Überprüfung Ihres DSGVO-Compliance-Programms

Viele Unternehmen haben bis Mai 2018 viel Zeit und Ressourcen darauf verwendet, ihre Systeme und Prozesse an die Einhaltung der DSGVO anzupassen. Waren all diese Veränderungen vier Jahre später notwendig? Wo hätten Controller von Anfang an weiter gehen sollen? Und was sollte sich angesichts der zahlreichen Leitlinien und der Durchsetzung durch die Datenschutzbehörden nach 2018 ändern? Dieses Panel wird untersuchen, wie sich Datenschutzexperten an die sich ändernden Compliance-Anforderungen der DSGVO anpassen.

Transkription: 

Robert Bateman:

Hallo und willkommen bei PrivSec Focus, GDPR Four Years on. Ich bin Ihr Gastgeber, Robert Bateman, Head of Content hier bei GRC World Forums. Es ist mir ein absolutes Vergnügen, Ihnen heute dieses Livestream-Erlebnis zu präsentieren. Wir haben Vordenker und Branchenexperten mit einem reichen Wissen über die allgemeine Datenschutzverordnung zusammengebracht. Nun, die DSGVO wurde natürlich 2016 verabschiedet und ist heute vor vier Jahren durchsetzbar. Und seitdem hat sich die Einstellung zu Datenschutz und Privatsphäre sowohl innerhalb von Organisationen als auch in der gesamten Gesellschaft gewandelt. Aber viele Herausforderungen und Ungewissheiten bleiben.

Im Namen von PrivSec und GRC World Forums möchte ich heute unserem Premium-Sponsor OneTrust danken. Um mehr über OneTrust zu erfahren, gehen Sie einfach zur Menüleiste auf der linken Seite, und Sie können ihre Seite für einige exklusive Inhalte besuchen. Sie können auf alle heutigen Sitzungen zugreifen, indem Sie das Menü auf der linken Seite aufrufen und die Tagesordnung anzeigen. Es ist auch möglich, Live-Diskussionen nach der Veranstaltung auf Abruf anzusehen, sobald Sie sich für die von Ihnen gewählten Sitzungen angemeldet haben.

Nun, bevor wir mit unserer ersten heutigen Sitzung beginnen, möchte ich Sie nur über einige der anderen Veranstaltungen informieren, die hier bei den GRC World Forums stattfinden. Heute, zum vierten Jahrestag des Inkrafttretens der DSGVO, kündigen wir die PICCASO Privacy Awards an. Diese Veranstaltung würdigt die Menschen, die einen herausragenden Beitrag zu diesem dynamischen und schnell wachsenden Sektor leisten, von den Fachleuten, die dafür sorgen, dass ihre Unternehmen die sehr komplexen rechtlichen Anforderungen erfüllen, bis hin zu den Akademikern und Ingenieuren, die die Vordenkerrolle im Bereich Datenschutz und innovativen Datenschutz vorantreiben. Wir entwickeln dieses Auszeichnungsprogramm in Partnerschaft mit Privacy Culture Limited und PICCASO, einer gemeinnützigen Organisation, die darauf abzielt, der Datenschutzbranche dabei zu helfen, an Reife und Leistungsfähigkeit zu wachsen. Die Nominierungen für die Awards schließen dieses Jahr am 26. August. Und die Zeremonie wird am 8. Dezember in London stattfinden. Überprüfen Sie dies. Es ist ein sehr spannendes Projekt. Besuchen Sie piccasoprivacyawards.com. Picasso wird in diesem Fall PICCASO geschrieben.

Jetzt, in weniger als zwei Wochen, am 7. und 8. Juni, veranstalten wir die erste Veranstaltung unserer Reihe Digital Trust Europe. Das PrivSec World Forum wird eine von mehreren Bühnen der Veranstaltung sein. Das ist der 7. bis 8. Juni in London, dann stehen auch weitere Termine in Dublin und Amsterdam fest. Unsere vierteljährliche zweitägige virtuelle Veranstaltung, PrivSec Global, findet ebenfalls am 29. und 30. Juni statt. Und am 16. und 17. November veranstalten wir eine unserer größten Veranstaltungen des Jahres, eine zweitägige persönliche Ausstellung namens Hashtag Risk im ExCel in London. Um mehr über all diese Veranstaltungen zu erfahren, besuchen Sie einfach unsere Website grcworldforums.com. Wir haben dieses Jahr viel vor.

