Online-Banking. Netflix. Sogar das Parken von Autos. Technologie ist ein allumfassender, unvermeidlicher Bestandteil des täglichen Lebens. Wir teilen unsere persönlichen Daten täglich mit unzähligen Organisationen. Tatsächlich ergab eine ESG-Studie(1) aus dem Jahr 2022 über die strategische und sich entwickelnde Rolle der Datenverwaltung, dass etwa 35% der Gesamtdaten einer Organisation personenbezogene Informationen (PII) oder andere sensible Daten enthalten, die in allen Bereichen der IT-Infrastruktur einer Organisation gespeichert sind. Angesichts des explosionsartigen Anstiegs von Ransomware und Datenverstößen ist der Bedarf, diese Daten zu schützen, und die Notwendigkeit von Datenschutzvorschriften klar.
Dennoch sorgte die Einführung der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union im Jahr 2018 mit ihren strengen Regeln und hohen Strafen für Aufsehen in der Geschäftswelt. Fünf Jahre nach ihrem Inkrafttreten sprachen wir mit Experten im Markt über die Auswirkungen der DSGVO, ob sie als Erfolg gewertet werden kann und was in der Welt der Compliance mittelfristig ansteht.
Der Brüssel-Effekt
Die DSGVO wurde als ein herausragendes Beispiel für den Brüssel-Effekt bezeichnet, bei dem EU-Gesetze die Regulierung über die europäischen Grenzen hinaus beeinflussen. Sie hat Auswirkungen auf jede Organisation weltweit, die mit europäischen Personen zu tun hat. Die DSGVO hat die globale Datenschutzlandschaft verändert, wie viele unserer Experten betonen. Sergei Serdyuk, VP für Produktmanagement bei NAKIVO, einem Anbieter von Backup- und Ransomware-Wiederherstellungssoftware, hebt hervor, dass die DSGVO “weltweite Diskussionen über den Datenschutz angestoßen hat und zu robusten Datenschutzmaßnahmen sowie einem stärkeren Fokus auf Transparenz und Rechenschaftspflicht geführt hat”. David Norfolk, Practice Leader für Entwicklung und Governance bei dem Marktforschungsunternehmen Bloor, bezeichnet die DSGVO als Modell für andere weltweite Vorschriften und sagt: “Die EU-DSGVO hat als starker Katalysator für den Datenschutz in anderen Teilen der Welt gedient”.
Mikkel Oxfeldt, General Counsel und Rechtsanwalt bei Keepit, einem Anbieter von Cloud-Datenschutz- und -Managementlösungen, stimmt zu, dass die DSGVO weltweit Gespräche über den Datenschutz in den Vordergrund gerückt hat. Fünf Jahre später “hat die europäische Verordnung den Datenschutz weltweit inspiriert, und viele Länder haben Datenschutzstandards eingeführt. Dazu gehören Länder in Südamerika wie Argentinien, Brasilien und Chile sowie in Asien wie Japan und Südkorea. In Australien besteht das Privacy Act bereits seit 1988, wurde aber kürzlich angepasst, um Konzepte der DSGVO zu übernehmen. Die DSGVO hat auch in den USA einen starken Einfluss gehabt, wo mehrere Bundesstaaten Datenschutzgesetze eingeführt haben, darunter Kalifornien mit dem California Consumer Privacy Act und Colorado mit dem Colorado Consumer Protection Act. Auf föderaler Ebene ist der Entwurf des American Data Privacy and Protection Act ein weiteres Beispiel dafür, wohin die Regulierung geht.”
