sie personenbezogene Daten aus der EU verarbeiten. Denn die DSGVO gilt für die personenbezogenen Daten von Personen mit Sitz in der EU. Wenn Sie es verarbeiten möchten, zB um es an Kunden in der EU zu verkaufen, müssen Sie sich an die Regeln halten. Andernfalls riskieren Sie eine Geldstrafe, wie Facebook und Google.

So wird das durchgesetzt : Wenn Sie in der EU präsent sind, wie es viele multinationale Unternehmen tun, und Sie keine DSGVO-Strafe zahlen, können Ihre EU-Vermögenswerte beschlagnahmt werden. Wenn Sie keine Präsenz haben, sind Sie gemäß DSGVO verpflichtet, einen Vertreter in der EU zu benennen. Etwaige Bußgelder werden über diesen Vertreter erhoben. Alternativ können Sie mit einem komplexen und teuren internationalen Gerichtsverfahren konfrontiert werden .

Und hier wird es für alle komplex:

Wenn Ihr Kundenstamm Personen in der EU und Bürger anderer Orte mit Datenschutzgesetzen umfasst, wie z. B. des Bundesstaates Kalifornien, müssen Sie sowohl den California Consumer Privacy Act (CCPA) als auch die DSGVO einhalten. Diese Stapel von Gesetzen stimmen im Allgemeinen überein – aber sie stimmen nicht überein.

Nehmen Sie zum Beispiel Kekse. Gemäß der DSGVO müssen Sie die aktive Zustimmung eines Benutzers einholen, bevor Sie ein Cookie auf seinem Gerät platzieren, um diejenigen zu sperren, die für das Funktionieren Ihrer Website unbedingt erforderlich sind.

Unter dem CCPA müssen Sie jedoch offenlegen, welche Daten Sie sammeln, und Ihrem Kunden ermöglichen, Ihnen die Erlaubnis zum Verkauf seiner Daten zu verweigern. Aber sie müssen nicht aktiv zustimmen, dass Sie es sammeln können.

Deshalb drängt die EU auf internationale Standards, um die globale Einhaltung zu vereinfachen.

NB : Wenn Sie in den Vereinigten Staaten sind und gespannt auf den Ersatz von Privacy Shield warten, möchten Sie sich vielleicht stattdessen ein Blatt von Microsofts Buch nehmen – sie und andere haben erklärt, dass sie die DSGVO einhalten werden, anstatt sich auf bilaterale Mechanismen zu verlassen, um sie zu aktivieren Datenverarbeitung.

Welche Lehren können Webdesigner und -entwickler aus der DSGVO ziehen?

Die Datenschutzbestimmungen bleiben bestehen und wirken sich auf alle unsere Prioritäten und Arbeitsabläufe aus. Hier sind sechs Lektionen, die Sie sich merken sollten, wenn Sie mit Kundendaten arbeiten:

  1. Wir mussten sprinten, um die DSGVO einzuhalten. Jetzt ist es ein Marathon.
    Wir wissen, dass sich die DSGVO zusammen mit der Technologie, die sie regulieren soll, weiterentwickeln wird. Das bedeutet, dass die Anforderungen an uns nicht dieselben bleiben werden. Darüber hinaus hat die DSGVO ähnliche – aber nicht identische – Gesetze auf der ganzen Welt inspiriert. Diese gesetzlichen Anforderungen werden sich ständig weiterentwickeln.
  2. Compliance schafft Wettbewerbsvorteile.
    Während die ersten großen DSGVO-Bußgelder augenfällig waren, ist es tatsächlich die negative Publicity, von der viele sagen, dass sie am schädlichsten ist. Wer profitiert von einem großen Datenleck? Die Konkurrenten des Unternehmens. Wenn Sie andererseits die DSGVO-Konformität einbetten, während Sie Ihre Design- und Entwicklungsprozesse stärken, können Sie sich besser an die Weiterentwicklung der Vorschriften anpassen.
  3. DSGVO-Konformität und bessere COVID-19-Ergebnisse werden durch benutzerzentriertes Design miteinander verbunden.
    Wir wissen, dass Unternehmen, die ihre digitale Transformation begonnen hatten, sich besser an die COVID-19-Krise anpassen konnten. Benutzerzentriertes Design unterstützt auch die DSGVO. Es verfügt über den Prozess- und Kundenfokus, den Sie benötigen, um Produkte zu entwickeln, die der Idee entsprechen, dass Kundendaten wertvoll sind und geschützt werden müssen. Das wird es einfacher machen, Ihre Produkte im Einklang mit zukünftigen Rechtsvorschriften weiterzuentwickeln.
  4. Sie können Compliance in Ihre digitalen Produkte einbauen.
    Privacy by Design ist gekommen, um zu bleiben. Wenn Sie bereits Service Design verwenden, können Sie Kundeninformationen als Datenschicht in Ihre Service-Blueprints aufnehmen. Wenn nicht, ist jetzt ein guter Zeitpunkt, damit anzufangen. Die Kartierung, wo Daten gesammelt, verarbeitet und gespeichert werden, zeigt Schwachstellen auf, an denen potenzielle Verstöße auftreten können. Automatisierte Compliance-Tools werden Unternehmen entlasten und haben das Potenzial, die Datenverarbeitung sicherer zu machen.
  5. Die DSGVO unterstützt Innovation – wenn Sie es richtig machen.
    Einige warnen davor, dass die DSGVO Innovationen erstickt, indem sie den Datenfluss einschränkt und insbesondere Unternehmen davon abhält, Innovationen mit Daten vorzunehmen. Andere weisen auf Möglichkeiten für Innovationen mit Blockchain, IoT und KI hin, die sicher sind und bei denen die Daten geschützt sind. Die Wahrheit? Ja, natürlich können Sie innovativ sein und DSGVO-konform sein. Aber Ethik in der KI ist von entscheidender Bedeutung: Sie müssen Ihre Kunden und ihre Daten respektieren.
  6. Behalten Sie Ihre Drittanbieter-Partner im Auge.
    Dies geht auf die obige Entscheidung der gemeinsamen Datenverantwortlichen zurück. Unternehmen teilen die Verantwortung für Kundendaten jetzt mit allen Dritten, die sie verarbeiten, und diese Verarbeitung muss dokumentiert werden. Sie können damit rechnen, dass Fremdprüfungen, Überwachung und vertragliche Verpflichtungen für Unternehmen von nun an Priorität haben.