Lassen Sie uns nun zu unserem ersten Panel des Tages übergehen und Ihr DSGVO-Compliance-Programm überprüfen. Und der Gastgeber dieser Sitzung ist Stewart Room, Partner und globaler Leiter für Datenschutz und Cybersicherheit bei DWF Law, über Sie, Stewart.

Stewart Room:

Danke schonmal, Robert. Und es ist toll, dich zu sehen. Wieder tolle Intros. Wir haben so viel auf der Tagesordnung. Bleiben Sie also in Kontakt mit den GRC World Foren, vielen, vielen guten Dingen, an denen Sie teilnehmen können. Also, vier Jahre später, 1.460 Tage, 35.040 Stunden, um den Traum vom Datenschutz zu leben. In diesem Zeitrahmen werden sich die Dinge also geändert haben. Die Tools, die wir mit unseren Programmen verwenden, die Prioritäten, auf die wir uns konzentrieren, die Treiber und die Dynamik für das, was wir tun, werden sich erheblich verändert haben. Kurvenbälle kommen von links, von rechts, und nicht nur das, was Herr Schrems macht. Also, ohne weiteres Umschweife, wir werden unsere Diskussionsteilnehmer einladen. Wir haben heute leider krankheitsbedingt eine Person weniger. Aber wir haben zwei großartige Diskussionsteilnehmer dabei. Können wir also Enrique Angulo von der Yorkshire Building Society und Bradley Tosso von der Regulierungsbehörde von Gibraltar hinzuziehen? Hallo, Jungs.

Enrique Angulo:

Hallo Steward. Hallo.

Bradley Tosso:

Guten Nachmittag.

Stewart Room:

Schön, euch beide zu sehen.

Bradley Tosso:

[unhörbar 00:06:06].

Stewart Room:

Lass uns ein paar schnelle Intros machen. Also, Enrique, kannst du allen ein wenig über dich erzählen, was du tust, was dein Hintergrund ist und natürlich dein Interesse an allen Welten, die mit Datenschutz-Compliance-Programmen zu tun haben?

Enrique Angulo:

Unbedingt. Mein Hintergrund liegt im Programm- und Projektmanagement. Ich mache das seit über 20 Jahren und liefere Transformationen in IT, Business und Digital. Ungefähr 2016 führte ich ein Sicherheitsprogramm für [unverständlich 00:06:41] durch. Und sie kamen und sagten: „Richtig, Enrique, du hast dieses Programm geliefert. Es kommt etwas namens GDPR. Es ist ein Compliance-Programm. Und das ist das erste Mal, dass ich davon höre. Und dann, als ich in dieses Programm kam, fing ich an, mich in den ganzen Datenschutz und all dieses BIP einzutauchen. Ich sah, dass es nicht nur eine einfache Checkliste war. Es war viel größer als das. Ich wurde wirklich, wirklich leidenschaftlich darüber. Also sagte ich: “Nun, ich werde das nicht nur liefern, ich werde wirklich ein KMU werden. Und ich werde dieser Verordnung wirklich unter die Haut gehen.” Seitdem habe ich also Programme für mehrere Kunden in verschiedenen Branchen geliefert. Also ja, meine neueste ist bei der Yorkshire Building Society, einer Finanzdienstleistungsinstitution.

Stewart Room:

Fantastisch, Enrique. Was für eine erstaunliche Erfolgsgeschichte. Ich denke, es ist wirklich interessant, dass Sie diese vorherige Transformationserfahrung haben und mit diesen Fähigkeiten zum Datenschutz gekommen sind. Offensichtlich geht es um programmatische Leistung. So. Das wird wirklich interessant, was du zu sagen hast, Bradley, wie geht es dir? Es ist eine Weile her, mein Freund.

Bradley Tosso:

Hallo guten Tag. Es ist mir eine Freude, wieder mit Ihnen in der Show zu sein. Was mich betrifft, nun, ich bin der Direktor für Informationsrechte und -operationen bei der Regulierungsbehörde von Gibraltar, die praktisch das Büro des Informationsbeauftragten in Gibraltar ist. Ich leite das Datenschutzteam. Und obwohl wir eine kleine Behörde sind, stehen wir, sagen wir mal, an der Spitze der Datenschutzentwicklungen. Wir haben die DSGVO in Übereinstimmung mit dem EU-Recht übernommen. Wir haben die DSGVO nach dem Brexit beibehalten. Und unsere Behörde beteiligt sich an vielen internationalen Bemühungen, um sicherzustellen, dass wir uns an der globalen Diskussion und einer globalen Zusammenarbeit zur offensichtlichen Verbesserung der Datenschutzstandards und -praxis beteiligen können.

