Anlässlich des fünften Jahrestags der Einführung der DSGVO werfen wir einen Blick darauf, wie sie sich auf diejenigen ausgewirkt hat, die die Arbeit erledigen, die am meisten davon betroffen war. Dan Raywood spricht mit fünf Personen, die unterschiedliche Rollen im Bereich Cybersicherheit ausüben, um die Gesamtauswirkungen auf ihre Arbeit zu verstehen.

Jon Baines, DPO, Mishcon de Reya

Wie hat sich Ihrer Meinung nach die DSGVO in den letzten fünf Jahren täglich auf Ihre Rolle ausgewirkt?

Was viele Menschen an der DSGVO übersehen, ist, dass sie das bestehende Recht nicht wesentlich verändert hat – die meisten Definitionen, Grundsätze, Pflichten und Rechte existierten bereits in der Datenschutzrichtlinie von 1995 (im Vereinigten Königreich durch den Data Protection Act 1998 umgesetzt). . Was sich geändert hat, war der Schwerpunkt. Dies hatte hauptsächlich zwei miteinander verbundene Gründe: 1) das Durchsetzungssystem gemäß Die DSGVO hat die möglichen Höchststrafen massiv erhöht – Im Vereinigten Königreich betrug der bisherige Höchstbetrag 500,000 Pfund, jetzt sind es 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, und in einigen EU-Ländern waren in den bisherigen Gesetzen überhaupt keine Geldstrafen vorgesehen; 2) Die DSGVO erlangte große Aufmerksamkeit (mit Unterstützung erheblicher EU-Fördermittel), was dazu führte, dass der Datenschutz zu einem Thema in den Vorstandsetagen wurde, was er selten oder nie zuvor war.

Die Konsequenz für jemanden wie mich, der als Berater fungiert, ist, dass meine Dienste in einer Art und Häufigkeit in Anspruch genommen wurden, wie ich es noch nie zuvor erlebt hatte. Wenn man dann noch die Komplexität berücksichtigt, die der Brexit mit sich brachte, mit der Beibehaltung der DSGVO als „UK-DSGVO“, aber einer völlig neuen inländischen Regelung, die es zu berücksichtigen gilt, waren die letzten fünf Jahre hektisch und herausfordernd (aber äußerst interessant!)

Offensichtlich wurde dadurch die Rolle des Datenschutzbeauftragten geschaffen. Was ist mit den Zugriffsanfragen für betroffene Personen? Ist dieser externe Teil Ihrer Rolle genauso wichtig wie der allgemeine interne Datenschutz intern?

Datenschutzbeauftragte gab es schon vor der DSGVO. Aber Sie haben Recht, dass die DSGVO sie auf eine gesetzliche Grundlage gestellt hat. Ebenso waren SARs nichts Neues, und sie hatten im Vereinigten Königreich seit 1984(!) einen gesetzlichen Status, und Datenschutzbeauftragte und Anwälte waren bereits daran gewöhnt, mit ihnen umzugehen, aber aus den in der ersten Antwort genannten Gründen wurden SARs dazu viel bekannter, nachdem die DSGVO in Kraft trat.

Darüber hinaus durften Organisationen nicht mehr die geringe Gebühr erheben, die sie zuvor erheben konnten. Die eingegangenen Zahlen sind bei den meisten Organisationen im Allgemeinen gestiegen, und auch bei Beschwerden beim Datenschutzbeauftragten ist dies der Fall.

Als jemand, der externe Firmenkunden dabei berät, auf sie zu reagieren, aber auch Einzelpersonen bei der Erstellung berät, weiß ich, wie schwierig es sein kann, damit umzugehen, wie hilfreich sie für diejenigen sein können, die sie erstellen, aber auch, wie frustrierend und kostspielig der Prozess ist kann für beide Seiten sein. Sie werden nicht verschwinden – das aktuelle Gesetz zum Datenschutz und zu digitalen Informationen wird sie beibehalten, mit wahrscheinlich geringfügigen Änderungen – und sie sollten nun als Teil der regulären Geschäftstätigkeit der meisten, wenn nicht aller Organisationen sowie als wertvolles Instrument für betrachtet werden Einzelpersonen bei der Geltendmachung ihrer Rechte.

Bronwyn Boyle, ehemaliger CISO und Cybersicherheitsspezialist für Finanzdienstleistungen

Wie hat sich Ihrer Meinung nach die DSGVO in den letzten fünf Jahren täglich auf Ihre Rolle ausgewirkt?

Während Sicherheit in der Vergangenheit oft als technisches Problem wahrgenommen wurde, fungierte die DSGVO als Katalysator, um Silos aufzubrechen und einen ganzheitlicheren und kollaborativeren Sicherheitsansatz voranzutreiben. Dadurch wurde die Bedeutung der Sicherheit geschärft, da Vorstände und Führungskräfte zu Recht transparente Einblicke in die laufende Leistung von Sicherheitskontrollen und das Management damit verbundener Risiken fordern.

