Vorbild GDPR
Datenschutz-Trendsetter DSGVO
Foto: Jastki - shutterstock.com
Viele Länder haben in den letzten Monaten und Jahren Datenschutzvorschriften nach dem Vorbild der europäischen Datenschutzgrundverordnung (DSGVO/GDPR) eingeführt, die beispielsweise Regelungen zu Datenschutzfolgenabschätzungen, Datenschutzbeauftragten oder Meldepflichten bei Sicherheitsvorfällen vorsehen. "Compliant" zu sein, wird für betroffene Unternehmen deshalb zunehmend komplex.
Parallel ziehen vielerorts auch die Vorschriften in Sachen Datensicherheit und Datensouveränität an - letztere sollen Unternehmen dazu verpflichten, Daten lokal zu speichern. Dass die rechtlichen und historischen Voraussetzungen für die Gesetzgebung in Sachen Datenschutz von Land zu Land differiert, macht die Sache nicht einfacher.
Datenschutz-Trends im Blick
"Vergleicht man den Datenschutz-Ansatz verschiedener Länder, stellt sich die Frage, ob Privacy wie in Europa als grundlegendes Menschenrecht betrachtet wird", sagt Miriam Wugmeister, Partnerin und Datenschutz-Expertin bei der international tätigen Anwaltskanzlei Morrison Foerster. "Die Datenschutzgrundverordnung hat viele Länder dazu inspiriert, ihre Regularien in Sachen Datenschutz und Datensicherheit zu verschärfen. Dabei sorgte die DSGVO vor allem deshalb für Aufsehen, weil die Höhe der potenziellen Strafen eine radikale Wende darstellten." Für viele Unternehmen könnte diese Entwicklung bedeuten, sich in ihren weltweiten Niederlassungen an unterschiedliche Regularien halten zu müssen: "Einige wenden die GDPR an - insbesondere Unternehmen mit Hauptsitz in Europa. Andere verwenden nur die Grundprinzipien und betrachten dann die jeweils regional gültigen Regelungen."
Australien überarbeitet derzeit seine Datenschutzgesetze und könnte dazu Vorschriften im DSGVO-Stil übernehmen. Kanada erwägt derzeit ähnliche Datenschutzgesetze - und ein Ende der globalen Regularien-Flut ist nicht in Sicht, wie Graham Greenleaf, Professor für Recht und Informationssysteme an der University of New South Wales in Sydney, weiß: "Japan hat seine Datenschutzgesetze zunehmend verbessert, Südkorea legte schon immer strenge Maßstäbe an und hat diese weiter verschärft und auch Thailand hat ein Datenschutzgesetz auf DSGVO-Basis eingeführt. Erst kürzlich wurde auch in Sri Lanka ein Datenschutzgesetz auf den Weg gebracht, das GDPR-Anleihen aufweist und sowohl Pakistan als auch Indien wollen demnächst Gesetze verabschieden, die stark von der Datenschutzgrundverordnung inspiriert sind."
Im Gegensatz dazu habe die US-Regierung den von der GDPR in Gang gesetzten Datenschutz-Trend weitgehend ignoriert: "Obwohl es auf US-Bundesebene Gesetzesentwürfe mit DSGVO-Bezug gibt, sehe ich keinerlei Anzeichen dafür, dass diese in Kraft treten werden", so Greenleaf. Stattdessen hätten einzelne US-Bundesstaaten selbst die Initiative ergriffen und Grundsatzregularien aufgestellt, die denen der GDPR sehr ähnlich seien - darunter etwa Kalifornien, Maine, Nevada, und Utah.
Über den GDPR-Tellerrand hinaus
Die verschiedenen globalen Datenschutz- und Datensicherheitsrichtlinien gehen teilweise auch über die DSGVO hinaus. Insbesondere asiatische Länder wie Japan, Singapur und Südkorea seien führend, wenn es um Datensicherheit gehe, meint Wugmeister. Die Rechtsexpertin geht davon aus, dass entsprechende Regularien aufgrund der Vielzahl von Cybersicherheitsvorfällen und cyberkrimineller Aktivitäten weiter - und stärker - in den Fokus rücken werden.