In Bezug auf meinen Hintergrund habe ich 15 Jahre Erfahrung im Compliance-Bereich, der den privaten und öffentlichen Sektor kombiniert. Und in diesem Sinne habe ich auch in verschiedenen regulatorischen Bereichen gearbeitet, wo ich mit Online-Glücksspielen begonnen habe, und wiederum in verschiedenen Gerichtsbarkeiten gearbeitet, sowohl in Gibraltar mit einem Beitrag zum britischen Regime oder zur Aufsicht über das britische Regime, und dann angefangen Arbeit im privaten Sektor für eine bedeutende Rolle im Bereich Online-Glücksspiele, wo ich arbeitete und für die Vorschriften in Spanien verantwortlich war. Darüber hinaus habe ich in Bezug auf meine Fähigkeiten einen juristischen Hintergrund, aber auch einen Hintergrund in Bezug auf Wirtschaft und Informatik. Also, es ist eine Reihe von, sagen wir, akademischen, zumindest Zeugnissen, die mich auf den Weg des Datenschutzes getrieben haben.

Stewart Room:

Oh, fantastisch, Bradley. Nun, fühlt sich an, als hättest du alle Grundlagen abgedeckt. Hier erwartet uns also ein wahrer Leckerbissen. Und wir greifen auf so viel Fachwissen zurück, das nicht nur auf das regulatorische, sondern auch auf Ihr geschäftliches Know-how hinausgeht, und liefern dieses in der Praxis und auch im rechtlichen Bereich. Nochmals vielen Dank, meine Herren. Also, lass uns weitermachen. Wenn wir ein paar Jahre zurückgehen, denken Sie also an das … Ich meine, Enrique, ob Sie zu diesem Zeitpunkt in der Zone waren, aber die DSGVO wurde 2012 vorgeschlagen, und wir wissen, dass sie 2016 verabschiedet wurde Diese vier Jahre, Datenschutz, war keine große Sache. Und wo es operierte, ging es hauptsächlich um Rechtsberatungsprozesse und die Papierschicht des Datenschutzes, also Verträge und Richtlinien, und Datenkarten auf der Rückseite des Umschlags. Viel mehr war da nicht drin.

Und dann kommen wir in die Bereitschaftsjahre der DSGVO, 2016 bis 2018. Und Unternehmen und andere Organisationen mussten dann Transformationsprogramme auf den Weg bringen. Und wieder, als ich in diesem Bereich beratend tätig war und nachschaute, waren viele Organisationen nicht so ausgereift in Bezug auf die erforderlichen Tools, die erforderlichen Methoden und wirklich das wahre Verständnis, das wir liefern mussten Geschäftstransformation bis hin zur Technologie und den Daten selbst. Also, der erste Punkt hier ist vier Jahre später, und wenn wir uns die DSGVO-Programme ansehen, was ist wirklich der Sinn des Spiels mit den Werkzeugen, die wir brauchen, den Methoden und wie sich die Dinge geändert haben könnten, oder tatsächlich mit dem Denken darüber Menschen haben um diese Dinge herum?

Enrique Angulo:

Ja. Ich kann das nehmen, wann immer Sie wollen, Stewart.

Stewart Room:

Ja, bitte, Enrique.

Enrique Angulo:

Nun, wie Sie bereits sagten, Stewart, ich denke, als Organisationen begannen, sich auf 2018 vorzubereiten, gab es nicht viel Raffinesse. Und viele der Ansätze, nun ja, wie sind wir mit früherer Compliance umgegangen? Und wie Sie sagen, ist es wahrscheinlich ein Formular auszufüllen, eine Checkliste zu erhalten, diese Dokumente irgendwo zu speichern, und das war’s. Und ziemlich genau, ich meine, ich denke, die Tools zu dieser Zeit waren nicht sehr ausgeklügelt, waren fast wie ausgefallene Tabellenkalkulationen oder ausgefallene Dokumente, aber es gab nicht wirklich etwas Cleveres. Ich denke, dass Unternehmen mit sign erkannt haben, dass es nicht nur um eine Checkliste oder die Aufbewahrung von Dokumentationen geht, sondern um ein ganzes Änderungsprogramm und ein Änderungsergebnis. Und deshalb sind die Anforderungen viel größer, und die Tools haben sich jetzt erheblich weiterentwickelt und sind in der Lage, diese Brücke zwischen der Compliance und den Rechtsfunktionen und dem Geschäft wirklich zu unterstützen, um tatsächlich damit zu beginnen, sich auf diese Weise zu verhalten.

