Die DSGVO wird zu Recht als Verbesserung der Datenschutzrechte in vielen Bereichen gefeiert. Aber das Gesetz wurde auch kritisiert – sowohl von „Big Tech“-Lobbyisten als auch von engagierten Datenschutzexperten. Erlegt die DSGVO kleinen Unternehmen eine unverhältnismäßige Belastung auf? Verhindert die zentrale Anlaufstelle eine ernsthafte Durchsetzung? Und könnten die Datenübertragungen der GPDR zu einem „Splitternetz“ führen? Diese Sitzung wirft einen differenzierten Blick auf einige der Probleme, mit denen Datenschutzexperten bei der Umsetzung der Anforderungen der DSGVO konfrontiert sind.

 

Transkription – 

Robert Bateman:

Hallo, willkommen zurück bei PrivSec Focus: GDPR vier Jahre später. Ich bin Robert Bateman, Head of Content bei GRC World Forums und Gastgeber der heutigen Veranstaltung. Bisher war es ein fantastischer Tag, aber es ist noch nicht vorbei, wir haben eine letzte Sitzung, die gut werden sollte. Was ist falsch an der DSGVO? Einige konstruktive Kritik von Datenschutzexperten. Bevor wir damit fortfahren, möchte ich unserem Sponsor für diese Veranstaltung, OneTrust, ein großes Dankeschön aussprechen, der uns dabei hilft, dies heute zu verwirklichen, und Sie daran erinnern, Ihre Fragen bitte den Diskussionsteilnehmern zu stellen. Es ist großartig, mit dem Publikum interagieren zu können. Sie haben heute schon einige wirklich gute Fragen gestellt. Ich übergebe jetzt an unseren Moderator für diese Sitzung, Alain De Maght, der CISO und DPO ist. Alain zu dir.

Alain De Maght:

Guten Nachmittag allesamt. Vielen Dank Robert. Ich freue mich, heute Teil dieser Sitzung zu sein und diese Sitzung zu moderieren. Bevor wir hier mit den beiden Teilnehmern sprechen, nur um den Kontext tatsächlich herzustellen. Datenschutzgesetze gibt es schon seit langem, und gerade im medizinischen Bereich ist es wirklich Teil der Kultur, etwas über die Privatsphäre und den Schutz der Daten aufzunehmen. Es besteht kein Zweifel daran, dass die Digitalisierung der Tätigkeit und die Anstrengungen zur digitalen Transformation in vielen Sektoren der Industrie die Bewertung der Daten erheblich beschleunigt haben, aber auch das Risiko bei der Verwendung der Daten erhöht haben. Die DSGVO war tatsächlich von Bedeutung und die Gestaltung der DSGVO war ein sehr herausforderndes Abenteuer für die Person, die von Anfang an beteiligt war.

Es begann im vierten Jahr, sagen wir Ende 2011 oder so ähnlich. Während der vierjährigen Verhandlung bis zum Inkrafttreten 2016 gab es also vier Jahre [unverständlich 00:03:14] auf europäischer Ebene. Ganz einfach, weil sich Daten auf der Erde der Wirtschaft befinden und im Grunde alle Sektoren der Industrie berühren, und sie berühren fast jede einzelne Aktivität der verschiedenen Aktivitäten des Unternehmens. Wir sprechen von GDPR über Datenschutz. Schutz ist das Wort, das für GDPR verwendet wird, aber allgemeiner, was Datenschutzgesetze sind. Was Sie sehen, ist jenseits der DSGVO, dass Sie viele Gesetze auf der ganzen Welt haben. Also in verschiedenen Teilen der Welt, und sie könnten sektoral oder global sein.

Zusätzlich zur DSGVO gibt es also viele andere Gesetze, die interagieren, und der Datenschutz erhält ein klares Thema der Aufmerksamkeit für alle verschiedenen Organisationen. Heute befinden wir uns im DSGVO-Jahr plus vier, und dies ist die Zeit, um tatsächlich zu evaluieren, oder dies ist ein guter Zeitpunkt, um die DSGVO tatsächlich zu evaluieren. Was sind eigentlich die Einschränkungen, die festgestellt wurden? Aus diesem Grund haben wir uns heute mit dem Thema befasst, was mit der DSGVO nicht stimmt. Um über dieses Thema zu sprechen, haben wir das Glück, grundsätzlich zwei Personen an Bord zu haben. Natalia kannst du uns hören?

Natalia Stenbrink:

Ja,

Alain De Maght:

Natalia, willkommen an Bord dieses Panels, und könnten Sie sich bitte kurz vorstellen?

Natalia Stenbrink:

Sicher. Mein Name ist Natalia Stenbrink und ich bin Leiterin des globalen Datenschutzprogramms bei Sandvik AB, seinem Hauptsitz… Sandvik ist ein internationales Ingenieur- und Bergbauunternehmen mit Hauptsitz in Stockholm, und wir haben weltweit über 40.000 Mitarbeiter. Meine Hauptverantwortung besteht darin, die strategische Unterstützung und gezielte operative Unterstützung in Bezug auf den Datenschutz bereitzustellen, insbesondere innerhalb von EA, wo die meisten Maßnahmen stattfinden. Aber auch, wie wir wissen, in den letzten vier Jahren auf der ganzen Welt, wo neue Datenschutzgesetze erlassen wurden und wo wir Geschäfte machen. Mein Aufgabenbereich wird immer größer, da wir in den DSGVO-Ländern immer mehr Störungen ausgesetzt sind. Ich freue mich, hier zu sein.

Alain De Maght:

Ausgezeichnet, vielen Dank, dass Sie Teil dieses Panels sind, und wir freuen uns auf Ihre Meinung zu diesem Thema. Aber wir sollten auch nicht vernachlässigen, dass wir einen anderen, einen zweiten Diskussionsteilnehmer haben, Olumide. Machen Sie also bitte mit und sagen Sie uns, wer Sie sind und was im Grunde Ihre Kerntätigkeit ist?