Viele von uns in der Sicherheitsgemeinschaft waren erfreut über die deutliche Veränderung der Dynamik. Anstatt darum zu kämpfen, den Botschaften Gehör zu verschaffen, wurden CISOs eingeladen, am Tisch Platz zu nehmen und zur Organisationsstrategie beizutragen.

Wie stark wirkte sich diese Datenschutz- und Nutzerschutzverordnung auf die allgemeine Informationssicherheit aus?

Die DSGVO bietet eine fantastische Gelegenheit, die Zusammenarbeit zu vertiefen und das gegenseitige Verständnis zwischen Organisationen zu verbessern. Geschäfts- und Sicherheitsteams arbeiten weiterhin eng zusammen und stellen sicher, dass personenbezogene Daten während ihres gesamten Lebenszyklus geschützt sind. Es ist toll zu sehen, wie Die DSGVO kann als gemeinsamer Rahmen dienen um die vielen verschiedenen Teams zusammenzubringen, die an verschiedenen Stellen personenbezogene Daten berühren. Ich freue mich zu sehen, wie die DSGVO zu nachhaltigen Veränderungen bei der Verbesserung der funktionsübergreifenden Zusammenarbeit geführt hat.

Die DSGVO fungierte als kultureller Dreh- und Angelpunkt: Mitarbeiter und Endbenutzer wurden sich gleichermaßen des Werts ihrer Daten und der Notwendigkeit, diese durch sicheres Verhalten zu schützen, bewusster. Darüber hinaus fördert es weiterhin ein besseres Unternehmensverhalten, da Unternehmen für die Verletzung der Rechte betroffener Personen zur Verantwortung gezogen werden. Im aktuellen Klima der datenhungrigen KI-Experimente und der schnellen Einführung ist diese Art der Absicherung mehr denn je erforderlich.

Eduardo Ustaran, globaler Co-Leiter der Datenschutz- und Cybersicherheitspraxis bei Hogan Lovells

Wie hat sich Ihrer Meinung nach die DSGVO in den letzten fünf Jahren täglich auf Ihre Rolle ausgewirkt?

Nach dem anfänglichen Arbeits-Tsunami nach der Umsetzung der DSGVO kam es in den letzten fünf Jahren zu einer Konsolidierung von Themen, die aus Compliance-Sicht zur obersten Priorität geworden sind. Die Hauptbemühungen wurden darauf gerichtet, die Grundlagen richtig zu machen (von der rechtlichen Grundlage bis hin zur Transparenz), die Rechte des Einzelnen zu berücksichtigen und natürlich internationale Datenübermittlungen zu berücksichtigen.

Der vielleicht aufregendste Teil der DSGVO aus alltäglicher Sicht war die Frage, wie man einige ihrer Neuerungen, wie z. B. die Bereitstellung, meistert Datenschutz-Folgenabschätzungen, Unterstützung der Datenschutzbeauftragten bei der Erfüllung ihrer Aufgaben und Erfüllung der Meldepflichten bei Datenschutzverletzungen.

Glauben Sie, dass die Leute verstehen, worum es geht, warum es eingeführt wurde und was es bewirkt?

Die Menschen erkennen definitiv an, dass die DSGVO den Datenschutz Wirklichkeit werden lässt. Jeder weiß davon und redet darüber, obwohl es eine andere Frage ist, ob jeder die Nuancen und Komplexitäten des Gesetzes versteht. Mit seiner internationalen Anerkennung war dies der größte Erfolg der DSGVO.

Bei einer risikobasierten Regulierung ist es schwierig, klar zu verstehen, was diese Regulierung bewirkt, da dieselben Verpflichtungen je nach den Umständen auf unterschiedliche Weise gelten. Vor allem ist man sich ziemlich allgemein darüber im Klaren, dass es bei der DSGVO um den verantwortungsvollen Umgang mit personenbezogenen Daten geht und dass sie weder der Entwicklung von Technologie noch der Geschäftstätigkeit im Wege steht.

Neil Thacker, CISO, Netskope

Wie hat sich Ihrer Meinung nach die DSGVO in den letzten fünf Jahren täglich auf Ihre Rolle ausgewirkt?

Die DSGVO hat sich direkt auf meine Rolle als CISO bei Netskope ausgewirkt – aber sie begann vor fast sieben Jahren mit der Vorbereitung auf die DSGVO. Während sich viele der grundlegenden Kontrollen gegenüber der britischen Datenschutzbehörde nicht grundlegend geändert haben, hat die Bedeutung von Datenschutz und Datenverwaltung zugenommen, insbesondere im Hinblick auf den Nachweis von Reife und Berichterstattung über diesen Zeitraum.

Diese Bedeutung ist nicht nur intern zu spüren, sondern auch bei Drittanbietern, die an der Verarbeitung personenbezogener Daten jeglicher Art beteiligt sind. Wir stellen sicher, dass alle unsere Lieferanten strenge Anforderungen erfüllen, um sicherzustellen, dass sie als Unterauftragsverarbeiter auch die hohen Standards einhalten, die wir in Bezug auf den Datenschutz anwenden.

