Datenschutz-Vorschau: was wir 2021 erwarten können

[IITR – 3.1.21] Wir befinden uns im Zentrum mehrerer schwerer Krisen. Ich werde mich auf jene Aspekte beschränken, die mit dem Datenschutz in Zusammenhang stehen und aufzeigen, wie wir als IITR uns zu positionieren versuchen.

Datenschutz und Corona

Corona betrifft uns, weil Datenschutz als Bremse bei der Bewältigung der Pandemie bezeichnet wird. Die Folgen der Virus-Pandemie werden als Vorwand missbraucht, eine unbeliebte Gesetzgebung zu diskreditieren und zurückzufahren. Richtig ist, dass im Datenschutz sehr vieles falsch läuft. Das hat der Datenschutz gemein mit der Art und Weise, wie bei uns nicht nur mit der Pandemie umgegangen wird.

Die im Umgang mit Corona erfolgreichen Länder haben frühzeitig und konsequent auf Verfolgung und Isolierung von Infizierten gesetzt. Eine Corona-App wäre dazu beispielsweise völlig ungeeignet, nirgendwo auf der Welt wird eine App eingesetzt, die dazu fähig wäre. Es müssen Bewegungsdaten erhoben und verglichen werden können. Dazu benötigt man zentrale Datenverarbeitung, und nicht lediglich ein Handy. Meine Meinung: auch völlig ohne jede Art von Datenschutz würden wir heute nicht besser dastehen, weil der seit März 2020 eingetretene Kontrollverlust über das Pandemie-Geschehen andere Ursachen hat.

Großbritannien und USA: offene Fragen zu Datentransfers

Der Brexit ist vollzogen. Es hat eine Vereinbarung gegeben, die jedoch wichtige, den Datenschutz sowie den Datenverkehr betreffende Teile vorerst ungeregelt belassen hat.

Der Übergang der amerikanischen Präsidentschaft ist im Gange. Hier befindet sich der Datenschutz unter den Folgen der Auswirkungen des Schrems-II-Urteils. Gesetzesänderungen hinsichtlich von Zugriffsrechten nationaler Dienste sind bereits erfolgt. Mit erheblicher Verschiebung für den Datenschutz. Ich nenne hier nur die avisierte Beendigung von Ende zu Ende-Verschlüsselung.

Die geknüpften Erwartungen und die Ernennung der US-Vizepräsidentin Harris, die ihrerseits bekanntlich in die Entstehung der kalifornischen Datenschutz-Gesetze eingebunden war und daher ein gewisses Maß an Datenschutz-Kompetenz auf der amerikanischen Seite erwarte ließe könnten verfliegen.

Die amerikanische Gesellschaft steht ebenfalls vor großen Herausforderungen. Es ist bei den einflussmächtigen Gesellschaften zu einer Verschiebung auf die linke Seite der Gesellschaft gekommen. Ob dies nur mit Trump zusammenhängt ist ungewiss. Die Positionierung dieser großen meinungsbildenden Konzerne nimmt Einfluss auf die Strategie einer europäischen Datenindustrie. Ich nennen hier das Vorhaben GAIA-X, in deren Gründungsgesellschaft sich amerikanische Unternehmen finden. Der Datenschutz verliert den Persönlichkeits-Schutz zunehmend aus den Augen und betritt damit jene Felder, in denen internationale Großkonzerne denen aus der EU haushoch überlegen, die Wirtschaft der EU insgesamt sogar von denen abhängig ist. Wir nehmen an, dass dies in fernerer Zukunft bei uns erkannt werden dürfte.

Vielleicht wird man dann auch darüber nachdenken, dass Datenschutz von einer Vorstellung von informationeller Selbstbestimmung wieder getrennt werden sollte.

Unsere Produktentwicklungen im Datenschutz

[PRIVAssist] Die IITR Datenschutz GmbH wird ihre hochwertigen Produkte unter dem Sammelbegriff PRIVAssist kontinuierlich weiterentwickeln.

[Compliance-Kit 2.0] So stellen wir das Datenschutz-Management-System Compliance-Kit 2.0 sowohl freiberuflich tätigen wie auch konzernintern tätigen Profis in einer preisgünstigen Lizensierung zur Verfügung. Dieses Compliance-Kit 2.0 wurde von vereidigten Sachverständigen auf DSGVO- Konformität überprüft. In Ergänzung von ISO 27001 ist das Compliance-Kit 2.0 als ISO 27701-tauglich anzusehen, die von uns unterlegte Konformitätsbewertung trägt die Bezeichnung CPS 100. In 2020 erhielt das Compliance-Kit 2.0 eine Ergänzung durch die Möglichkeit, den kompletten, für ein Unternehmen erarbeiteten Datensatz jederzeit in eigene Server-Umgebungen verbringen, also importieren zu können. Eine Voraussetzung für einige Länder aber auch Kommunen, die ihre eigenen Daten unter ihrer eigenen Hoheit abspeichern wollen oder müssen. Interessant auch für das Sicherheitsbedürfnis von externen Datenschutzbeauftragten, bearbeitete Datensätze in einer eigenen Hoheit zu wissen.

[Datenschutz-Kit] Für kleinere Unternehmen bieten wir unser Datenschutz-Kit an, dessen enormen Leistungsumfang wir aus Platzgründen lediglich verlinken. Besonders erwähnenswert wäre, dass wir das Datenschutz-Kit wieder verstärkt – und sehr erfolgreich – über ein Provisionsmodell vertreiben.