Olumide Babalola:

Vielen Dank für die Einladung. Ich bin ein privater Rechtsanwalt mit Sitz in Nigeria. Ich bin auch Forscher und Autor. 2020 habe ich ein Buch veröffentlicht, eine Zusammenstellung von etwa 144 Entscheidungen der europäischen Gerichte zum Datenschutz. Es ist ein Fallbuch zum Datenschutz in mehreren Bereichen, die zum Datenschutz prozessiert wurden. Am wichtigsten ist die Datenschutzrichtlinie, nicht die DSGVO, da wir erst vor kurzem begonnen haben, Entscheidungen zur DSGVO zu treffen, die noch vier Jahre alt ist, und wir haben immer noch Probleme mit der Auslegung, der Durchsetzung und den erwarteten Auswirkungen . Ich freue mich, hier zu sein, danke.

Alain De Maght:

Vielen Dank für diese Einführung. Zurück zum Thema DSGVO, und so ist die DSGVO 2016 in Kraft getreten und gilt ab 2018. Wenn wir uns das praktisch ansehen … Ja, das stimmt, sie gilt seit 2018. Aber normalerweise hatte die ganze Organisation ein bisschen Zeit zwischen 2016 und 2018, um konform zu sein, denn der erste Tag der Konformität, was auch immer das Niveau sein mag, war eigentlich 2018. Wir haben jetzt mindestens vier Jahre Erfahrung mit der DSGVO und verlassen uns wirklich darauf, dass die DSGVO die gesamte Konformität übernimmt Bemühungen um die DSGVO. Würden Sie, beginnend mit Ihnen, Natalia, vielleicht ein paar Bereiche identifizieren, in denen die DSGVO vorhanden ist? Vielleicht könnten wir vielleicht mit einem Bereich beginnen und dann im Rahmen dieses Gesprächs mit einem anderen Bereich ein wenig weiter forschen. Was wäre eigentlich besser oder falsch, oder erzählen Sie uns ein bisschen Ihre Erfahrung?

Natalia Stenbrink:

Das klingt nach einem guten Plan. Ich möchte meine Perspektive am besten mit der Tatsache untermauern, dass ich aus der geschäftlichen Sicht spreche, aus der Sicht von Unternehmen, die versuchen, ihre Geschäftsziele zu erreichen und gleichzeitig den Schutz personenbezogener Daten zu respektieren, und auch versuchen, die zu erfüllen DSGVO. Wenn ich über Verbesserungsvorschläge spreche oder Vorschläge mache, verstehen Sie dies bitte mit dem impliziten Verständnis, dass ich immer noch glaube, dass die personenbezogenen Daten von Einzelpersonen angemessen geschützt werden, mit Anforderungen und Maßnahmen, die in einem angemessenen Verhältnis zu dem Risiko stehen, das eine solche Verarbeitung mit sich bringen würde. Das ist in allen meinen Vorschlägen implizit enthalten. Dass wir die Rechte und Pflichten eines Unternehmens nicht verwässern, wo es notwendig ist, die betroffenen Personen aufgrund von Risiken wirklich zu schützen. Ich denke, ich beginne mit dem ersten Bereich, über den man ziemlich leicht sprechen kann und der meiner Meinung nach ein wenig verbessert werden muss, hier etwas Klärung. Das ist bei DSARs, Auskunftsanfragen betroffener Personen.

Die Anforderungen haben den Unternehmen immense Kosten verursacht, die meines Erachtens in keinem Verhältnis zu den Vorteilen stehen, die die betroffenen Personen erhalten, zumindest so, wie es von den Regulierungsbehörden derzeit so interpretiert wird, wie ich es wahrnehme. Wenn Sie für ein Unternehmen arbeiten, das versucht, die DSGVO einzuhalten, verstehen Sie, dass es im Grunde die DSAR-Verpflichtung ist, die Unternehmen dazu veranlasst hat, ein neues Kundendienstangebot zu erstellen, und natürlich ohne Gewinnpotenzial, es ist nur konform. Dieses Kundendienstangebot für alle seine Interessengruppen, Mitarbeiter und andere, einschließlich Kunden und aller Interessengruppen, bei denen das Unternehmen Daten als Verantwortlicher verarbeitet, erfordert natürlich eine Reaktionszeit von 30 Tagen. Ich schlage keine Änderungen in der Reaktionszeit vor, aber wir wissen auch, dass diese Anforderung sehr zeitaufwändig ist, wenn es um Kosten und Ressourcen, Personal, Teams und verschiedene Funktionen geht.

Insbesondere wenn Sie in eine globale und breiter dezentralisierte Organisation einsteigen, entsteht ein hoher Personalbedarf, um nach verschiedenen Arten von personenbezogenen Daten zu suchen. In IT-Systemen, in dezentralen IT-Systemen, unstrukturiert wie E-Mail. Nicht nur nach den angeforderten personenbezogenen Daten suchen, sondern auch all diese Daten durchgehen, um sicherzustellen, dass wir keine personenbezogenen Daten Dritter freigeben, die nicht freigegeben werden sollten. Das verursacht viel Stress, viel Kosten, viel Zeit. Ich denke, der Zweck der DSAR-Verpflichtung ist gut, sie schafft die Transparenz, die die betroffenen Personen benötigen, um ihre Rechte auszuüben, also ist sie sehr notwendig. Aber ich denke, wie wir es etwas ausgewogener zwischen den Belastungen des Unternehmens und den Vorteilen für die betroffenen Personen machen könnten, wäre, wenn wir klarstellen würden, dass es verschiedene Möglichkeiten gibt, dies klarzustellen.

