Verpasste Frist oder warum mehr als die Hälfte der Unternehmen nicht für die DSGVO bereit waren

In den letzten Tagen sind Briefe von verschiedenen Unternehmen, Anwendungen, Diensten und Websites, die Sie jemals verwendet haben oder bei denen Sie regelmäßig Konten eröffnet haben, regelmäßig in die Post gefallen. Die Briefe sind ungefähr gleich - sie melden eine Änderung der Datenschutzrichtlinie und erklären, wie das Unternehmen personenbezogene Daten verarbeitet.

Wir haben bereits darüber geschrieben, was genau sich an den Datenverarbeitungsrichtlinien großer IT-Unternehmen ändert: WhatsApp, Facebook, Instagram und Twitter. Jetzt verstehen wir, warum Dutzende von Briefen von vielen Diensten erst jetzt nach Ablauf der offiziellen DSGVO-Frist eintrafen, warum nicht alle Unternehmen sich rechtzeitig auf den Übergang vorbereiten konnten und auf welche Probleme sie stießen.


/ Foto Dennis van der Heijden CC BY

Was ist los

Am 25. Mai trat die DSGVO - Allgemeine Datenschutzverordnung - in Kraft. Es regelt den Schutz personenbezogener Daten von Einwohnern von EU-Ländern und ersetzt die Datenschutzrichtlinie, eine Richtlinie aus dem Jahr 1995.

Die DSGVO betrifft alle, da sie nicht nur für in der Europäischen Union registrierte Unternehmen gilt, sondern für alle, die PD von EU-Bürgern speichern, verarbeiten und verwenden.

Die Unternehmen begannen im Voraus mit der Vorbereitung, deren Geschäftsmodelle in hohem Maße von der Arbeit mit PD abhängen. So erklärte beispielsweise Facebook bereits vor Einführung der DSGVO , was zur Einhaltung der neuen Verordnung getan werden würde: Alle Benutzer werden gebeten, ihre Datenschutzeinstellungen zu überprüfen. Sie können auch selbst entscheiden, ob und welche Informationen sie zum Zwecke der gezielten Werbung weitergeben möchten. Darüber hinaus plante das soziale Netzwerk die Rückgabe der Gesichtserkennung, die durch eine Gerichtsentscheidung, dass dieses Toolkit des sozialen Netzwerks gegen die Gesetze zu personenbezogenen Daten verstößt, deaktiviert wurde.

Aber nicht alle Unternehmen reagierten mit der gleichen Aufmerksamkeit auf die neue Regelung. Im April führte das Ponemon Institute eine Umfrage unter Tausenden von Unternehmen durch, von denen die Hälfte zugab, dass sie nicht für die Frist bereit wären. Unter den IT-Unternehmen waren 60%.

Infolgedessen konnten viele die Anforderungen der Verordnung wirklich nicht rechtzeitig erfüllen - obwohl die Frist lange bekannt war (die endgültige Fassung der DSGVO wurde vor zwei Jahren veröffentlicht). Laut einer Umfrage des europäischen Unternehmens TrustArc vor einem Jahr unter zweihundert Unternehmen aus verschiedenen Ländern und Branchen haben 61% der Unternehmen damals noch nicht einmal begonnen , sich auf die DSGVO vorzubereiten.

Warum ist es so schwer zu passen

Viele Unternehmen hatten keine Zeit für die Frist, nicht nur, weil sie beschlossen, alles auf den letzten zu verschieben. Es gibt mehrere relativ objektive Gründe.

Das Gesetz ist sehr kompliziert

Und manchmal überschneidet es sich mit lokalen Rechtsakten in Bezug auf die Verarbeitung personenbezogener Daten. Anwälte sagen, dass es wirklich schwierig ist, die Anforderungen der Aufsichtsbehörde zu verstehen - und vor allem, Ihr Unternehmen so wieder aufzubauen, dass es ihnen entspricht.

Beispielsweise lösten einige Formulierungen in wichtigen Punkten des Gesetzes heftige Debatten aus: Die Zustimmung zur Verwendung gewöhnlicher personenbezogener Daten sollte „eindeutig“ (dh eindeutig, verständlich, eindeutig) sein, und die Zustimmung zur Verwendung „sensibler“ personenbezogener Daten sollte „explizit“ sein (klar angegeben) erschöpfend).