[eLearning] Beide Management-Systeme sind mit unserer webbasierten eLearning-Plattform verbunden, um den gesetzlich geforderten Schulungs-Anforderungen nachkommen zu können. eLearning ist jedoch auch separat buchbar. Mittlerweile stehen fast 20 Schulung-Module zu den Themenbereichen Datenschutz und Informationssicherheit zur Verfügung, deren Anzahl laufend ergänzt wird auch durch Themen, die den Datenschutz nur noch streifen. Die Absolvierung eines Moduls beansprucht 10 bis 15 Minuten. Mehr als 250.000 Schulungen wurden inzwischen absolviert, Wir beachten bei unseren Schulungen pädagogische Anforderungen, die Module sind gut durchdacht, dabei äußert preiswert. Wir folgen auch hier unserer Überzeugung: Datenschutz mag kompliziert erscheinen, aber er muss nicht teuer sein.

Diese Überzeugung tragen wir in den Markt. Es dürfte für viele Anbieter wirtschaftlicher sein, eine günstige Lizenz eines guten Produktes zu erwerben, anstatt in Eigenproduktionen zu investieren und diese aufrechterhalten zu müssen, ohne dabei die eigene Leistung angemessen honorieren zu können. Eine alte Erkenntnis, wonach die Arbeitsteilung für alle Beteiligten den höchsten Vorteil erbringt. Diese Erkenntnis wird sich auch für den Datenschutz durchsetzen.

[PSE] Eine weitere wichtige Entwicklung stellt unser Auditierungs-Instrument dar, welches wir unter der Marke PSE vertreiben. Hiermit lassen sich Datenschutz-relevante Zustände sowie Vorgänge einer Analyse zuleiten, für die wir ein webbasiertes und umfangreiches Instrumentarium entwickelt haben. Am Ende steht ein schriftlicher, belastbarer Auditierungs-Bericht, der den Zustand eines Systems festhält und sich sowohl zur externen Vorlage eignet – beispielsweise im Rahmen von Auftragsverarbeitungen – aber auch zur Ermittlung des Status interner Vorgänge und Zustände und begleitender Defizite verwendet werden kann. Eine beschreibende Broschüre stellen wir auf Nachfrage zur Verfügung.

In Zeiten von Home-Office zeigt unser webbasierte Auditierungs-Werkzeug PSE seinen besonderen Wert, weil es von Beginn an mit dem Ziel entwickelt wurden, ohne die Notwendigkeit einer Anwesenheit eines Auditors vor Ort auszukommen. PSE wird kostengünstig und effizient durch unser Tochterunternehmen IITR Cert GmbH eingesetzt in bereits vielen Bereichen, die kontinuierlich erweitert werden.

[IITR Cert] Die IITR Cert GmbH entwickelt im Auftrag und in Zusammenarbeit mit der IITR Datenschutz GmbH Konformitätsbewertungs- und Prüf-Standards, welche als CPS [Certified Privacy Standard] veröffentlicht werden. Nach diesen Standards kann durch die IITR Cert GmbH geprüft werden. Weiterhin betreibt und betreut die IITR Cert GmbH das Auditierungs-Werkzeug PSE und erstellt darauf gestützte Auditierungsberichte.

[CoC] Verhaltensregeln, Code of Conduct. Es handelt sich dabei um eine in der DSGVO formulierte Vorstellung, Datenschutz kostengünstig umzusetzen. Ein Bereich der bislang unterentwickelt verblieben ist. Dies findet womöglich auch darin ihre Erklärung, das bisherige Instrument von in Selbstverantwortung entwickelten Verhaltensregeln in ein staatlich reguliertes Zertifizierung-Universum umzuwandeln.

Nach mehreren Jahren Vorbereitung werden wir demnächst private Verhaltensregeln vorlegen und für Bereiche anbieten, in denen der Bedarf für umsetzbare Verhaltensregeln im Datenschutz objektiv vorhanden ist, die jedoch dabei auch noch erschwinglich bleiben müssen.

Sobald staatlich genehmigte Verhaltensregeln vorgelegt werden sollten, werden wir darin formulierte Vorstellungen übernehmen unter der Voraussetzung, dass diese für die Zielgruppen sowohl umsetzbar als auch erschwinglich bleiben. Zu diesem Thema Verhaltensregel werden wir uns in den nächsten Wochen nochmals in diesem Blog zu Wort melden.

Zum Schluss

Wir bereiten uns durch Optimierungen unserer Produkte und Dienstleistungen darauf vor, in ein schwieriges Jahr 2021 zu gehen. Nach wie vor stehen unsere Regionalpartner und wir selber als externe Datenschutzbeauftragte zur Verfügung, sowie als Vertreter nach Artikel 27 DSGVO. Wir tun unser Möglichstes, die gesellschaftliche Basis für den Datenschutz durch Qualität sowie zurückhaltende Preisgestaltung zu erhalten, denn die Vorstellung, allein auf gesetzliche Anforderungen zu bauen war schon in der Vergangenheit nicht tragfähig.

Genau darin bestärken wir auch Sie und alle unsere Kunden: bauen sie nicht alleine auf den Staat und seine Maßnahmen. Wir kommen in eine Phase, in der die private Initiative wieder einen hohen Stellenwert erlangen wird. Je eher man sich darauf einstellt, desto höher die Wahrscheinlichkeit, die bevorstehende Zeit bewältigen zu können.

Dafür wünschen wir Ihnen jeden Erfolg, niemals verzagen, alles Gute und… bleiben Sie gesund.

Autor: Eckehard Kraska