Datenschutz ist tot, es lebe der Datenschutz
Veröffentlicht: 2022-05-22Im Mai sahen Unternehmen Y2K remastered. Die europäische Datenschutz-Grundverordnung kam – und nichts geschah. Unternehmen auf der ganzen Welt und aus allen Branchen beeilten sich, die Vorschriften einzuhalten, aus Angst vor hohen Bußgeldern und dem Zorn der Verbraucher.
Aber fast drei Monate nach Inkrafttreten der Verordnung hat sich kaum etwas getan.
Obwohl die Industrie noch keine Auswirkungen auf die Verordnung gesehen hat, veranlasste die DSGVO viele Unternehmen dazu, die Art und Weise, wie sie Daten sammeln und verwenden, zu überdenken. Immer mehr Unternehmen betrachten den Datenschutz als wichtige geschäftliche Angelegenheit und nicht als nachträglichen Einfall.
Und ein Konzept macht es einfacher zu verstehen, wie Daten behandelt werden sollten , und sorgt dabei für mehr Privatsphäre: der Umgang mit Daten als Währung.
Den Daten einen Preis geben
Das Konzept der Daten als Währung ist der Nachfolger einer eher physischen Darstellung, die in dem Satz „Daten sind das neue Öl“ zu finden ist. Ein Konzept, das sie vor 20 Jahren in Europa geprägt hat, erklärte Michelle Dennedy, VP und Chief Privacy Officer bei Cisco, Daten seien das neue Öl, weil sie durch Systeme flossen und wertvoller seien als Gold oder andere Währungen.
Wenn Daten das neue Öl wären, bräuchten Unternehmen nur Sicherheit, um sie zu verwalten und sicherzustellen, dass sie nicht auslaufen und Brände auslösen. Aber wenn Daten stattdessen als Währung angesehen werden, sind sie „völlig abhängig von Zeit, kulturellem Verständnis, Bedingungen und Kontext“ , sagte Dennedy in einem Interview mit CIO Dive.
Jede Währung hat ein „Wackeln“, sagte Dennedy. Nehmen wir zum Beispiel, was mit den Euro-Fluktuationen passiert, die veranschaulichen, wie Wahlzyklen die Währungsbewertungen beeinflussen können.
Organisationen erzielen Erfolg, wenn sie lernen, Vermögenswerte zu bewerten. Wenn Daten sorglos behandelt werden und interne oder externe Faktoren Einfluss nehmen, könnten Organisationen ins Fadenkreuz der Regulierungsbehörden geraten.
Wenn Daten als Währung gesehen werden, sind sie „völlig abhängig von Zeit, kulturellem Verständnis, Bedingungen und Kontext“.
Michelle Dennedy
VP und Chief Privacy Officer bei Cisco
„Wenn Sie Ihre sensiblen Daten als einen Vermögenswert betrachten, der Ihnen genauso viel Schaden zufügt, wenn er kompromittiert wird, wie Ihre tatsächlichen Gelder, Ihre Dollars, dann werden Sie sich anders verhalten“, sagte Tanya Forsheit, Partnerin und Vorsitzende des Datenschutz- und Datensicherheitsgesetzes Kanzlei Frankfurt Kurnit Klein und Selz, im Gespräch mit CIO Dive.
Während das Konzept die Unterstützung des Mainstreams gewinnt, ist die Industrie noch nicht so weit. Unternehmen, die Daten als Währung betrachten, kehren schnell zu Assoziationen mit Risiken zurück und glauben, dass Daten etwas zu verlieren haben.
Die andere Einschränkung besteht darin, wie Vorschriften personenbezogene Daten definieren. Die DSGVO bot eine breite Definition.
In den USA gelten personenbezogene Daten als persönlich identifizierbare Informationen (PII). Unter der DSGVO sind personenbezogene Daten jedoch alle Informationen, die zur Identifizierung einer Person verwendet werden könnten, einschließlich Geräte-IDs und IP-Adressen.
Die Ausweitung des Umfangs personenbezogener Daten erschwert ihre Behandlung als Währung. Sozialversicherungsnummern sind beispielsweise viel wertvoller als eine E-Mail-Adresse. Das bedeutet, dass das Konzept der Daten als Währung einen zugehörigen Wert erfordert.
Wenn es Mechanismen gibt, IP-Adressen wie Pennies und Sozialversicherungsnummern als Hundert-Dollar-Scheine zu behandeln, dann hat das eine Bedeutung, sagte Forsheit. "Es ist eine schwierige Denkweise für jemanden, sich zurechtzufinden."
Unternehmen hungern nach Daten
Wenn Firmen Daten nicht übermäßig sammeln würden, wäre die Semantik bezüglich ihrer Behandlung und Definition sinnlos. Aber leider ist das nicht der Fall.