Welche Auswirkungen hatte dies auf die Organisationen und den Umgang mit Daten? Aditya Fotedar, CIO bei Tintri, einem Anbieter von adaptiven Plattformen für Workload-Intelligenz, erklärt, dass die DSGVO zwar signifikante Veränderungen mit sich gebracht hat, diese jedoch auf bestehenden Vorschriften aufbauen: “Die DSGVO war eine Weiterentwicklung der bestehenden EU-Datenschutzgesetze, wobei die Hauptänderungen die vertraglichen Klauseln für Unterauftragsverarbeiter, das Recht auf Vergessenwerden und die Höhe der Geldstrafen waren. Trotzdem mussten wir interne Verfahren überprüfen und sicherstellen, dass mit allen unseren Lieferanten und Dienstleistern Datenschutzvereinbarungen abgeschlossen wurden, um die Compliance sicherzustellen. Die meisten in den Rechenzentren eingesetzten Produkte hatten bereits die Fähigkeit, die erforderlichen Anforderungen zur Erfüllung der DSGVO zu erfüllen. Wir mussten sicherstellen, dass angemessene Verfahren in Bezug auf diese vorhanden waren, um die Compliance zu gewährleisten.”
Von Baseline zu unerlässlichen Voraussetzungen
Wenn es um den Kauf und die Implementierung neuer Technologien im Rechenzentrum geht, hat die Einführung der DSGVO dazu geführt, dass Compliance und Sicherheit in der Rangordnung aufgestiegen sind. Paul Speciale, CMO bei Scality, einem Unternehmen für softwaredefinierten Speicher und Datenmanagement, weist darauf hin, dass “die DSGVO bestimmte Fähigkeiten, die zuvor als grundlegend angesehen wurden, nun als obligatorische Mindestanforderungen im Bereich der Datenspeicherung betrachtet”. Mit anderen Worten werden sie als Mindestanforderungen betrachtet. Insbesondere “prüfen Unternehmen nun sorgfältiger folgende Fähigkeiten bei Kaufentscheidungen: Datenverschlüsselung, Datenminimierung, starke Zugriffskontrollen, Echtzeitüberwachung und Alarmierung sowie Datenretentionsrichtlinien. Diese Beobachtung basiert auf empirischen Daten, da die Anforderungen an diese Fähigkeiten in Kundenanfragen im Unternehmens- und öffentlichen Sektor viel häufiger geworden sind.”
Bruce Kornfeld, Chief Marketing and Product Officer bei der Edge-Data-Firma StorMagic, stimmt zu: “StorMagic hat einen signifikanten Anstieg bei Endbenutzerkunden festgestellt, die sich dafür entscheiden, alle Daten im Ruhezustand zu verschlüsseln. Damit ergeben sich einige andere Komplikationen, wie z.B. die Notwendigkeit, alle Verschlüsselungsschlüssel zu verwalten. Aufgrund dessen gab es eine Zunahme von Unternehmenssoftware für Schlüsselverwaltung.”
Schließlich schlägt Oxfeldt vor, dass die DSGVO die Wahl der Drittanbieter beeinflusst hat. Gemäß der DSGVO sind Unternehmen für die Daten verantwortlich, die sie mit Dritten teilen. Er erklärt: “Unternehmen, die personenbezogene Daten erheben, haften für Datenschutzverstöße durch Dritte und sollten sicherstellen, dass die Anbieter, die diese Daten verarbeiten, DSGVO-konform sind. Daher bevorzugen Unternehmen möglicherweise Verträge mit großen Technologieanbietern, da diese besser positioniert sind, um die rechtlichen Anforderungen der DSGVO zu erfüllen, was den großen Technologieunternehmen möglicherweise einen Vorteil gegenüber kleineren Unternehmen verschafft.”
Die Kosten der Compliance
Gartner prognostiziert, dass das jährliche Budget einer großen Organisation für Datenschutz bis 2024 im Durchschnitt über 2,5 Millionen US-Dollar liegen wird. Wir haben unsere Experten gefragt, warum und wie sich die Anforderungen an den Datenschutz auf die IT-Budgets auswirken. Serdyuk erklärt, dass der Einfluss von der Bereitschaft der Organisation zur Einhaltung der Vorschriften abhängt, wobei die DSGVO neue mit der IT verbundene Ausgaben mit sich bringt, insbesondere die Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten. “Darüber hinaus müssen Organisationen mehr in Datenmanagement- und Datenschutzlösungen, Datenschutztechnologien und Compliance-Personal investieren.”