Und ich denke, jetzt, vier Jahre später, gibt es wirklich keine Rechtfertigung für eine Organisation, für eine mittlere, große Organisation, nicht tatsächlich in ein Tool zu investieren, sei es OneTrust, TruSTART oder eines der anderen. Für den Vorteil, den diese Tools wirklich für die Organisation bringen, ist es wirklich ein Kinderspiel. Und sie sind jetzt wirklich gut entwickelt und gehen tatsächlich, wie wir später besprechen werden, in andere Bereiche, die mehr Wert hinzufügen.

Stewart Room:

Fantastisch, Enrique, tolle Übersicht. Also, Bradley, wir werden Sie dazu bringen, um ein bisschen weiter zu expandieren. Außerdem betrachten wir die sich ändernde Art der Toolsets, die wir benötigen, und wir können dies auf viele verschiedene Arten betrachten, von Methodik drei bis hin zu tatsächlichen GRC-Plattformen, wie die, die Enrique gegen Ende erwähnt hat. Das gesamte Spektrum an Werkzeugen und was benötigt wird, und unser Denken darüber, wo sind die Regulierungsbehörden jetzt dabei? Erwarten sie mehr Raffinesse? Wo fahren sie damit?

Bradley Tosso:

Recht. Ich denke, ich beginne mit einem Punkt, den Enrique gesagt hat, dass es jetzt offensichtlich keine Entschuldigung dafür gibt, sagen wir mal, dafür, dass Sie keine Maßnahmen ergriffen haben, natürlich im Einklang mit Ihrer Organisation, den relevanten Risiken und so weiter. In diesem Sinne kann es sozusagen ein bisschen weniger Flexibilität geben. Nun, wo wir vor vier Jahren waren, wo wir jetzt sind, nur um hervorzuheben, wie sich die Dinge geändert haben. Vor vier Jahren war der Datenschutz, insbesondere im Zusammenhang mit den DPO Breach Notifications, DPAAs und so weiter, für viele neu. Jetzt sind diese Maßnahmen in diese Organisationen eingebettet. Wir müssen erkennen, dass es in Bezug auf die Praxis eine sehr bedeutende Veränderung gegeben hat.

Allerdings entwickeln sich die Risiken, und das gehört zum Datenschutz und zur Flexibilität dazu, oder? Wir erwägen oder verwenden jetzt verschiedene Technologien. Auch wenn sich die Dinge verbessert haben, heißt das nicht, dass die Risiken gleich bleiben. Zum Beispiel erwägen wir jetzt, oder viele Organisationen verwenden KI oder versuchen vielleicht, sie zu verwenden. Hat die Verwendung, potenzielle Verwendung oder erhöhte potenzielle Verwendung von Biometrie, Gesichtserkennung, Fingerabdruckscannern usw. Es gibt eine große Verfügbarkeit in Bezug auf die Nutzung der Cloud, VTCs E-Learning und so weiter. So sieht es zunehmend so aus, dass es immer mehr technologische Produkte für Dienste gibt, die stark auf die Verarbeitung von Daten angewiesen sind. Es müssen sich also nicht unbedingt die Tools ändern, aber die Tools werden sich zunehmend weiterentwickeln. Und sagen wir, Entschuldigung, entwickeln Sie sich weiter und werden Sie anspruchsvoller.

Und in diesem Sinne spreche ich von den DPAAs, der Ressource des DSB. Vielleicht brauchen Sie heute aufgrund der Datenschutzrisiken nur ein Team, einen Datenschutzbeauftragten mit einem Team von einer oder zwei Personen. Wenn sich die Technologie weiterentwickelt und Ihre Nutzung der Technologie damit wächst, muss sich möglicherweise auch Ihre DPO-Ressource weiterentwickeln. In diesem Sinne denke ich, dass Rechenschaftspflicht in Bezug auf Brückenbenachrichtigungen, DPAAs, die DPO-Ressource und so weiter der Schlüssel ist. Das ist also nicht mehr neu, es ist eingebettet.