Mitte der 1990er Jahre begann sich das Internet in Richtung Handel zu verlagern, und es wurde einfacher, Daten zu erhalten, sagte Rebecca Herold, CEO des Beratungsunternehmens The Privacy Professor und Mitbegründerin und Präsidentin von SIMBUS , einem Beratungsunternehmen für Datenschutz- und Sicherheitsmanagement.
Vor dem Internet mussten sich Unternehmen auf gedruckte Anzeigen und Postsendungen verlassen, um potenzielle Käufer zu erreichen, sagte Herold in einem Interview mit CIO Dive. Aber der Aufstieg des Internethandels überholte die Marketingbemühungen und Unternehmen mussten nicht mehr nach Kundendaten fragen. Stattdessen gaben die Leute einfach Informationen weiter.
„Unternehmen in den USA sind historisch gesehen Datenhorter. Das tun sie. Sie sammeln Tonnen und Tonnen von Daten, manchmal sogar ohne unbedingt zu wissen, was ihr eigentliches Ziel ist.“
Tanja Forsheit
Partner und Lehrstuhl für Datenschutz und Datensicherheit bei Frankfurt Kurnit Klein und Selz
Die Branche habe gesehen, „wie eifrig Unternehmen waren, mehr Daten zu sammeln, als sie wirklich brauchten“, sagte Herold.
Als Vorbote dienten die 90er Jahre. Heutzutage sammeln und speichern Unternehmen mehr Daten, als sie zu tun wissen, in der Hoffnung, dass Big-Data-Analysen und künstliche Intelligenz die Analyse erleichtern werden. Diese Übersammlung hat sich direkt auf die Privatsphäre ausgewirkt.
„Unternehmen in den USA sind historisch gesehen Datenhorter. Das tun sie“, sagte Forsheit. „Sie sammeln tonnenweise Daten, manchmal sogar ohne unbedingt zu wissen, was ihr eigentliches Ziel ist.“
Laut Forsheit arbeitet die DSGVO daran, die Art und Weise zu ändern, wie Unternehmen mit Daten interagieren, und stoppt die Verwendung personenbezogener Daten auf eine Weise, die Verbraucher nicht erwartet haben oder von der sie nicht wussten, dass sie möglich ist. Durch die Verbindung unterschiedlicher Datensätze können Analysten persönliche Informationen ohne das Wissen eines Benutzers ermitteln und skizzieren, eine Aktion, die die DSGVO zu verhindern versucht.
Ist Privatsphäre überhaupt möglich?
Daten können positive und negative Auswirkungen haben, und Organisationen, die behördliche Auswirkungen und hohe Bußgelder fürchten, arbeiten daran, die Erfassung und Behandlung von Daten zu überdenken.
Auch die verstärkte Regulierung über die DSGVO hinaus macht sich bemerkbar. Die US-Regulierungsbehörden versuchen, sich zu verstärken und ein Ökosystem zu schaffen, das die Auswirkungen der von Internetgiganten angebotenen Dienste auf die Privatsphäre berücksichtigt, wie dies bei den jüngsten kalifornischen Gesetzen der Fall war .
Branchenübergreifend befinden sich Branchen in einer „Erwachungsphase“ für die Datennutzung, sagte Herold. Die jüngste – und gut publizierte – Datennutzung von Facebook hat die Branche auf sich aufmerksam gemacht. Facebook war „am Steuer eingeschlafen“, als es den Verkauf von Daten aufzeichnete", sagte Herold. „Sie waren zu vertrauensselig."
Es gibt zwei Hauptprobleme mit Daten, sagte Herold:
Organisationen machen zu viele Annahmen darüber, was als personenbezogene Daten gelten könnte und was nicht. Und dieselben Firmen glauben nicht, dass Menschen Datensätze analysieren könnten, um persönliche Erkenntnisse über eine Person abzuleiten.
Die meisten App-Entwickler und viele Technologieunternehmen verbringen nicht genug Zeit damit, Kontrollen in ihre Lösungen und Produkte zu integrieren. Stattdessen tun sie das gesetzlich vorgeschriebene Minimum.
Dies verdeutliche die Kluft zwischen dem, wozu Unternehmen gesetzlich verpflichtet sind, und dem, was sie tun sollten, sagte Herold.
Sicherlich ist Privatsphäre möglich, aber Unternehmen fehlt der Anreiz, sie Wirklichkeit werden zu lassen.
„Die schlimmen Dinge, die passiert sind, sind nicht darauf zurückzuführen, dass wir keine Gesetze haben oder nicht, weil wir keine Regulierungsbehörden haben, die sich darum kümmern“, sagte Forsheit. „Das liegt daran, dass Unternehmen datenhungrig und in einigen Fällen gierig waren und so viel wie möglich zusammengefegt und dann versucht haben, dies so weit wie möglich zu nutzen, bis sie erwischt werden, denn das ist in vielerlei Hinsicht der amerikanische Weg ."