So könnte sich die DSGVO entwickeln

Puh. Das ist eine Menge zu verarbeiten. Aber mit Blick auf die Zukunft wette ich, dass wir hier Veränderungen sehen werden.

  1. Die DSGVO wird sich weiterentwickeln , wobei Klarheit aus Testfällen und möglicherweise weiteren Rechtsvorschriften einschließlich der ePrivacy-Verordnung gewonnen wird.
  2. Die EU wird sich weiterhin für die internationale Übernahme von Datenschutzgesetzen einsetzen. Wir werden sehen, dass mehr Länder den Datenschutz übernehmen, der oft in Handels- und Sicherheitsabkommen integriert ist.
  3. Wenn wir Glück haben, sehen wir möglicherweise eine internationale Konvergenz der Datenschutzgesetzgebung – insbesondere, wenn die USA den Datenschutz auf Bundesebene umsetzen.
  4. Aber wir werden auch mehr Konflikte zwischen der EU und den USA sehen, wegen ihrer gegensätzlichen Herangehensweise an den Datenschutz.
  5. Da „Daten das neue Öl“ sind, könnten wir mehr Situationen sehen, in denen Benutzer kostenlose Produkte und Dienstleistungen erhalten, indem sie Daten über Cookies preisgeben.
  6. Unternehmen werden sich von Cookies von Drittanbietern zu serverseitigem Tracking und Automatisierung verlagern , um konform zu bleiben.
  7. Unternehmen werden Privacy by Design (PdB) und Service-Design-Tools und -Prozesse einführen, um ihnen dabei zu helfen, mehrere Sätze von Datenschutzgesetzen einzuhalten.
  8. Und schließlich – und das ist definitiv – werden wir mehr und größere Datenschutzklagen sehen . Wer wird als Gewinner hervorgehen – Big Tech oder Befürworter des Datenschutzes? Das weiß ich nicht, aber eines können wir sicher sein: Datenschutzanwälte werden viel Geld verdienen.

Ein letztes Wort zum Vertrauen

Das Thema, das sowohl den Mitteilungen der Europäischen Kommission als auch den Kommentaren von Branchenexperten zugrunde liegt, ist Vertrauen . Digitale Agenturen wie unsere müssen jetzt Nachweise für Datensicherheit und DSGVO-Konformität erbringen – sogar bis hin zu Mitarbeiterschulungsrichtlinien für den Datenschutz. Das ist neu. Die Priorität der EU besteht darin, sichere Datenflüsse und Innovationen sowohl innerhalb als auch außerhalb der EU zu unterstützen. Die Einhaltung von Standards ist ihre Lösung dafür. Und wir als Designer und Entwickler spielen eine entscheidende Rolle.

  • Teil 1: DSGVO, wichtige Updates und was sie bedeuten
  • Teil 2: Cookie-Zustimmung für Designer und Entwickler

Weiterführende Lektüre

  • Datenschutz, die Website der EU
  • Anleitung von UK ICO zu Cookies
  • GDPR Enforcement Tracker, protokolliert Bußgelder, die gemäß GDPR verhängt werden
  • DSGVO-Checkliste, von Cyber-Duck (ein großartiger Ausgangspunkt)
  • Überblick über das Datenschutzrecht in den Vereinigten Staaten, von ICLG
  • DSGVO- und CCPA-Vergleichsleitfaden, von DataGuidance und dem Future of Privacy Forum
  • CCPA vs. CPRA, von IAPP
  • Security by Design (Amazon)
  • So schützen Sie Ihre Benutzer mit dem Privacy By Design Framework, Heather Burns, Smashing Magazine