Es könnte durch Auslegungsleitlinien der Aufsichtsbehörden durch Entscheidungen geschehen, dass es für Unternehmen vollkommen in Ordnung ist, ausreichende Zusammenfassungen der gespeicherten Daten und nicht die tatsächlichen Kopien der gespeicherten Daten bereitzustellen. Es bietet keine Transparenz mehr, um eine tatsächliche Kopie bereitzustellen, aber es verursacht immense Kosten, wenn Sie sagen würden, dass Sie zurückgehen müssen, und zum Beispiel Kameraaufnahmen von Menschen, die ein- und ausgehen, zurückgehen und tatsächlich Kopien finden müssen das. Wo es ausreichen sollte, ja zu sagen, wenn Sie unsere Büros besucht hätten, wären Sie in unseren Kameraaufnahmen mit einigen Informationen darüber erschienen, wie lange diese aufbewahrt werden, aber sie werden nach 24 Stunden, 48 Stunden usw. gelöscht. Ich denke, das ist ziemlich einfach, wo es Verbesserungsbedarf gibt und wo es ziemlich einfach wäre, es ausgewogener zu machen.

Alain De Maght:

Bevor wir zu einem anderen Bereich gehen und Ihre Meinung zu diesem Olumide haben. Stehen Sie auch vor der gleichen Herausforderung oder sehen Sie die gleichen Schwierigkeiten bei der Bearbeitung der Anfrage auf DSAR-Anfrage?

Olumide Babalola:

Da ich nicht aus meiner eigenen Perspektive als Geschäftsinhaber oder Geschäftsvertreter spreche, hätte ich keine solche Erfahrung. Ich bin ein privater Arzt und kann ehrlich gesagt nicht mit ihr in Bezug auf die Erfahrung sprechen, die sie gemacht hat. Der Eindruck, den ich gerade in Bezug auf die Bestimmungen der DSGVO in Bezug auf DSAR habe, ist, dass es manchmal sogar für die Datenverantwortlichen schwierig ist, ihre Verpflichtung zu verstehen. Zum Beispiel heißt es, wenn die betroffene Person eine Anfrage stellt, muss sie innerhalb einer angemessenen Frist nachkommen. Angemessenheit ist manchmal sehr subjektiv. Obwohl die DSGVO letztlich eine Reihe von Tagen danach vorsieht.

Aber es läuft darauf hinaus, dass die betroffene Person letztendlich diese Anzahl von Tagen warten muss, in einigen Fällen 30 Tage, manchmal hängt es von der Dringlichkeit dieser Anfrage ab. Ich denke, dass die Verpflichtung in Bezug auf DSAR manchmal nicht so eindeutig ist. Das ist auch ähnlich wie bei einer Verletzungsbenachrichtigung. Es heißt auch, dass die DSGVO den Ausdruck angemessene Zeit verwendet. Angemessene Zeit ist meistens eine subjektive Sache, es ist nicht einmal objektiv, denn was für die betroffene Person angemessen ist, ist für den Geschäftsinhaber, den für die Verarbeitung Verantwortlichen, nicht angemessen. Manchmal bedürfen diese Dinge aus Sicht der DSGVO weiterer Klärung.

Alain De Maght:

Okay, das bedeutet also … Vielen Dank für diese Anleitung hier. Aber zurück zu dir, Natalia, was denkst du und wenn du bedenkst, was du, sagen wir, in deinem Wortlaut identifiziert hast, könnte dies eine unausgewogene Anstrengung sein, wenn man die Größe des Risikos berücksichtigt. Was wäre dann sagen wir mal die Anleitung dort? Nehmen wir an, Sie müssten die DSGVO umschreiben, was würden Sie vielleicht da drin sagen oder wie sollte sie vielleicht verbessert werden?

Natalia Stenbrink:

Ich denke, das ist eine gute Frage, um mich zu dem Bereich zu bringen, der am meisten verbessert werden muss und wo ich Klarstellungen zur DSGVO vornehmen würde. Auch hier können wir später darüber sprechen, aber es gibt verschiedene Möglichkeiten, diese Klarstellungen vorzunehmen. Sie könnten die DSGVO ändern, was viel Arbeit auf EU-Ebene und mit allen Mitgliedsstaaten bedeuten würde. Aber es gibt andere Wege, die effizienter sein könnten, wie beispielsweise Leitlinien des EDPB und weitere Leitlinien der Behörden der Mitgliedstaaten, die mit den Leitlinien des EDPB übereinstimmen würden, sowie Entscheidungen, die den Leitlinien folgen würden. Der Bereich, um zu Ihrer Frage zu kommen, Alain, der Bereich, der meiner Meinung nach am meisten verbessert werden muss, ist der risikobasierte Ansatz, auf dem die DSGVO basiert. Ich denke, dies ist die besorgniserregendste Entwicklung, die in den letzten vier Jahren in die falsche Richtung gegangen ist, dass die Behörden eine fast unverhohlene Bereitschaft zu zeigen scheinen, den risikobasierten Ansatz, auf dem die DSGVO basiert, zu verwerfen.

Alain De Maght:

Lassen Sie mich Sie fragen, lassen Sie mich Sie ein wenig herausfordern, was Sie tatsächlich gesagt haben. Im Grunde gibt es diesen unverhältnismäßigen Aufwand, im Grunde weil es sehr viel Aufwand ist, über all die verschiedenen Systeme zu gehen. Dann geht es beim anderen Aspekt im Wesentlichen um das Risiko, die Risikobewertung und was getan werden muss. Wenn wir uns die Systemseite ansehen, nehmen wir an, Sie hätten vielleicht eine andere Datenverwaltung oder das System hätte bessere Rückverfolgbarkeitsfunktionen, um die Einhaltung der Vorschriften zu gewährleisten, es wäre wahrscheinlich einfacher. Die Frage hier ist es eigentlich, weil die Vorschriften es zum jetzigen Zeitpunkt nach dem Stand der Technik in Bezug auf die gesamte Rückverfolgbarkeit, die für das [unverständlich 00:18:09] erforderlich ist, unmöglich machen, oder es ist einfach völlig unvernünftig, was auch immer das sein könnte Technologie?