Aber in Bezug darauf, wie sich die Dinge ändern, ändert sich die Landschaft um uns herum. Und wir müssen uns im Einklang mit diesen Entwicklungen und Risiken in Bezug auf den Appetit, sagen wir, oder die Sicht der Aufsichtsbehörden weiter verändern und weiterentwickeln. Die Perspektive, die Enrique vor vier Jahren angesprochen hat, war vielleicht ein bisschen mehr Verständnis in Bezug auf den Übergang. Das wird nicht mehr angewendet.

Ich würde auch hinzufügen, dass Sie das sehen werden, oder was Sie wahrscheinlich sehen, ist eine verstärkte Zusammenarbeit auf der ganzen Welt in Bezug auf die Zusammenarbeit von Datenschutzbehörden bei der Bewältigung globaler Probleme. Und Sie sehen dies nicht nur im Zusammenhang mit dem EDPB, Sie haben dies auch im Zusammenhang mit der kürzlichen Zusammenarbeit von ICO und der australischen DPA in Bezug auf Clearview gesehen. Der entscheidende Punkt, den ich hinzufügen möchte, ist also, dass die Regulierungsbehörden zunehmend international zusammenarbeiten, und dass diese Praxis in den nächsten Jahren wahrscheinlich an Dynamik gewinnen wird.

Stewart Room:

Nun, lass uns gleich darauf zurückkommen, Bradley, woher die Impulse und Treiber kommen. Aber im Wesentlichen in Bezug auf die Werkzeuge, die wir verwenden können, ist Ihre zentrale Aussage, dass sie 2018 da waren, sie entwickeln sich weiter. Und während wir unsere Datenverarbeitungsaktivitäten weiterentwickeln, sollten Sie sich der Notwendigkeit von Tools bewusst sein, die uns durch die Compliance-Agenda bringen, die sie umgibt. Aber im Wesentlichen sind sie da, wo sie präsent waren. Wir müssen sie wahrscheinlich nur übernehmen und sie besser, vielleicht effizienter, nutzen.

Lassen Sie uns jedoch in der nächsten Ausgabe über Prioritäten sprechen. Ich denke, das könnte für die Leute ziemlich interessant sein. Wenn wir uns diese Ära der DSGVO-Bereitschaft von 2016 bis 2018 ansehen, meine ich, die Erfahrung, die ich gemacht habe, und zu dieser Zeit habe ich mich im Wesentlichen in einer Big-Four-Umgebung darüber beraten, ist, dass ich zwei Arten von Unternehmen gesehen habe. Es gab Unternehmen, die einen programmatischen Ansatz in dem Sinne verfolgten, dass Sie Unternehmen auf folgende Weise transformieren. Und dann gab es Unternehmen, die im Wesentlichen einen rechtlichen Compliance-Ansatz verfolgten, was die DSGVO-Liste mit einer ganzen Reihe von Ergebnissen darstellt. Und wir würden uns einfach durchpflügen und versuchen, so viele von ihnen vor dem Ende der zweijährigen Resonanzperiode abzuhaken. Daher lauteten die Prioritäten für viele Organisationen beispielsweise, dass ich eine DSFA benötige. Zum Beispiel brauche ich eine Datenkarte. Zum Beispiel muss ich einen Datenschutzbeauftragten ernennen. Und diese Dinge waren sehr stark in den spezifischen Anforderungen der Gesetzgebung verankert.

Wenn wir uns jetzt die DSGVO live ansehen, hat sie eine vierjährige Live-Umgebung, und wir beginnen zu verstehen, dass all diese Dinge, wie Artikel 30 und Artikel 25, sich an den Kontext und die Szenarien anhängen müssen, die wichtig sind, wo wir hingekommen sind bis jetzt in Bezug auf die Wahrnehmung der Prioritäten für diese DSGVO-Programme? Sind die Prioritäten Datenkartierung oder sind die Prioritäten beispielsweise thematischer? Wir machen uns Sorgen um Kinder. Wir sind besorgt über das Wachstum der KI. Wir machen uns Sorgen um die Kurvenbälle, die vom EuGH kommen. Was ist mit Prioritäten, Enrique? Wo stehen wir Ihrer Meinung nach in Bezug auf die Prioritätenverschiebung, wenn überhaupt?

Enrique Angulo:

Ja. Nun, ich meine, eines der Dinge, die Sie erwähnen, ist, ja, ich glaube, die Leute waren besorgt oder ihre Prioritäten tickten diese Dinge und sagten: „Richtig. Haben wir ein [unverständliches 00:21:31]? Ja. Haben wir eine DPIH-Vorlage? