Nick Dedeke ist außerordentlicher Lehrprofessor an der Northeastern University in Boston. Seine Forschungsinteressen umfassen digitale Transformationsstrategien, Ethik und Datenschutz. Seine Forschungsergebnisse wurden in IEEE Management Review, IEEE Spectrum und dem Journal of Business Ethics veröffentlicht. Er hat einen Doktortitel in Wirtschaftsingenieurwesen von der Universität Kaiserslautern-Landau, Deutschland. Die Meinungen in diesem Artikel spiegeln nicht unbedingt die Ansichten von Ars Technica wider.
In einem früheren Artikel habe ich einige der Mängel in Europas wichtigstem Datenschutzgesetz, der Datenschutz-Grundverordnung (DSGVO), erörtert. Aufbauend auf dieser Kritik möchte ich nun weitergehen und Spezifikationen für die Entwicklung eines robusten Datenschutzsystems in den USA vorschlagen.
Autoren müssen mehrere Hürden überwinden, um die Leser von möglichen Mängeln in der DSGVO überzeugen zu können. Erstens stehen einige Leser jedem Artikel, der die DSGVO kritisiert, skeptisch gegenüber, weil sie der Meinung sind, dass das Gesetz noch zu jung ist, um es bewerten zu können. Zweitens sind einige gegenüber jedem Artikel, der die DSGVO kritisiert, misstrauisch, weil sie vermuten, dass die Autoren verdeckte Unterstützer der Anti-DSGVO-Agenda von Big Tech sein könnten. (Ich kann den Lesern versichern, dass ich weder daran gearbeitet habe noch jemals daran gearbeitet habe, irgendeine Agenda von Big-Tech-Unternehmen zu unterstützen.)
In diesem Artikel werde ich den Preis hervorheben, der mit dem Ignorieren der DSGVO einhergeht. Anschließend werde ich einige konzeptionelle Mängel der DSGVO vorstellen, die von einem der führenden Architekten des Gesetzes anerkannt wurden. Als nächstes werde ich bestimmte Merkmale und Designanforderungen vorschlagen, die Länder wie die Vereinigten Staaten bei der Entwicklung eines Datenschutzgesetzes berücksichtigen sollten. Abschließend nenne ich einige Gründe dafür alle sollte sich um dieses Projekt kümmern.
Der hohe Preis, die DSGVO zu ignorieren
Manchmal geht man davon aus, dass die DSGVO vor allem „bürokratische Kopfschmerzen“ bereitet – aber diese Sichtweise ist nicht mehr gültig. Betrachten Sie die folgenden Maßnahmen von Administratoren der DSGVO in verschiedenen Ländern.
- Im Mai 2023 schlugen die irischen Behörden Meta mit einem Bußgeld 1,3 Milliarden US-Dollar für die unrechtmäßige Übermittlung personenbezogener Daten aus der Europäischen Union in die USA.
- Am 16. Juli 2021 verhängte die luxemburgische Datenschutzkommission (CNDP) eine Geldbuße in Höhe von 746 Millionen Euro (888 Millionen US-Dollar) gegen Amazon Inc. Die Geldbuße wurde aufgrund einer Beschwerde von 10.000 Personen gegen Amazon im Mai 2018 verhängt, die von a inszeniert wurde Französische Gruppe für Datenschutzrechte.
- Am 5. September 2022 verhängte die irische Datenschutzkommission (DPC) eine DSGVO-Strafe in Höhe von 405 Millionen Euro gegen Meta Ireland als Strafe für den Verstoß gegen die DSGVO-Bestimmungen zur Rechtmäßigkeit von Kinderdaten (Weitere Bußgelder finden Sie hier).
Mit anderen Worten: Die DSGVO ist nicht nur eine bĂĽrokratische Angelegenheit; Dies kann hohe, unerwartete BuĂźgelder nach sich ziehen. Die Vorstellung, dass die DSGVO ignoriert werden kann, ist ein fataler Irrtum.
9 konzeptionelle Mängel der DSGVO: Perspektive des leitenden Architekten der DSGVO
Axel Voss ist einer der führenden Architekten der DSGVO. Er ist Mitglied des Europäischen Parlaments und verfasste 2011 den Initiativbericht mit dem Titel „Umfassender Ansatz zum Schutz personenbezogener Daten in der EU“, als er Berichterstatter des Europäischen Parlaments war. Sein Aufruf zum Handeln führte zur Entwicklung der DSGVO-Gesetzgebung. Nachdem Voss die unerfüllten Versprechen der DSGVO festgestellt hatte, schrieb er a Positionspapier Aufzeigen der Schwächen des Gesetzes. Ich möchte neun der von Voss beschriebenen Mängel erwähnen.
Erstens war die DSGVO zwar theoretisch hervorragend und zeigte einen Weg zur Verbesserung der Standards für den Datenschutz auf, es handelt sich jedoch um ein übermäßig bürokratisches Gesetz, das weitgehend auf der Grundlage eines Top-Down-Ansatzes von EU-Bürokraten geschaffen wurde.