Natalia Stenbrink:

Nein, ich denke nicht, dass die Technologie das Problem in der DSGVO ist, ich denke, es ist, wie sie von den Regulierungsbehörden interpretiert wird. Wenn Sie sich Artikel 32 ansehen, wird dort die Verpflichtung für Unternehmen, Auftragsverarbeiter und Verantwortliche sehr deutlich. Dass Unternehmen geeignete Maßnahmen ergreifen sollten, um sicherzustellen, dass sie „ein dem Risiko angemessenes Sicherheitsniveau gewährleisten“. Dies bedeutet natürlich die Umsetzung angemessener technischer und organisatorischer Maßnahmen, die in einem angemessenen Verhältnis zu den Risiken für die betroffene Person stehen. Das ist ein Beispiel für den risikobasierten Ansatz, der in den Verhandlungen zur endgültigen Fassung der DSGVO viel diskutiert wurde. Hier sehen Sie ganz deutlich, dass Verantwortliche und Auftragsverarbeiter dies bei ihren Sicherheitsmaßnahmen berücksichtigen sollten. Ich denke, das würde sich um die Systeme und die Technologie kümmern. Es liegt eher daran, wie es ist … Ich kann gleich weitere Beispiele geben oder wenn Sie es für angebracht halten. Vielmehr berücksichtigen die Regulierungsbehörden den risikobasierten Ansatz nicht, wenn sie beurteilen, ob Unternehmen die DSGVO einhalten.

Alain De Maght:

Ich denke, wir haben nur 40 Minuten, dann könnten wir eigentlich eine ganze Sitzung nur auf dem DSAR haben. Aber trotzdem würde ich gerne mindestens eine Frage aus dem Publikum herauspicken. Darin heißt es, was die effektivsten Möglichkeiten sind, um Aufzeichnungen über Verarbeitungsaktivitäten zu führen, um die rechtzeitige Einhaltung von DSAR zu erleichtern? Hier geht es im Wesentlichen um die Frage, was der effektivste Weg ist, Aufzeichnungen über die Verarbeitungstätigkeit zu führen, um die rechtzeitige Einhaltung von DSAR aufrechtzuerhalten und zu erleichtern. Haben Sie aufgrund Ihrer Erfahrung bereits einige organisiert, gibt es vielleicht einige eingebaute Verfahren oder Prozesse, die vorhanden sind, um diese Prozesse zu vereinfachen, oder haben Sie vielleicht bereits einen Bestand an Daten, so dass Sie bereits darauf zugreifen können? Was ist deine Anleitung oder hast du das umgesetzt?

Natalia Stenbrink:

Ja, ich kann die Frage beantworten, aber ich werde bestätigen und sagen, dass das Problem des risikobasierten Ansatzes, der derzeit von den Behörden vernachlässigt wird, nicht nur auf DSARs beschränkt ist. Ich betrachte dies als einen ganzen Aspekt der Verbesserung, einen Verbesserungsbereich für die gesamte DSGVO. Ich werde ein Beispiel dafür geben, nachdem ich diese Frage beantwortet habe, und wir möchten vielleicht auch von Olumide hören. Aber was DSARs angeht, ja, ich denke, Sie müssen Ihre Vorbereitungsarbeit geleistet und natürlich auf welche Weise auch immer abgebildet haben. Die Abbildungsanforderungen von Artikel 30 helfen dabei, festzustellen, welche Arten von Daten Sie haben, welche Arten von betroffenen Personen und wo sie sich befinden gelegen. Dafür könnten beispielsweise Systeme wie OneTrust verwendet werden.

Ich denke, Sie werden einiges davon automatisieren müssen. Aber die meisten suchen, und wir selbst haben auch einen Lieferanten, der bei der Verwaltung von DSARs hilft. Die Aufnahme, wie sie empfangen wird, die Warteschlange und die Verwaltung des gesamten Prozesses von der Aufnahme bis zur Beantwortung der angeforderten Daten. Der eigentliche Teil der Suche innerhalb unserer eigenen Systeme ist immer noch sehr manuell und sehr, sehr zeitaufwändig. Ich verstehe, dass es Lieferanten gibt, die versuchen, dies zu automatisieren, aber es ist immer noch sehr schwierig, wenn Sie es mit einem dezentralisierten Unternehmen mit dezentralisiertem System zu tun haben.

Alain De Maght:

Exzellent. Olumide vielleicht in einer Minute, bevor wir mit dir zum nächsten Thema gehen, Natalia, ein anderer Bereich. Olumide, was ist Ihr Rat-

Olumide Babalola:

Ja, ich denke, ich werde immer Organisationen unterstützen, die ihre RoPA-Aufzeichnungen in welcher Form auch immer haben möchten, in welcher Form auch immer sie ihre Aufzeichnungen über Verarbeitungstätigkeiten haben möchten, ob als Inventar, ob als Datenbuch, ob als Datenformulare. Der wichtigste Teil ist die Kenntnis der Dateneingabepunkte. Es ist sehr wichtig, weil es ihnen hilft, diese DSAR sogar schnell beantworten zu können. Wenn Sie die Punkte kennen, von denen Sie Daten erhalten, entweder von Ihren Kunden, von Ihren Mitarbeitern, von potenziellen Mitarbeitern oder von Benutzern Ihrer Plattform, können Sie diese Einstiegspunkte identifizieren, sodass es für Sie viel einfacher ist, Anfragen zu beantworten oder um die Anfrage in die richtige Perspektive zu rücken, wenn sie kommen. Ich würde immer eine Bestandsaufnahme befürworten, da die Bestandsaufnahme für jedes Unternehmen sogar der erste Punkt der Einhaltung der Datenverwaltung ist.

Alain De Maght:

Danke dafür. Natalia Entschuldigung, gibt es einen anderen Bereich, den Sie identifiziert haben und der verbessert werden sollte?

