Ausblick auf den Datenschutz: Gesetzgebung, Durchsetzung, Rechtsstreitigkeiten

Nach Angaben des Marktforschungsunternehmens Gartner sehen sich Unternehmen mit stark zunehmenden Datenschutzrisiken konfrontiert. Gesetzgebung, Durchsetzung, Rechtsstreitigkeiten und Verbraucheraktivismus nehmen zu, während Cyberangriffe weiterhin in die Speicher der Unternehmen für persönliche Daten wie Sozialversicherungs- und Kreditkartennummern eindringen.

Als Antwort darauf müssen die Datenschutzprogramme der Unternehmen einen anderen Gang einlegen. Unternehmen, die personenbezogene Daten nur mit einem "minimal praktikablen" Ansatz zur Einhaltung der Datenschutzbestimmungen verwalten und schützen, müssen laut Gartner mit einer Reihe negativer Folgen rechnen. Stattdessen sollte der Datenschutz in den Mittelpunkt gerückt und proaktiv gehandhabt werden. Er sollte unternehmensweit als Wettbewerbsvorteil genutzt und automatisiert werden, um Aufsichtsbehörden, Kunden, Mitarbeiter, Partner und andere Stakeholder zufrieden zu stellen.

Dieser Artikel basiert auf einem Gartner®-Bericht mit dem Titel "Predicts 2022: Privacy Risk Expands" und konzentriert sich auf das Compliance-Risiko. Er ist Teil einer dreiteiligen Serie, die sich später auch mit Rechtsstreitigkeiten und dem Datenschutz als Wettbewerbsvorteil befassen wird.

Unternehmen im Kreuzfeuer der Datenschutzrisiken

Bis zum nächsten Jahr wird die Regulierung des Verbraucherdatenschutzes und des Schutzes der Privatsphäre etwa 5 Milliarden Bürger und mehr als 70 % des globalen BIP betreffen. Das ist ein Anstieg von 3 Milliarden im Jahr 2021, sagte das Unternehmen und fügte hinzu: "Dieser Trend hat sich bis zum Jahr 2022 erheblich beschleunigt.

Das Risiko für den Datenschutz geht jedoch weit über die Geldstrafen der Aufsichtsbehörden für die Nichteinhaltung von Vorschriften hinaus. Eine andere Vorhersage besagt, dass Unternehmen, die personenbezogene Daten nicht schützen oder respektieren, bis 2026 dreimal mehr finanziellen Schaden durch Sammelklagen und andere Verbraucherrechtsstreitigkeiten erleiden werden als durch die Durchsetzung von Vorschriften.

Hinzu kommt, dass Unternehmen zunehmend über ihren Ruf in Sachen Datenschutz konkurrieren werden. Die Verbraucher werden mit ihrem Geldbeutel darüber abstimmen, wie sorgfältig ihre persönlichen Daten geschützt werden und wie gut Unternehmen reagieren, wenn sie Bedenken äußern. Dieses Wettbewerbsrisiko treibt Datenschutzprogramme in eine neue Richtung. "Bis 2024 wird das durchschnittliche Jahresbudget großer Unternehmen für den Datenschutz 2,5 Millionen Dollar übersteigen, was eine Verlagerung von der Compliance-Ethik zur Wettbewerbsdifferenzierung ermöglicht."

Die Bewältigung dieser Herausforderungen wird jedoch nicht einfach sein, da die Unternehmen auch einen Mangel an verfügbaren Datenschutzfachleuten zu verzeichnen haben. "Bis 2024 wird der Mangel an Datenschutzfachleuten zu 100.000 unbesetzten Stellen führen.

Gesetzgebung zum Schutz der Privatsphäre breitet sich aus

In den USA hat die Handelskammer vor kurzem an der Spitze einer Koalition von bundesstaatlichen und nationalen Organisationen eine umfassende, nationale Datenschutzgesetzgebung gefordert.[1] "Ein nationales Datenschutzgesetz, das klar und fair für die Wirtschaft ist und die Verbraucher stärkt, wird das digitale Ökosystem fördern, das Amerika braucht, um wettbewerbsfähig zu sein", schrieb die Kammer.

In der Zwischenzeit sehen sich die US-Unternehmen mit einem Flickenteppich an Rechtsvorschriften konfrontiert. Nahezu 30 Bundesstaaten haben Datenschutzgesetze verabschiedet oder erwägen solche, die sich erheblich voneinander unterscheiden, was den Aufwand für die Einhaltung der Vorschriften für die Unternehmen erhöht. Während die nationale Gesetzgebung noch auf sich warten lässt, entwickelt die U.S. Federal Trade Commission (FTC) landesweite Datenschutzvorschriften und setzt sie durch.[2] Seit Jahren müssen US-Unternehmen in Bereichen wie dem Gesundheitswesen den Datenschutz bereits durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) schützen. Und viele US-Unternehmen mit internationalen Niederlassungen müssen ausländische Datenschutzbestimmungen einhalten, wie z. B. die europäische Datenschutzgrundverordnung (GDPR).