Aber gibt es einen Unterschied zwischen diesen beiden Definitionen und damit den beiden „Zustimmungen“, und wenn ja, was und was sollte es in der Anwendung zum Üben ausgedrückt werden? Die Frage ist überhaupt nicht untätig - sie hängt von der richtigen (aus rechtlicher Sicht) Antwort ab, zum Beispiel, wie es möglich ist und wie es unmöglich ist, Signaturen für Kontrollkästchen in den Schnittstellen zu erstellen, die die Zustimmung des Benutzers zur Verarbeitung von PD kennzeichnen.


/ Bild Giulia Forsythe PD

Darüber hinaus berücksichtigt das Gesetz keine lokalen Besonderheiten: Beispielsweise haben verschiedene Länder unterschiedliche Einstellungen zu personenbezogenen Daten. Dies ist teilweise der Grund, warum viele Teile des Gesetzes absichtlich gestrafft werden - was Raum für eine Vielzahl seiner Interpretationen schafft .

Und einige Punkte der DSGVO widersprechen beispielsweise der russischen Nummer 152-FZ „Über personenbezogene Daten“, die auch russischen Unternehmen Schwierigkeiten bereitet, die auf irgendeine Weise PD von europäischen Bürgern sammeln und verwenden.

Prozessüberholung

Und das nicht nur aus technologischer, sondern auch aus geschäftlicher Sicht. Einige Unternehmen befürchten, dass Menschen sie niemals weitergeben, wenn sie den Benutzern genau mitteilen, wie sie ihre persönlichen Daten verwenden.

Daher wurde der Ansatz, den Facebook eingeführt hat, um die Benutzererlaubnis zu erhalten, letztendlich kritisiert : Der gesamte Pfad des Benutzers motiviert ihn, den neuen Regeln schnell zuzustimmen und seine Informationen weiterhin mit dem Dienst zu teilen.

Die Schaltfläche „Zustimmen und fortfahren“ ist die schönste und auffälligste, und hier sieht die entgegengesetzte Lösung bereits schwierig aus: „Dateneinstellungen verwalten“. Wenn Sie darauf klicken, versucht Facebook zunächst, den Nutzer davon zu überzeugen, alles so zu lassen, wie es ist. Darüber hinaus beraubt Facebook den Nutzer der Möglichkeit, einige persönliche Informationen auf seiner Seite zu teilen, gleichzeitig jedoch nicht zuzulassen, dass soziale Netzwerke diese Informationen für Werbezwecke verwenden.

Darüber hinaus verfügen kleine und mittlere Unternehmen häufig einfach nicht über die technologischen und personellen Ressourcen, um die Anforderungen des Gesetzes zu verstehen und alle erforderlichen Vorbereitungen zu treffen. Daher wird für sie der Prozess, alle Systeme mit den Anforderungen der DSGVO in Einklang zu bringen, sehr teuer.

Das Gesetz berücksichtigt keine neuen Technologien mehr

Die Verordnung wurde über mehrere Jahre hinweg entwickelt und verabschiedet, so dass viele Vorstellungen über den aktuellen Stand der Technik bereits veraltet sind: Beispielsweise ist nicht klar, was mit Big Data und maschinellem Lernen zu tun ist.

GDPR erfordert also Transparenz von Algorithmen für maschinelles Lernen - Entwickler sollten erklären können, warum der Algorithmus diese oder jene Entscheidung getroffen hat. Mit anderen Worten, das Gesetz schreibt vor, dass der Benutzer jederzeit eine detaillierte Erläuterung des Mechanismus zur Verwendung seiner persönlichen Daten erhalten kann, um eine fundierte Entscheidung zu treffen - ob er damit einverstanden ist oder nicht.

Bei Algorithmen für maschinelles Lernen ist dies nicht so einfach - warum KI-Systeme diese Entscheidung in diesem Moment treffen, können selbst die Ingenieure manchmal nicht erklären. Dies ist nicht durch die DSGVO geregelt. Und solche Dinge werden immer mehr - das Gesetz muss ständig aktualisiert werden, aber in Wirklichkeit wird das Gesetz immer hinter der Entwicklung der Technologie zurückbleiben.

Das Schwierigste waren die Unternehmen, die intelligente Assistenten entwickeln - Google Assistant, Alexa, Siri.

Diese Dienste hören immer (wenn auch im Hintergrund) alles ab, was um sie herum geschieht - um zum richtigen Zeitpunkt „aufzuwachen“ und einen Befehl mit einem Codewort auszuführen. Die Technologie ist immer noch unvollkommen - zum Beispiel hatte Amazon vor nicht allzu langer Zeit ein unerwartetes Problem : Alexa fing regelmäßig an zu lachen, weil sie den Satz „Alex, lach“ in der sie umgebenden Rede verstehen konnte.