Natalia Stenbrink:

Ja, ich denke, lassen Sie mich tiefer in diesen Bereich des risikobasierten Ansatzes eintauchen, der meines Erachtens ignoriert wird. Ich denke, ich sollte ein Beispiel geben. Es gibt zwei Aspekte dieses Problems, die ich unter dem Oberbegriff des risikobasierten Ansatzes betrachte. Erstens, dass der risikobasierte Ansatz auch von den Behörden vor Gericht bei der Beurteilung der Haftung, bei der Beurteilung, ob ein Unternehmen die DSGVO und Sanktionen eingehalten hat, angewendet werden sollte. Zweitens sollte eigentlich eine Lockerung bestimmter Verpflichtungen für Daten mit geringem Risiko deutlich zum Ausdruck gebracht werden. Es sollte tatsächlich einige der Verpflichtungen geben, die unabhängig davon gelten, ob die Daten ein geringes oder ein hohes Risiko darstellen, ob es sich um hochsensible Daten oder geschäftliche Kontaktinformationen handelt, die eine einfache Google-Suche finden würde. Wir haben viele der gleichen Verpflichtungen. Ich denke, wo es wirklich vorteilhaft wäre, Innovation und Unternehmenswachstum und Arbeitsplätze im EWR zu fördern, wäre es, einige Verpflichtungen für Daten mit geringem Risiko ausdrücklich zu lockern. Dies wird vielleicht deutlicher, wenn ich ein konkretes Beispiel nenne, das kürzlich passiert ist. Das heißt, viele von Ihnen werden wissen, dass es eine große Entscheidung der österreichischen Datenschutzbehörde zu Google Analytics gab.

Alain De Maght:

Mm-hmm.

Natalia Stenbrink:

Dies fällt ganz klar unter unser jüngstes Schrems-II-Urteil und all die Unterbrechungen und Folgerichtlinien und -anforderungen, die seitdem geschehen sind. Natürlich könnten wir auch noch eine Stunde nur mit dieser Entscheidung verbringen, also werde ich versuchen, es auf einem sehr hohen Niveau zu halten. Aber im Grunde gab es eine Entscheidung, dass Daten nicht übertragen werden konnten. Wenn Sie sich den Fall ansehen, wenn Sie die Begründung lesen, wurde nicht über die Risiken für die betroffenen Personen nachgedacht. Erstens werden die personenbezogenen Daten von Daten mit sehr geringem Risiko übertragen, und Sie haben auch das Risiko, dass sich die Behörden überhaupt um diese Daten kümmern oder selbst wenn sie sich um diese Daten kümmern würden, was dies verursachen würde Schaden, weil es die gleiche Art von Daten wäre, die Sie im Internet finden könnten.

Alain De Maght:

Im öffentlichen Internet.

Natalia Stenbrink:

Ja im Internet. Nun, ich fasse diesen Fall hoch zusammen. Aber der Punkt ist, dass selbst die österreichische Datenschutzbehörde nicht einmal die sehr konservative EDPB-Richtlinie befolgt hat, die neueste Richtlinie nach Schrems, die eine Überlegung erlaubt, ob es ein reales Risiko gibt, dass Behörden in einem Drittland tatsächlich daran interessiert sind, überhaupt auf diese Daten zuzugreifen, auch wenn sie es theoretisch nach dem Gesetz könnten? Es gab nichts von dieser Art von Analyse. Ich denke, es ist wirklich besorgniserregend, weil es enorme Störungen im Geschäft verursacht, was Folgefolgen für andere Interessen außerhalb des Schutzes personenbezogener Daten hat. Wie wir alle wissen, so sehr dies mein Beruf und meine Leidenschaft ist, gibt es andere Interessen wie Innovation, die Förderung des internationalen Handels, die Verbesserung unserer Gesellschaft, die Verbesserung der Technologie, den Klimawandel usw. usw. All diese Interessen sollten ebenfalls berücksichtigt werden, insbesondere wenn Sie den internationalen Fluss personenbezogener Daten einschränken, ohne dass ein echtes Risiko besteht, dass Daten beschädigt werden [unverständlich 00:27:54]. Vielleicht ist das, was ich denke.

Alain De Maght:

Ich höre Ihren Punkt auf jeden Fall. Olumide, zu diesem risikobasierten Ansatz und der Art und Weise, wie das Risiko bewertet wird, vielleicht unter Berücksichtigung der von Natalia vorgeschlagenen Klassifizierung der Daten, was ist Ihre Meinung dazu?

Olumide Babalola:

Ja, ich glaube, ich stimme Natalia zu, was die geschäftlichen Anforderungen betrifft. Sogar die DSGVO hat entschieden, oder ich meine klassifizierte personenbezogene Daten in Bezug auf die Erreichbarkeiten. Die Verpflichtung, die in Bezug auf bestimmte Daten erwartet wird, ist nicht dieselbe, sie ist nicht allgemein gültig. Beispielsweise zieht der Umgang mit sensiblen Daten im Gegensatz zu anderen Arten personenbezogener Daten andere Verpflichtungen und andere Sanktionen oder andere Erwartungen im Namen von Unternehmen nach sich. Aus diesem Grund müssen die Organisationen in der Lage sein, die Risiken beim Umgang mit einem Teil von Daten, einer Art von Daten, einer Datenklasse von der anderen abzuschätzen.

Alain De Maght:

Okay. Im Publikum taucht hier die Frage nach dem unverhältnismäßigen Aufwand auf. Die Frage ist, ob Sie sich mit unverhältnismäßigem Aufwand befassen würden, wer bestimmt die Klärung und die Zeit für die Entwicklung bestimmter Marktpraktiken? Ich denke, irgendwo, wenn wir die Diskussion über das Risiko und was getan werden sollte, und es gibt auch die Diskussion, wie groß der Aufwand ist, den Sie unternehmen müssen, um das Risiko anzugehen? Gibt es tatsächlich eine Definition dafür, was unverhältnismäßiger Aufwand ist, und sehen Sie je nach Markt einige Unterschiede?