Tsvetomira Godinova, Senior Compliance Specialist bei Acronis, einem Anbieter von Cybersicherheit, verweist auf die Anforderungen an interne Ressourcen: “Oftmals verfügen Organisationen nicht über ausreichende interne Kapazitäten, um alle Geschäftsprozesse in Einklang zu bringen, und sollten in externe Beratung investieren. Die schnelllebigen regulatorischen Entwicklungen erfordern eine ständige Überwachung.”
Kornfeld betont, dass die DSGVO die Fähigkeit von Dienstleistern beeinträchtigt hat, neue Kunden zu gewinnen, da viele die Verwendung von Cookies und/oder Datenschutzvereinbarungen, die gezieltes Marketing ermöglichen, ablehnen. Serdyuk fügt hinzu, dass dies “unerwünschte Auswirkungen auf das Kundenerlebnis haben kann. Ein Beispiel dafür ist das GDPR-Einwilligungsformular, das für Benutzer vorteilhaft sein soll, aber immer noch lästig erscheint.”
Die zusätzlichen Kosten werden jedoch durch verbesserte Sicherheit, verbesserte Prozesse und Datenqualität ausgeglichen. Norfolk weist darauf hin, dass “die Einhaltung der DSGVO Kosten verursacht, aber auch dazu anregt, über Daten nachzudenken, was die Qualität fördert – ein Vorteil.” Laut Oxfeldt ist die DSGVO zweifellos die Kosten wert: “Neben der Angst vor Geldstrafen gibt es auch andere Gründe, warum die Einhaltung der DSGVO eine gute Investition ist, darunter die Begrenzung der Auswirkungen von Datenverletzungen sowie die Schaffung und Aufrechterhaltung des Vertrauens der Kunden. Dennoch besteht kein Zweifel daran, dass ein weiterer wichtiger Anreiz zur Erhöhung der IT-Budgets die Angst vor einer Nicht-Einhaltung der DSGVO besteht, was zu hohen Geldstrafen, dem Verlust von Kunden, Umsatz oder Rufschädigung führen kann.”
Das Urteil
Im Jahr 2020, zwei Jahre nach Inkrafttreten der DSGVO, beschrieb ein Fortschrittsbericht der EU ihre Umsetzung als erfolgreich. Die Verordnung wurde von Aufsichtsbehörden, Experten und Aktivisten kritisiert, insbesondere in Bezug auf ihre Fähigkeit, große Technologieunternehmen zu regulieren. In diesem Jahr wird die Europäische Kommission einen neuen Gesetzentwurf zur weiteren Festlegung der Verfahrensregeln für die Durchsetzung der DSGVO in grenzüberschreitenden Fällen vorlegen. Fünf Jahre und 1.640 Geldbußen in Höhe von insgesamt 2.781.943.873 Euro später haben wir unsere Experten gebeten, ihre Meinung abzugeben: War die DSGVO ihrer Meinung nach ein Erfolg, ein Misserfolg oder liegt die Antwort dazwischen? Hat die DSGVO ihre festgelegten Ziele erreicht?
Godinova erklärt: “Die Präambel der DSGVO nennt die Hauptzwecke der Annahme des Gesetzes und betont das Recht auf Schutz personenbezogener Daten als eines der grundlegenden Menschenrechte. Die Verordnung sollte auch zur Verwirklichung eines Raums der Freiheit, der Sicherheit und des Rechts sowie einer Wirtschaftsunion beitragen, wirtschaftlichen und sozialen Fortschritt fördern und die Stärkung und Konvergenz der Wirtschaften im Binnenmarkt sowie das Wohlergehen natürlicher Personen unterstützen.”