Es klingt lächerlich, aber im Rahmen der DSGVO ist diese Situation eine Grauzone, deren Kontrolle noch unklar ist. Formal nehmen intelligente Assistenten keinen Ton auf und übertragen ihn nirgendwo hin - aber ein aktueller Fall mit derselben Alexa, der aufgrund eines technischen Fehlers eine Audioaufzeichnung eines persönlichen Gesprächs von Bewohnern eines Hauses an einen der Kontakte im Telefonbuch übertrug , zeigt, dass Situationen unterschiedlich sein können.

In solchen Fällen hängt alles davon ab, ob die Benutzer darunter gelitten haben oder nicht: Zum Beispiel, wenn die Informationen nicht verwendet wurden und der Dienst schnell „reagiert“ und sie gelöscht hat. Die Entwickler von Alexa selbst haben versprochen, die Spracherkennungsalgorithmen zu verbessern, damit ein derart unwahrscheinliches Ereignis nicht erneut auftritt.


/ Foto Oliver Henze CC BY-ND

Wie der Betrieb solcher Dienste im Hinblick auf die Einhaltung der DSGVO geregelt wird, ist noch nicht klar. Experten und Journalisten sind sich einig: Solche Dienste müssen wahrscheinlich die Zustimmung der Benutzer einholen, dass der intelligente Assistent Informationen immer hört, aufzeichnet und möglicherweise an Dritte weitergibt.

Was wird

Was erwartet Unternehmen, die keine Zeit hatten, Geschäftsprozesse in Einklang zu bringen oder gegen das Gesetz zu verstoßen? Einige glauben, dass der 25. Mai ein „sanfter Start“ war und die Regulierungsbehörde keine Unternehmen verfolgen wird, die es nicht geschafft haben, die Frist einzuhalten (insbesondere wenn sie objektive Gründe dafür haben). Obwohl die Strafe für die Nichteinhaltung der Vorschriften bereits angegeben wurde und sehr bedeutend ist - bis zu 4% des Jahresumsatzes des Unternehmens.

Es gibt jedoch eine Schwierigkeit - nicht jede Kontrolle liegt jetzt allein beim Regler. Die Benutzer selbst haben auch Macht: Sie können beispielsweise verlangen, dass der Dienst alle ihre PDs empfängt, ändert oder löscht. Wenn diese Prozesse nicht eingerichtet sind und der Dienst die Anforderungen des Benutzers technisch nicht erfüllen kann, besteht die Gefahr von Rechtsstreitigkeiten, die der Benutzer möglicherweise gewinnt.

Viele Experten glauben immer noch, dass der Markt die GDPR-Anforderungen nicht vollständig erfüllen kann. Zumindest, weil das Gebiet noch sehr unerforscht ist - das Gesetz hat, obwohl es in seinen Absichten korrekt ist, keine Auswirkungen auf viele wichtige Fälle und Arten der Verwendung und Speicherung personenbezogener Daten. Wenn solche Studien (detailliert und detailliert) dennoch erscheinen, werden sie eine gute Grundlage für die Fertigstellung des Gesetzes.

Das Aufkommen von GPDR ist jedoch ein wichtiger Indikator für die Verlagerung der Priorität. Wenn früher die Verwaltung personenbezogener Daten die „Schattenkomponente“ fast aller Unternehmen war und Unternehmen sie nach Belieben verwalten konnten, haben Benutzer jetzt endlich zumindest einige Tools zur Steuerung ihrer eigenen Daten im Web.

PS Was schreiben wir noch über den ersten Corporate IaaS-Blog:

• Was bezieht sich auf personenbezogene Daten aus Sicht der russischen Regulierungsbehörde?
• Personenbezogene Daten in der Cloud: Verarbeitungsprinzipien
• Schutz personenbezogener Daten: ein europäischer Ansatz

PPS Einige Materialien zu einem Thema aus unserem Blog über Habré:

• Wie soziale Netzwerke die Prinzipien der Arbeit mit PD verändern
• Neue EU-Verordnung zum PD-Schutz tritt in Kraft
• Die Debatte um das Recht auf Vergessen: Sollten Suchmaschinen als Journalismus betrachtet werden?
• CLOUD AST: Neue US-Gesetzesvorlage eröffnet Zugang zu personenbezogenen Daten im Ausland