Olumide Babalola:

Ich denke, dass dies ein Teil der Mängel der DSGVO ist. Sie geben jemandem eine Verpflichtung, und Sie geben der Person immer noch eine Form von Ermessensspielraum oder eine Form von Spielraum, um zu bestimmen, was bequem ist und was nicht. Es macht es sehr, sehr vage, weil der unverhältnismäßige Aufwand meistens vom Controller bestimmt wird. Es ist der Verantwortliche, der sagt, oh, der Aufwand, den wir unternehmen oder die Technologie, die wir unternehmen werden, um diese bestimmte Art von Daten verfügbar zu machen, steht in keinem Verhältnis zum Interesse der betroffenen Person. Außer Datenschutzbehörden, außer Aufsichtsbehörden beginnen, klare Parameter für diese [unhörbare 00:30:32] Anstrengung festzulegen, wir könnten weiterhin diese Art von Situation haben, in der wir diese Ungewissheit haben. Ich habe in der Vergangenheit ein ähnliches Beispiel gegeben, wo die Verordnung das Wort angemessen oder unvernünftig verwendet, und wer bestimmt all diese Dinge? Was bestimmt all diese Dinge? Was sind die Parameter? Was sind die Auswirkungen? Ich denke, dies ist einer der Mängel der Verordnung, die weiter verfeinert werden muss

Alain De Maght:

Natalia, verstehe ich, dass du auch diese Wahrnehmung hast, oder klingt das, was Olumide gerade sagt, für dich nach? Sind Sie einverstanden (damit?

Natalia Stenbrink:

Ja, dem stimme ich zu. Auch bei der Frage denke ich, die Prämisse der Frage, dass das schwer zu definieren ist, was ist unverhältnismäßig? Aber ich denke, wie in vielen rechtlichen Angelegenheiten gibt es keine Schwarz-Weiß-Antwort und man muss eine Einschätzung vornehmen. Aber es ist immer noch schwierig, und wenn man Olumide zustimmt, könnten diese Dinge mit Hilfe der Behörden deutlicher gemacht werden. Sie könnten diese Frage angehen, was als unverhältnismäßiger Aufwand angesehen wird.

Alain De Maght:

Dass sie ein gemeinsames Verständnis und eine gemeinsame Vereinbarung hätten, so dass dies anwendbar und möglicherweise auf verschiedene Märkte zugeschnitten wäre. Glauben Sie, dass der gesamte Markt die gleiche Stärke oder vielleicht die gleichen Beschränkungen oder eine andere Definition dessen, was verhältnismäßig ist oder nicht, haben würde?

Natalia Stenbrink:

Diese Diskussion erinnert mich jetzt an den Test zum Abwägen berechtigter Interessen. Ich denke, es könnte hilfreich sein, diesen Grundsatz zu übernehmen, bei dem wir das Interesse, den Zweck der betreffenden tatsächlichen Verarbeitung, mit den Risiken für die betroffene Person abwägen. Wir tun dies in einem Test zum Abwägen berechtigter Interessen. Wenn die dokumentierten berechtigten Interessen sehr hoch sind und die Risiken für die betroffene Person, wenn wir über eine internationale Übermittlung von Daten sprechen, der Fall Schrems, wo das, was übertragen wird, vielleicht in einem Cloud-Dienst ist, brauchen Sie geschäftliche Kontaktinformationen, E-Mail-Adresse, Telefonnummer, Name und vielleicht gibt es nur geschäftliche Informationen, die mit verschiedenen benannten Personen verbunden sind. Selbst wenn darauf unangemessen zugegriffen werden sollte, sollten wir diese Sicherheitsbedenken unbedingt ansprechen und nicht verwässern. Aber selbst wenn darauf unangemessen zugegriffen würde, welchen Schaden würde dies einem Einzelnen zufügen?

Möglicherweise liegt der Grund für die Übertragung der Daten darin, dass Sie Informationen aus der medizinischen Krebsforschung weitergeben. Oder wenn Sie sich Google Analytics ansehen, ist es meiner Meinung nach einfach zu sagen, oh, das ist nur ein riesiges US-Unternehmen, das interessiert uns nicht wirklich. Aber Google Analytics beschäftigt viele Menschen in der EU und ermöglicht Unternehmen auch viele gute Geschäftseinblicke, um ihre Kunden zu verstehen und ihre Marketingbemühungen auf intelligente Weise einzusetzen. Nochmals, ich sage nicht, dass wir die Anforderungen der Transparenzmitteilungen oder Zustimmungserfordernisse verwässern, ganz und gar nicht. Aber wenn wir die Übertragung solcher Informationen zu einem sehr geringen Nutzen für die betroffenen Personen, aber sehr, sehr hohen Kosten für die Gesellschaft und Unternehmen einschränken, was sich auf die EU auswirkt, weil Google Analytics natürlich viele EU-Tochtergesellschaften hat, richtig? Niederlassungen in der EU, die viele Mitarbeiter beschäftigen. Ich denke, dann wird diese Art der Interpretation unvernünftig.

Alain De Maght:

Vielen Dank für diesen Beitrag. Eigentlich sind wir 10 Minuten von der Sitzung entfernt und eigentlich waren die beiden Punkte schon sehr intensiv darin, Erfahrungen auszutauschen und zu sagen. Es gibt noch einen anderen Punkt, weil das Publikum sehr besorgt und angezogen zu sein scheint, ich sehe da einen gewissen Punkt in allem nur Extraterritorialität. Im Grunde bedeutet dies, dass die DSGVO eine europäische Verordnung ist, aber im Grunde gilt sie für die ganze Welt, die mit europäischen Unternehmen Geschäfte macht. Da Sie beide in einem internationalen Kontext tätig sind, wie sehen Sie also aufgrund Ihrer Erfahrung im Grunde das, was die DSGVO als Anforderung oder Einschränkung oder was auch immer für Unternehmen von außereuropäischen Unternehmen schafft, die mit europäischen Unternehmen Geschäfte machen? Siehst du dann eigentlich, dass es eine Art Showstopper ist? Ist es eine Einschränkung? Glauben Sie, dass die Mitteilung klar genug darüber ist, was getan werden muss, dass sie lesbar genug ist? Was ist Ihre grundsätzliche Erfahrung zu all dem, was Datenschutz im internationalen Kontext bewirkt?