Es war eine sehr positive Erfahrung, insbesondere weil wir viele der Aufgaben automatisiert haben, die mit der Verwaltung von Lieferanten, der Sicherung neuer Datenflüsse und dem Schutz personenbezogener Daten im Ruhezustand und in der Übertragung verbunden sind.

Dominic Vogel, Gründer und Chefstratege, Cyber.sc

Haben Sie das Gefühl, dass sich die DSGVO in den letzten fünf Jahren auf Ihre Arbeitsweise ausgewirkt hat?

Die kurze Antwort ist absolut! Meine Arbeit konzentriert sich hauptsächlich auf KMUs im B2B-Bereich, und es ist ein Tag-und-Nacht-Unterschied, wie dem Datenschutz Priorität eingeräumt wird. Jeder meiner Kunden, der eine Präsenz in Europa anstrebt, baut automatisch auf die Privatsphäre auf; Sogar Organisationen, die in Europa kein Geschäft haben, verkaufen möglicherweise an Organisationen, die dies tun, und aufgrund der Art und Weise, wie die DSGVO in die umfassendere Sorgfaltspflicht in der Lieferkette eingebunden ist, müssen diese Organisationen die Einhaltung der DSGVO nachweisen.

Gab es von außerhalb Europas Verständnis dafür, was mit der DSGVO erreicht werden soll?

Bis zu einem gewissen Grad variiert das Verständnis sicherlich je nach Branche: Es gibt mittlerweile kleine und mittlere Unternehmen, die über solide Datenschutzprogramme verfügen und „Privacy by Design“ integrieren. Das war vorher nicht der Fall. Die DSGVO leitete hier in Nordamerika eine bedeutungsvollere Ära der Datenschutzdiskussionen ein. Infolgedessen sehen wir eine stärkere Verbesserung und Modernisierung der Datenschutzgesetze und -gesetze.

Es gibt Spekulationen darüber, dass andere Vorschriften geschaffen werden könnten, um die DSGVO nachzubilden. Sehen Sie irgendwelche direkten Beweise dafür?

Ich würde nicht sagen, dass ich „direkte Beweise“ gesehen habe, aber da sich die Technologie schnell verändert und weiterentwickelt (KI irgendjemand?), besteht die Notwendigkeit, Datenschutzgesetze wie die DSGVO aktuell und auf dem neuesten Stand zu halten. Wir können keine Datenschutzgesetze mehr schreiben, die über Jahrzehnte hinweg unverändert bleiben können. Sie müssen agiler und häufiger aktualisiert werden, um mit der Technologie Schritt zu halten.

Abschließende Überlegungen

Wenn man die Auswirkungen der DSGVO betrachtet, wird deutlich, dass diese Verordnung weltweit zu tiefgreifenden Veränderungen in den Datenschutzpraktiken geführt hat. Die DSGVO hat den Einzelnen gestärkt, höhere Standards gesetzt und einen globalen Dialog über Datenschutz und Datensicherheit gefördert.

Die Harmonisierung der Datenschutzgesetze in den EU-Mitgliedstaaten war eine bedeutende Errungenschaft und bietet einen einheitlichen Rahmen für Unternehmen und Datenschutzexperten. Es vereinfacht Compliance-Bemühungen und gewährleistet einheitliche Standards über Grenzen hinweg und für Unternehmen. Diese Harmonisierung sollte als Modell für eine weitere Standardisierung dienen, die Durchsetzung verbessern und ein besseres Verständnis und eine bessere Anwendung von Vorschriften ermöglichen.

Mit über 140 Datenschutz Obwohl die Vorschriften mittlerweile weltweit gelten, gibt es kaum eine Harmonisierung für Unternehmen, die diese vielen unterschiedlichen regionalen und länderspezifischen Vorschriften außerhalb der DSGVO einhalten oder nachweisen müssen. In den nächsten fünf Jahren wird die Bewältigung der Compliance-Komplexität eine ständige Herausforderung sein.

Auch wenn Compliance-Herausforderungen entmutigend erscheinen mögen, ist es wichtig, den Wert einer effektiven Compliance-Management-Software zu erkennen. Robuste Implementierung von Compliance-Software Optimiert Prozesse, eliminiert sich wiederholende Aufgaben und ermöglicht es Unternehmen, sich auf bestimmte Compliance-Abweichungen zu konzentrieren. Durch den Einsatz von Compliance-Software können Unternehmen wertvolle Zeit und Ressourcen sparen, die interne Effizienz steigern und den Aufsichtsbehörden Compliance-Nachweise liefern.

In der Woche, in der Meta wegen Verstößen gegen die DSGVO eine Geldstrafe in Höhe von 1.2 Milliarden US-Dollar verhängt hat, ist dies eine rechtzeitige Erinnerung für Unternehmen, der Compliance Vorrang einzuräumen. Es sendet auch eine klare Botschaft: Bringen Sie Ordnung in Ihr Haus! Unternehmen, die dies gut umsetzen, werden Vorteile erschließen, die weit über die Einhaltung gesetzlicher Vorschriften hinausgehen. Gute Infosec ist ein gutes Geschäft.