Weltweit nimmt die Komplexität des globalen Regulierungssystems ebenfalls zu, so Gartner, und umfasst nun auch Gesetze in Ländern wie China und Indien. Obwohl viele von ihnen der DSGVO nachempfunden sind, unterscheiden sie sich in ihren Anforderungen an die Vermeidung von Datenschutzverletzungen, an Datenschutzhinweise und -erklärungen sowie an die Zustimmung der Verbraucher und ihre Präferenzen hinsichtlich der Verwendung personenbezogener Daten durch Unternehmen.

Wie gut halten sich die Unternehmen bisher daran? Selbst bei Gesetzen, die schon seit Jahren in Kraft sind, wie etwa die DSGVO, stufen nur 20 % der Datenschutzbeauftragten ihre Unternehmen als vollständig konform ein, während 43 % sich als "sehr konform" bezeichnen, wie ein separater Bericht der International Association of Privacy Professionals (IAPP) zeigt. [3] Laut dem Identity Theft Resource Center erreichten Datenschutzverletzungen, Enthüllungen und andere Kompromittierungen personenbezogener Daten in den USA im Jahr 2021 einen historischen Höchststand und stiegen im Vergleich zum Vorjahr um 68 %.[4] "Gartner führte zwischen April 2021 und Mai 2021 eine länderübergreifende Online-Umfrage durch. Laut dieser Umfrage gaben Unternehmen mit mindestens 100 Mitarbeitern und einem Jahresumsatz von 50 Millionen US-Dollar im Geschäftsjahr 2020 durchschnittlich 1.524 US-Dollar pro SAR-Anfrage aus, und die Mehrheit der Befragten (85 %) war in der Lage, eine Anfrage innerhalb von zwei Wochen nach Eingang zu bearbeiten.1"

Unternehmen sehen sich der Durchsetzung des Datenschutzes gegenüber

Seit der Umsetzung der DSGVO im Jahr 2018 haben die Aufsichtsbehörden fast 1.000 Bußgelder in Höhe von insgesamt fast 1,8 Milliarden US-Dollar verhängt.[5] Die meisten betrafen die unzulässige Verarbeitung personenbezogener Daten, eine unzureichende Datensicherheit und die unzureichende Erfüllung der Rechte natürlicher Personen auf Zugang, Berichtigung oder Löschung personenbezogener Daten.

In den USA betrachtet sich die FTC im Rahmen ihres Mandats zur Überwachung von Geschäftspraktiken als die wichtigste Behörde für den Datenschutz. Seit 2002 hat die FTC 80 Verfahren gegen Unternehmen wegen des unzureichenden Schutzes der persönlichen Daten von Verbrauchern eingeleitet, wie die Behörde Ende letzten Jahres dem Kongress berichtete.[6] In letzter Zeit ist die FTC bei der Durchsetzung des Datenschutzes im Rahmen von Gesetzen wie dem Gramm-Leach-Bliley Act, der den Schutz von Finanzdaten regelt, aktiver geworden.

Im ersten Jahr, in dem das bahnbrechende kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (CCPA) in Kraft gesetzt wurde, wurden "Aufforderungen zur Behebung von Verstößen an Unternehmen wie Datenvermittler, Marketingfirmen, Unternehmen, die mit Kinderdaten umgehen, Medien und Online-Händler verschickt", berichtete das Büro des Generalstaatsanwalts letztes Jahr. Den Unternehmen wird eine Frist von 30 Tagen eingeräumt, um angebliche Verstöße zu "heilen", und fast alle haben sich bisher daran gehalten, anstatt eine Geldstrafe zu zahlen.[7]

Klagen zum Schutz der Privatsphäre auf dem Vormarsch

Der CCPA veranschaulicht nicht nur Trends bei der Durchsetzung, sondern gibt auch Aufschluss über die wachsende Zahl von Datenschutzklagen. Nach einer Zählung wurden mehr als 100 Sammelklagen auf der Grundlage des CCPA eingereicht. Darunter befand sich auch ein 5-Millionen-Dollar-Vergleich eines Unternehmens mit Kunden, die behaupteten, dass unzureichende Sicherheitsverfahren es Cyber-Angreifern ermöglichten, ihre persönlichen Daten zu stehlen.[8]