Olumide Babalola:

Vielen Dank. Ich denke, das erste, was mir in den Sinn kommt, ist die Praktikabilität dieser Dinge. Kollisionsrecht, Anwendung europäischen Rechts in Afrika zum Beispiel oder Anwendung europäischen Rechts auf Afrikaner oder auf in Afrika ansässige Unternehmen, es ist nicht zu 100 % anwendbar. Denn selbst wenn ein Unternehmen beispielsweise in Nigeria Dienstleistungen für Bürger oder Einwohner der Europäischen Union oder im Einzugsbereich der DSGVO anbietet, stellt sich die erste Frage, vor welchem Gericht? Hier haben wir Fragen des Kollisionsrechts. Bei welchem Gericht setzen Sie die Brücke durch? Ist es vor einem europäischen Gericht oder einem afrikanischen Gericht? Wenn es sich um ein europäisches Gericht handelt, haben wir dann Probleme mit der extraterritorialen Zuständigkeit? Es wird sehr interessant sein zu sehen, wie sich dies bei einer Entscheidung auswirkt, bei der die DSGVO auf ein Unternehmen oder einen Datenverantwortlichen außerhalb des Einzugsgebiets der Europäischen Union oder des Einzugsgebiets der DSGVO angewendet wird.

Es wurde akademisch diskutiert, aber wie es sich in der Praxis auswirkt, weiß niemand, noch nicht. Ich habe noch keine Entscheidung gesehen, wo es tatsächlich angewendet wurde. Sogar ein Teil der Probleme der DSGVO ist jetzt die Durchsetzung, die Sanktionen, die Bußgelder. Viele Unternehmen wurden mit Geldbußen belegt, wenn sie sich an das Gericht wenden, werden die Geldbußen entweder aufgehoben oder die Geldbußen ausgesetzt. So weit so gut, wie viele der Bußgelder wurden tatsächlich abgeschlossen, während wir hier sprechen? Der Umgang mit Controllern innerhalb der Region ist eine Sache, der Umgang mit Controllern außerhalb der Region ist eine noch größere Herkulesaufgabe.

Alain De Maght:

Natalia zu diesem Punkt über all diese Extraterritorialität und all die Gespräche, die zwischen dem Lieferanten und sagen wir mal dem Kunden stattfinden. Wie sehen Sie das aus Ihrer internationalen Position heraus?

Natalia Stenbrink:

Einerseits haben die extraterritorialen Verpflichtungen der DSGVO dazu geführt, dass viele Länder ihre Datenschutzanforderungen erweitert haben, um selbst neue Gesetze zu erlassen. Das ist ein positiver Welleneffekt, glaube ich. Aber wenn man auch Olumides Bedenken teilt, gibt es Bedenken hinsichtlich der Durchsetzung, aber auch, wie anwendbar alle DSGVO-Schutzmaßnahmen in einem Drittland außerhalb des EWR sind, denke ich, ist eine relevante Frage. Ich muss einfach immer wieder auf das Beispiel von Schrems II Two zurückkommen, weil es so viele dieser Probleme veranschaulicht. Bei Datenübermittlungen wissen wir, dass der Europäische Gerichtshof im Schrems-II-Gericht klargestellt hat, dass das Empfängerland im Wesentlichen immer noch das gleiche Schutzniveau wie die DSGVO bieten muss. Aber wir sehen in Ländern wie den USA und anderen demokratischen Gesellschaften mit einem sehr hohen Grad an Rechtsstaatlichkeit, dass es unterschiedliche Sichtweisen auf den Datenschutz gibt.

Ich denke manchmal, und ich denke, das war vielleicht der Fall bei dem, was Sie über Afrika gesagt haben, ist, dass ich nicht glaube, dass wir erwarten können, dass Länder haben müssen fast identisch oder muss sein… Was bedeutet im Wesentlichen gleichwertig? Es gibt ein Problem für mehr Klärung. Aber ich denke, es kann dahingehend interpretiert werden, dass andere Länder das gleiche Schutzniveau haben müssen, nicht im Wesentlichen gleichwertig, aber das gleiche Niveau. Das ist offensichtlich nicht richtig, wie können wir unsere Gesetze anderen Ländern aufzwingen? Ich denke, was wir erreichen, ist eine Mentalität vom Typ Festung Europa, wenn es um den Schutz personenbezogener Daten geht.

Alain De Maght:

Wir haben eigentlich noch vier Minuten vor uns, und ich möchte für jeden von euch ein mindestens einminütiges abschließendes Fazit ziehen, damit wenigstens ein Punkt bleibt, den ich eigentlich noch erwähnen möchte. Wir sind eigentlich Daten ist eine Schlüsselressource, ist ein bisschen wie Geld eine Ressource wäre. Im Grunde fangen Sie sowieso an, viele Vorschriften zu haben. Ich sehe, es gibt viele Fragen, und wir werden nicht in der Lage sein, uns alle Fragen anzuhören. Aber etwas, das ich regelmäßig in der Liste der Fragen sehe, ist, dass wir anfangen, viele Gesetze anzusammeln. Selbst in einer Region der Welt gibt es mehrere Gesetze wie DSGVO, Augenschutz, Whistleblowing und einige auch branchenspezifisch. Dann erweitern Sie das außerhalb Europas, Sie haben mehrere Gesetze. Wir sprechen nicht von Datenschutz, sondern Datenschutz als Teil des Datenschutzes. Hast du dann eigentlich ein mögliches Element der Orientierung, oder wo denkst du, wie denkst du über all diese Gesetze, die wir anfangen zu stapeln, und ist es handhabbar oder wie siehst du das, Natalia, das für die Zukunft ist?

Natalia Stenbrink:

Ich bin mir nicht sicher, ob ich die Frage verstehe, vielleicht

Alain De Maght:

Die Frage ist, dass wir immer mehr Gesetze haben, nicht nur die DSGVO, sondern Sie fangen an, all die verschiedenen Gesetze anzusammeln, und manchmal stehen sie miteinander in Konflikt. Welche Art von Führung könnten wir haben? Denn ich bin mir nicht sicher, ob die Regulierungsbehörden anfangen werden, die Anzahl der Gesetze zu minimieren. Ich bin mir nicht wirklich sicher, ob das der Fall sein wird. Es ist im Grunde dann unter Berücksichtigung dieses Faktors, was ist eigentlich der beste Weg zu tun?

