Mit der 65% der Weltbevölkerung erwartet, dass seine personenbezogenen Daten bis 2023 unter moderne Datenschutzbestimmungen fallen, war die Achtung des Datenschutzes noch nie so wichtig wie heute. Als Beispiel die Einführung des Bundes Amerikanisches Datenschutzgesetz (ADPPA) hat zusammen mit der jüngsten Verabschiedung eines Flickenteppichs von Datenschutzgesetzen auf Bundesstaatsebene die aktuelle US-Datenschutzlandschaft zunehmend komplexer gemacht. Dies führt zu Herausforderungen für Unternehmen, sowohl bei der Verwaltung explodierender Datenmengen als auch beim Verständnis, wie spezifische Datenschutzbestimmungen für sie gelten.
Da Unternehmen jeder Größe versuchen, den Überblick über sich ständig ändernde Datenschutzgesetze zu behalten und relevante Vorschriften proaktiv zu überwachen, sollten sie auch die notwendigen Schritte unternehmen, um zu erfassen, wo Verbraucher- und Beschäftigungsdaten gespeichert sind, und welche potenziellen Risiken für diese Daten bestehen. Durch die Stärkung der Cybersicherheitsabwehr können Unternehmen jetzt und in Zukunft besser auf Datenschutzbestimmungen vorbereitet sein.
Erinnern wir uns, warum dies so wichtig geworden ist. Erstens sind Verbraucher und Arbeitnehmer mehr denn je über Persönlichkeitsrechte informiert und wie Datenschutzbestimmungen für sie gelten. Dies ist eine wichtige und positive Entwicklung angesichts des dramatischen Anstiegs der Risiko von Bußgeldern und Gerichtsverfahren wegen Nichteinhaltung – eine der Grundlagen, die zum Schutz der Rechte des Einzelnen erforderlich sind.
Auch die Konvergenz von personenbezogenen Daten (PII) und geschützten Gesundheitsinformationen (PHI) birgt Datenrisiken. Beispielsweise können Zahlungsinformationen aus einem Versicherungsfall zusammen mit einer E-Mail-Adresse und anderen im Internet gefundenen digitalen Breadcrumbs verwendet werden, um Identitäten zu stehlen oder zu einer Datenexfiltration zu führen. Darüber hinaus kann die Einführung und langfristige Akzeptanz hybrider Arbeitsmodelle zu Herausforderungen führen. Einige Unternehmen stellen ihren Mitarbeitern sehr gezielte Fragen zu Verhaltensweisen und Heimarbeitsregelungen, um die Produktivität zu messen. Abhängig von den spezifischen Fragen können sich weitere Auswirkungen auf den Datenschutz ergeben.
Landschaft der Verwirrung
Angesichts der großen Vielfalt und Rechtsprechung der aktuellen Datenschutzbestimmungen kann es zu Verwirrung kommen. Beispielsweise sind in North Dakota ansässige US-Unternehmen, die im Inland Geschäfte tätigen, möglicherweise etwas weniger mit Regeln beschäftigt, die im Ausland gelten. Im Gegensatz dazu können für US-Unternehmen, die Waren und Dienstleistungen im Vereinigten Königreich oder in der EU anbieten, Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) – zusammen mit möglichen Strafen bei Verstößen – durchaus gelten.
Darüber hinaus können in einigen Organisationen Vorurteile in Bezug auf die Größe des Unternehmens Compliance- oder regulatorische Probleme verursachen, z. B. die Annahme, dass ein Unternehmen zu klein ist, als dass die Datenschutzbestimmungen gelten könnten. Es stimmt zwar, dass sich die meisten neueren Vorschriften auf Unternehmen einer bestimmten Größe konzentrieren, aber die tatsächlichen Größenkriterien können sich auf eine Reihe von Faktoren beziehen, wie z. B. die Anzahl der Mitarbeiter oder den Jahresumsatz. Ob Datenschutzbestimmungen gelten oder nicht, kann auch von der Menge an Verbraucherinformationen abhängen, mit denen eine Organisation umgeht.
Der Punkt ist, dass jedes Regelwerk Nuancen hat, weshalb es wichtig ist, sowohl die Relevanz als auch die Grenzen eines jeden zu verstehen. Dies sollte regelmäßig überprüft werden, insbesondere wenn Organisationen wachsen und Vorschriften gelten, wo dies vorher nicht der Fall war. Es gab zum Beispiel kürzliche Entwicklungen rund um das neue EU-UK Data Privacy Framework, auch bekannt als Privacy Shield 2.0, in Bezug auf nachrichtendienstliche Aktivitäten.
Eine gute Faustregel ist, Best Practices so schnell wie möglich zu befolgen, damit alles bereit ist, wenn die Notwendigkeit einer formellen Konformität eintritt. Das Risiko, etwas falsch zu machen, ist groß, da Unternehmen bei Nichteinhaltung möglicherweise mit massiven Bußgeldern rechnen müssen. Das sagt nichts über die Auswirkungen auf den Ruf der Marke aus, wenn ein schwerwiegender Verstoß aufgedeckt wird, einschließlich des Vertrauensverlusts von Verbrauchern, Mitarbeitern oder Investoren, wobei die Auswirkungen langwierig und schmerzhaft sein können.
Zeit für Bundesgesetze?
Regelmäßig werden neue Datenschutzgesetze vorgeschlagen. In fünf US-Bundesstaaten sollen 2023 wichtige Vorschriften in Kraft treten: Kalifornien, Virginia, Colorado, Connecticut und Utah. Da 10 % der US-Bundesstaaten bis Ende nächsten Jahres durch Datenschutzgesetze abgedeckt werden sollen, ist es klar, dass ein Bundesgesetz nützlich wäre.
Insbesondere die Bundesgesetzgebung könnte eine entscheidende Rolle bei der Angleichung der USA an andere Länder zum Thema Datenschutz spielen. Es würde auch Anbietern und Benutzern die dringend benötigte Klarheit darüber geben, wie sensible Daten verwendet, gespeichert und verwaltet werden. Dies allein würde viel dazu beitragen, die weit verbreitete Verwirrung zu beseitigen, die aufgrund des bestehenden Flickenteppichs von Vorschriften herrscht. Während der genaue Zeitpunkt für Bundesgesetze wie das vorgeschlagene ADPPA unklar ist, ist es keine Frage des Ob, sondern des Wann.
Insgesamt existieren Daten und die Gesetze, die ihren Schutz regeln, in einem sich schnell entwickelnden regulatorischen Ökosystem. Weitere Veränderungen – sowohl national als auch international – sind unvermeidlich. Daher müssen sich Organisationen auf die kurz- und langfristigen Verantwortlichkeiten für den Umgang mit und den Schutz von Daten konzentrieren. Dies ist nicht nur ethisch und moralisch richtig, sondern steht auch für eine solide Entscheidungsfindung zum Wohle des Unternehmens.