“Wir können sagen, dass die DSGVO ihr erstes Ziel mehr oder weniger erreicht hat”, fährt Godinova fort. “Die Einführung der Verordnung führte zu einem gesteigerten Bewusstsein für den Datenschutz als Menschenrecht. Die weite territoriale Anwendbarkeit der DSGVO sowie die vorgesehenen hohen Geldbußen haben die öffentliche Debatte über den Datenschutz angeheizt. Der Zusammenhang zwischen dem zweiten Hauptziel und der DSGVO ist weniger sichtbar. Wir können nicht unbedingt sagen, dass die Verordnung einen bedeutenden Einfluss auf die Verwirklichung eines Raums der Freiheit, der Sicherheit und des Rechts sowie einer Wirtschaftsunion hatte.”
Bryan Betts, Principal Analyst bei Freeform Dynamics, einem Unternehmen für IT-Forschung und -Analyse, erweitert: “Eher mehr Erfolg als Misserfolg, aber ja, dazwischen. Erfolg, weil sie das Profil und das Bewusstsein für den Datenschutz erheblich erhöht hat, und nur wenige Organisationen sind sich der Probleme noch nicht bewusst. Und ihr allgemeiner mehr-Erfolg-als-Misserfolg-Status zeigt sich darin, wie viele Gerichtsbarkeiten auf der ganzen Welt ähnliche Vorschriften übernommen haben.”
Serdyuk erklärt: “Die DSGVO hat ein langjähriges Problem angegangen. Allein dafür kann die DSGVO als Erfolg betrachtet werden. Wenn man jedoch ein Wegbereiter ist, sollte man mit einigen Stolpersteinen rechnen.”
Einer dieser Stolpersteine ist die Komplexität. Godinova beschreibt die Einführung der DSGVO als einen “schmerzhaften Prozess” sowohl für den privaten als auch den öffentlichen Sektor und erklärt: “Auf der Durchsetzungsebene benötigten einige lokale Aufsichtsbehörden Zeit, um die erforderliche Expertise aufzubauen. Leider arbeiten einige immer noch mit wenigen Ressourcen.”
Laut ESG1 war die “Komplexität der zu befolgenden Vorschriften” die zweithäufigste Herausforderung, der sich Organisationen bei der Umsetzung und Verwaltung von Datenverwaltungsinitiativen stellen müssen. Über ein Drittel der Befragten (36%) nannte dies als Herausforderung. “Übermäßige Menge an Daten, die verwaltet werden müssen, begrenzt die Möglichkeiten der Datenintelligenz” war die am häufigsten genannte Herausforderung (37%). Weitere bedeutende Hürden waren “zu viele verschiedene Datenverwaltungsanwendungen/Technologien, die verwaltet werden müssen” (35%) und “Fehlen einheitlicher Datenverwaltungslösungen” (30%). Die “Anzahl der zu befolgenden Vorschriften” war für 27% der Befragten eine Herausforderung.
Speciale sagt: “Die größte Herausforderung besteht darin, die Regeln darüber wirklich zu verstehen, welche personenbezogenen Daten gespeichert werden können und welche nicht. In unserem eigenen Unternehmen haben wir zunächst aus Vorsicht viele Daten über potenzielle Verkaufsaussichten gelöscht, bei denen wir uns nicht sicher waren, ob sie ‘opt-in’ waren. Jetzt, da wir die Regeln besser verstehen, gibt es mehr Klarheit darüber, dass wir personenbezogene Daten von potenziellen Kunden speichern können, bei denen ein ‘berechtigtes Interesse’ an unseren Lösungen besteht.”
Betts fügt hinzu: “Es gibt viele Missverständnisse und Fehlinterpretationen, wobei Organisationen den Datenschutz als Ausrede für umständliche und intransparente ‘Sicherheits’- und Einwilligungsprozesse nutzen.”