Natalia Stenbrink:

Meinen Sie Gesetze innerhalb des EWR oder auch widersprüchliche

Alain De Maght:

Nun, wenn Sie ein internationales Unternehmen sind, hängt es von Ihrem Umfang ab. Aber für diejenigen, die wirklich international sind und die Welt abdecken, werden Sie langsam herausfordernd, oder?

Natalia Stenbrink:

Ich werde versuchen, wirklich schnell zu sein, da ich weiß, dass ich ein wenig Zeit habe. Ich weiß nicht, ob dies Ihre Frage vollständig beantworten wird, aber eine Sache, die mir in den Sinn kommt und die Sie bereits erwähnt haben, war die erwähnte Kollision von Gesetzen. Das ist ein weiterer Bereich, den ich eigentlich auf meiner Verbesserungsliste hatte, weil wir Sanktionsgesetze haben. Wir wissen jetzt, wie wichtig oder nicht wichtig, aber das ist jetzt im russischen Krieg weit verbreitet. Wir haben Artikel 10, der die Verarbeitung krimineller Daten verbietet. Dort gibt es einen Konflikt, bei dem die Mitgliedstaaten kriminalbezogene Daten interpretiert haben.

Unternehmen, denen wir sehr stark ausgesetzt sind, die versuchen, Anti-Korruptionsgesetze, Sanktionen, Beschränkungen und internationale Gesetze einzuhalten, finden dann Aufmerksamkeit und Konflikte zwischen dem, was die DSGVO in diesen Bereichen der Verarbeitung krimineller Daten erlaubt. Das ist ein Problem, und das muss behoben werden. Eine Lösung besteht darin, dieses sehr wichtige gesellschaftliche Interesse, Korruption zu verhindern und aufzudecken, ausdrücklich herauszuarbeiten und auch die anderen Länder zu ermutigen, sich an bestimmte internationale Standards zu halten. Das sind sehr hohe Interessen, dass es ausdrücklich Ausnahmen für diese Art der Verarbeitung geben sollte. Also ja, es gibt eine Menge widersprüchlicher Gesetze, die viel Verwirrung und Stress für-

Alain De Maght:

Okay, Natalia, in Anbetracht der Zeit, denke ich, wir könnten doppelt so viel Zeit haben, um alle Punkte zu besprechen, und ich sehe auch viele Fragen, aber 40 Minuten sind extrem begrenzt, um all diese Dinge zu tun. Vielleicht Olumide zu Ihrem Punkt, nur um vielleicht in einer Minute abzuschließen, was würden Sie hier über … sagen?

Olumide Babalola:

Nun, leider hat die DSGVO das zugelassen. Es gibt bestimmte Bestimmungen der DSGVO, die es den Mitgliedstaaten ermöglichen, ihre eigenen Gesetze in Bezug auf bestimmte Bestimmungen zu formulieren. Beispielsweise Alter des Kindes, Einwilligungsalter, die Mitgliedstaaten sind frei zu formulieren. Schauen Sie sich das Verhältnis zwischen den Aufsichtsbehörden an, die haben auch ihre eigene Ebene. Es gibt die federführende Aufsichtsbehörde und die anderen. Sie verfügen also auch über Ermessensspielräume und eine eigene Formulierung und ein eigenes Verständnis der DSGVO. Ich denke, das Gesetz hat das erlaubt. Aber das Gesetz meine ich, ich weiß, dass es bereits Gespräche über die Änderung der DSGVO gibt. Ich denke, es könnte einen bestimmten Punkt geben, an dem all diese Gesetze zu einem einzigen harmonisiert werden können. Wir brauchen nicht mehrere Gesetze für die elektronische EE-Richtlinie, elektronisches Marketing und all diese Dinge. Eigentlich kann alles zu einem harmonisiert werden. Vielen Dank.

Alain De Maght:

Natalia, vielen Dank, dass Sie verfügbar sind und Ihr Fachwissen teilen, denn die Kommentare dort spiegeln definitiv die praktische, sagen wir, Realität wider, mit der Sie im Laufe der Jahre konfrontiert waren, und im Grunde, was sind all die Einschränkungen und Einschränkungen, die sie schaffen. Vielen Dank für die Zeit. [Unverständlich 00:46:06] Danke, dass Sie all diese Erfahrungen geteilt haben, es war sehr wertvoll. Es war uns eine Freude, von Ihnen beiden zu hören, und wir wünschen Ihnen einen schönen Nachmittag. Vielen Dank an Sie beide.

Olumide Babalola:

Vielen Dank.

Robert Bateman:

Vielen Dank an euch alle drei. Ein großartiges Panel, wirklich erfrischend, einige fundierte, aber echte

PrivSec-Weltforum
Park Plaza Westminster Bridge, London: 7.-8. Juni 2022

Das PrivSec World Forum ist eine zweitägige, persönliche Veranstaltung, die im Rahmen der Reihe Digital Trust Europe   stattfindet.

Das PrivSec World Forum wird eine Reihe von Rednern aus weltbekannten Unternehmen und Branchen zusammenbringen – plus Vordenker und Experten, die Fallstudien und ihre Erfahrungen austauschen – damit Fachleute aus allen Bereichen zuhören, lernen und diskutieren können.

Die Veranstaltung ist ein Muss für Datenschutz-, Datenschutz- und Sicherheitsexperten, die daran interessiert sind, sich zu vernetzen, mehr zu erfahren, zu diskutieren und Fachwissen dazu hinzuzufügen, wie diese Sektoren miteinander verbunden sind. 

ERFAHREN SIE MEHR & REGISTRIEREN SIE SICH HEUTE!

PrivSec World Forum

Topics

What’s Wrong With the GDPR? Constructive Criticisms from Privacy Professionals