In verschiedenen Bereichen kommt es zu Rechtsstreitigkeiten, die sowohl Mitarbeiter als auch Kunden betreffen. Gartner berichtet von einer explosionsartigen Zunahme von Datenschutzklagen im Zusammenhang mit der Erfassung und Speicherung biometrischer Daten wie Fingerabdrücke und Gesichtserkennung für den digitalen Zugang. So hat beispielsweise ein Fast-Food-Restaurant vor kurzem einen Vergleich in Höhe von 50 Millionen Dollar mit Angestellten geschlossen, die behaupteten, dass sie nicht um eine ordnungsgemäße Zustimmung zur Verwendung ihrer Fingerabdrücke für das Stempeln gebeten wurden.[9] In Europa wurden viele kleine Klagen eingereicht; einige wurden beispielsweise im Zusammenhang mit der DSGVO in Deutschland entschieden, mit gemischten Ergebnissen für und gegen die Kläger. Unterdessen hat ein Gericht in den Niederlanden kürzlich eine milliardenschwere Klage gegen zwei Big-Tech-Unternehmen abgewiesen, die an Echtzeit-Werbeauktionen beteiligt sind.[10]

Verringerung der Risiken für die Privatsphäre

"Angesichts der Ausweitung der Datenschutzbestimmungen in Dutzenden von Ländern in den kommenden zwei Jahren werden viele Unternehmen erst jetzt die Notwendigkeit sehen, mit ihren Datenschutzprogrammen zu beginnen", so Gartner. In der Zwischenzeit erweitern Unternehmen mit bereits ausgereiften Programmen ihre Fähigkeiten.

Gartner gibt unter anderem Ratschläge für die Bewältigung der kommenden Herausforderungen:

• Machen Sie den Datenschutz zum zentralen Thema in Ihrem Unternehmen.
• Vorbereitung eines nachhaltigen, unternehmensweiten Programms zum Schutz der Privatsphäre, einschließlich einer jährlichen Ausweitung der Reichweite und Wirkung.
• Planen Sie einen einheitlichen Ansatz für die Einhaltung der Vorschriften in den Ländern, in denen Sie tätig sind, und berücksichtigen Sie dabei auch regionale Unterschiede.
• Automatisieren Sie die Prozesse zur Bearbeitung von Anträgen von Einzelpersonen auf Zugang zu ihren persönlichen Daten.
• Zusätzlich zu den datenschutzspezifischen Tools, wie z. B. Self-Service-Portalen für Kunden, nutzt klassische datenzentrische Funktionen, wie z. B. Datenerkennung, Klassifizierung und End-of-Life-Automatisierung.
• Verstärken Sie den Personalbestand durch Schulungen, eine förderliche Kultur der abteilungsübergreifenden Zusammenarbeit und bei Bedarf durch Zeitarbeitskräfte.

Die Quintessenz

Die Risiken für den Datenschutz nehmen in viele Richtungen zu, von der Zunahme neuer Rechtsvorschriften bis hin zu mehr Geldbußen, Klagen und Kundenbeschwerden. Unternehmen müssen sich auf den Datenschutz als zentralen Aspekt ihrer Geschäftstätigkeit konzentrieren - nicht nur auf die Einhaltung der Datenschutzvorschriften, sondern auch auf ihren guten Ruf bei der Wahrung des Datenschutzes im Wettbewerb.

[1] "Coalition Letter on National Privacy Legislation," U.S. Chamber of Commerce

[2] "FTC unternimmt Schritte in Richtung Datenschutz, KI-Regelungen," International Association of Privacy Professionals

[3] "IAPP-EY Annual Privacy Governance Report 2021," International Association of Privacy Professionals

[4] "End-of-Year Data Breach Report 2021," Identity Theft Resource Center

[5] "Verlauf der Gesamtsumme der Geldbußen (kumulativ)," Enforcement Tracker

[6] "FTC Report to Congress on Privacy and Security," Federal Trade Commission

[7] "Generalstaatsanwalt Bonta kündigt für das erste Jahr ein Update zur Durchsetzung des kalifornischen Gesetzes zum Schutz der Privatsphäre der Verbraucher an," California Department of Justice

[8] "CCPA Breach Class Action Settlement About to Get 'Minted,'" JD Supra

[9] "McDonald's Illinois Employee Biometric Privacy $50M Class Action Settlement," Top Class Actions

[10] "Urteil vom 19. Dezember 2021," Gerichtshof von Amsterdam

Gartner, Vorhersagen 2022: Datenschutzrisiko nimmt zu, Bart Willemsen, Katell Thielemann, Bernard Woo, Nader Henein, 27. Oktober 2021

GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.