Es gibt jedoch größere Herausforderungen, wie Randy Kerns, Senior Stratege und Analyst bei der IT-Analystenfirma Evaluator Group, feststellt: “Aus regulatorischer Sicht hat dies zwar zu einer Veränderung geführt, aber das stellte sich als weniger einschneidend heraus als zunächst gedacht. Aus individueller Sicht glaube ich nicht, dass sie einen großen Unterschied sehen. Ich glaube, dass Individuen sehen, dass ihr Datenschutz bei Datendiebstahl in Cyberangriffen ein größeres Problem darstellt.”
Was kommt als nächstes?
Unsere Experten sind sich einig, dass Datenschutzvorschriften weltweit weiter standardisiert werden. Oxfeldt sagt: “Da die Anzahl der Datenschutzvorschriften weltweit weiter zunehmen wird, hat Gartner vorhergesagt, dass bis Ende 2024 die Mehrheit der Weltbevölkerung durch Datenschutzvorschriften abgedeckt sein wird.”
Und dieses Wachstum der Vorschriften wird zu mehr Innovation und Kreativität führen. Laut Kornfeld “sieht StorMagic diesen Trend nicht abflauen. Die Veränderung, die wir sehen werden, besteht darin, dass Innovationen zunehmen und immer mehr Marketingunternehmen neue Möglichkeiten finden, Benutzer anzusprechen, während sie gleichzeitig den Vorgaben der DSGVO und ähnlicher Datenschutzvorschriften entsprechen.”
Godinova stimmt zu und sagt, dass Endbenutzer “eine sicherere und datenschutzfreundlichere Verarbeitung von Organisationen erwarten. Diese gestiegenen Erwartungen bewegen die reiferen Unternehmen dazu, die DSGVO und ähnliche Datenschutzverpflichtungen neu zu überdenken. Die Umsetzung der Anforderungen kann nicht nur als Belastung zur Einhaltung, sondern als Mittel für einen wettbewerbsfähigen Geschäftsvorteil betrachtet werden, der auf dem Aufbau von Vertrauen zu Kunden basiert.”
Christophe Bertrand, Senior Analyst bei ESG, verweist auf die Chancen für Datenmanagementunternehmen: “Ich erwarte, dass traditionelle Anbieter von Datensicherung intelligente Datenverwaltungsfunktionen einführen, bei denen sie zu einem wichtigen Bestandteil des Compliance-Apparats werden.”
Für Kerns hat Sicherheit heute Vorrang: “Die DSGVO wurde behandelt und ist keine fortlaufende Sorge für die IT. Cyberangriffe mit dem Schutz von Daten sind das dringendere Problem.” Speciale stimmt zu: “Datensicherheit bleibt die oberste Priorität für unsere Kunden und für unsere eigene Produkt-Roadmap in absehbarer Zukunft (insbesondere da die Bedrohung durch Ransomware/Malware fortbesteht).” Curtis Anderson, Softwarearchitekt bei Panasas, einem Anbieter von Datenlösungen für Hochleistungs- und KI-Anwendungen, fasst zusammen: “Im Grunde genommen legt die DSGVO Konsequenzen für schlechtes Verhalten von ansonsten rechtschaffenen Online-Organisationen fest, während wir für den Diebstahl von Daten und Spionage Wege brauchen, um tatsächlich schlechtes Verhalten von gesetzesbrechenden Organisationen zu verhindern.”
Aber, ob die DSGVO behandelt wurde oder nicht, es ist klar, dass sie das Gespräch über den Datenschutz verändert und eine weitreichende und langanhaltende Wirkung hatte. Lassen wir uns das letzte Wort von Fotedar von Tintri geben: “Das Paradoxon des Datenschutzes setzt sich fort – wir möchten unsere Daten teilen, aber möchten nicht, dass Sie sie verarbeiten.”