Zweitens basiert das Gesetz auf der Prämisse, dass Datenschutz ein Grundrecht von EU-Bürgern sein sollte. Daher sind die Vorgaben absolut und einseitig oder nur auf den Schutz der „Grundrechte und Grundfreiheiten“ natürlicher Personen ausgerichtet. Mit dieser Änderung haben die DSGVO-Architekten die Beziehung zwischen Staat und Bürger übertragen und auf die Beziehung zwischen Bürgern und Unternehmen sowie die Beziehung zwischen Unternehmen und ihren Mitbewerbern übertragen. Diese Konstruktion ist einer der Gründe dafür, dass den Verantwortlichen und Auftragsverarbeitern starre Pflichten auferlegt werden.
Drittens zielt das DSGVO-Gesetz darauf ab, die betroffenen Personen zu stärken, indem es ihnen Rechte einräumt und diese Rechte gesetzlich verankert. Konkret verankert das Gesetz neun Rechte der betroffenen Personen im Gesetz. Dies sind: das Recht auf Information, das Recht auf Zugang, das Recht auf Berichtigung, das Recht auf Vergessenwerden/oder auf Löschung, das Recht auf Datenübertragbarkeit, das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten Daten, das Recht auf Widerspruch gegen die automatisierte Verarbeitung und das Recht auf Widerruf einer Einwilligung. Wie bei jeder Liste besteht immer die Sorge, dass einige Rechte fehlen könnten. Wenn entscheidende Rechte in der DSGVO weggelassen werden, würde dies die Wirksamkeit des Gesetzes beim Schutz der Privatsphäre und des Datenschutzes beeinträchtigen. Insbesondere im Fall der DSGVO sind die geschützten Betroffenenrechte nicht abschließend.
Viertens beruht die DSGVO auf a Verbots- und Beschränkungsansatz zum Datenschutz. Beispielsweise schließt das Prinzip der Zweckbindung Zufallsentdeckungen in der Wissenschaft aus. Dies ignoriert die Realität, dass aktuelle Technologien, z. B. maschinelles Lernen und Anwendungen der künstlichen Intelligenz, unterschiedlich funktionieren. Daher sind diese alten Datenschutz-Denken wie Datenminimierung und Speicherbegrenzung nicht mehr praktikabel.
Fünftens geht die DSGVO grundsätzlich davon aus, dass jede Verarbeitung personenbezogener Daten das Recht der betroffenen Person auf Datenschutz einschränkt. Es erfordert daher, dass jeder dieser Vorgänge einer rechtlichen Begründung bedarf. Die DSGVO sieht jede Verarbeitung personenbezogener Daten als potenzielles Risiko an und verbietet deren Verarbeitung grundsätzlich. Eine Verarbeitung ist nur dann zulässig, wenn ein Rechtsgrund vorliegt. Ein solcher Anti-Verarbeitungs- und Anti-Sharing-Ansatz ist in einer datengesteuerten Wirtschaft möglicherweise nicht sinnvoll.
Sechstens unterscheidet das Gesetz nicht zwischen Anwendungen mit geringem Risiko und Anwendungen mit hohem Risiko, indem es fĂĽr jede Art von Datenverarbeitungsanwendung die gleichen Verpflichtungen vorschreibt, wobei bei einigen Ausnahmen bei Anwendungen mit hohem Risiko die Konsultation des Datenverarbeitungsverwalters erforderlich ist.
Siebtens schließt die DSGVO auch Ausnahmen für Verarbeitungsszenarien mit geringem Risiko aus oder wenn KMU, Start-ups, nichtgewerbliche Unternehmen oder Privatpersonen die Datenverantwortlichen sind. Darüber hinaus gibt es keine Ausnahmen oder Bestimmungen zum Schutz der Rechte des Verantwortlichen und Dritter für solche Fälle, in denen der Verantwortliche ein berechtigtes Interesse am Schutz von Geschäfts- und Betriebsgeheimnissen, an der Erfüllung von Geheimhaltungspflichten oder ein wirtschaftliches Interesse an der Vermeidung großer und großer Verluste hat unverhältnismäßige Anstrengungen zur Erfüllung der DSGVO-Verpflichtungen.
Achtens fehlt der DSGVO ein Mechanismus, der es KMU und Startups ermöglicht, die Compliance-Belastung auf Dritte abzuwälzen, die dann Daten speichern und verarbeiten.
Neuntens stützt sich die GPR stark auf eine staatliche bürokratische Überwachung und Verwaltung der DSGVO-Datenschutzkonformität. Dies bedeutet, dass ein umfangreiches bürokratisches System zur Verwaltung des Compliance-Regimes erforderlich ist.
Es gibt noch andere Probleme bei der Durchsetzung der DSGVO (siehe Artikel von Matt Burgess Und Anda Bologa) und seine negativen Auswirkungen auf die EU digitale Wirtschaft und weiter Irische Technologie Unternehmen. Dieser Artikel konzentriert sich nur auf die neun oben beschriebenen Mängel. Diese neun Mängel sind einige der Gründe, warum die US-Behörden die DSGVO nicht einfach kopieren sollten.
Die gute Nachricht ist, dass viele dieser Mängel behoben werden können.