Geht es um Meldepflichten für Unternehmen, sieht Wugmeister jedoch vor allem die Vereinigten Staaten als Vorreiter: "Die USA sind in Bezug auf die Meldung von Sicherheitsvorfällen weiter als jedes andere Land und führend wenn es um die Schaffung von Transparenz bei Datenschutzverletzungen geht. Inzwischen sind Gesetze in Kraft, die sowohl öffentliche als auch KRITIS-Unternehmen dazu verpflichten, Vorfälle innerhalb einer äußerst knappen Frist bei den Behörden zu melden."
Obwohl kein reines Datenschutzproblem, weist Wugmeister zudem darauf hin, dass die sinkenden Storage-Preise in Sachen Datenschutz Risiken schaffen können: "Das hat dazu geführt, dass Unternehmen bei der Entsorgung von Daten weniger rigoros vorgehen. Sie bewahren alles auf und wenn es dann zu einem Datenschutzverstoß kommt, tauchen Korrespondenzen oder sensible Informationen auf, die längst hätten vernichtet werden müssen."
Datenschutz-Fallstricke
Was den Fokus der Datenschutzpolitik angeht, stellt Wugmeister eine Diskrepanz zwischen Anspruch und der Realität der Verbraucher fest: "Ich glaube nicht, dass den Verbrauchern das meiste, was in den Datenschutzrichtlinien steht, wichtig ist. Sie wollen nicht die Wahl haben, sondern lediglich die Gewissheit, dass ihre Daten geschützt und nicht missbraucht werden." Die Art und Weise, wie die Vorschriften umgesetzt werden, könne jedoch nicht nur die Consumer, sondern auch die Unternehmen überfordern: "Immer mehr Firmen müssen auf globaler Ebene inzwischen jeden einzelnen Dienstleister auflisten, mit dem sie Daten austauschen. Das bedeutet für die Unternehmen übermäßigen bürokratischen Aufwand und hilft den Verbrauchern absolut nicht."
Eine weitere große Herausforderung sei die Heterogenität der weltweiten Datenschutzgesetze. "Alle Datenschutzgesetze beruhen auf denselben Grundprinzipien. Im Großen und Ganzen ist es möglich, ein Datenschutzprogramm zu erstellen und Produkte zu entwickeln, die diese Grundprinzipien berücksichtigen. Je detaillierter und bürokratischer die einzelnen Gesetze jedoch werden, desto schwieriger wird es, Konsistenz herzustellen und Programme zu entwickeln, die die Privatsphäre wirklich auf der Grundlage der gleichen Grundprinzipien schützen. Wir müssen zu den Grundprinzipien zurückkehren, anstatt einfach nur die Anforderungen zu verschärfen oder das zu übernehmen, was andere Länder tun", konstatiert Wugmeister. "Regularien nur zunehmend strenger auszugestalten, kann zu einem Flickenteppich unterschiedlicher Regelungen führen, was dem Datenschutz nicht zuträglich ist."
Wugmeister warnt auch davor, dass Datenlokalisierung, beziehungsweise Datensouveränität in einigen Ländern zu einer neuen Anforderung wird: "Das steht in circa 100 Ländern zur Debatte - zum Beispiel in Indien. Wenn man zur Datenlokalisierung übergeht, wird man wieder viele Server an vielen verschiedenen Orten haben. Das wirft die Frage auf, wie diese Geräte abgesichert werden."
Globaler Datenschutzvertrag nötig?
Obwohl die Datenschutzgrundverordnung zu einer Art globalem Maßstab geworden ist, wäre ein einheitlicher, international verbindlicher Rahmen nach Meinung von Greenleaf hilfreich, um dringend benötigte Konsistenz und einen echten Bezugspunkt zu schaffen. Dabei verweist der Jura-Professor auf das ursprüngliche Übereinkommen 108 (PDF) des Europarats aus den 1980er Jahren, das zu einem globalen Maßstab ausgebaut werden könnte: "Es ist der einzige echte internationale Datenschutzvertrag. Da es sich um einen offenen Vertrag handelt, kann jedes Land, dessen Gesetze den Standards entsprechen, beantragen, ihm beizutreten. Bisher sind acht außereuropäische Länder dem Abkommen beigetreten - alle befinden sich entweder in Afrika oder Lateinamerika."
Nach Auffassung von Greenleaf sei es empfehlenswert, das Übereinkommen 108 in diesem Sinne zu erweitern, da es eine gemäßigte Version der GDPR darstelle und bereits 55 Vertragsparteien an Bord seien. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.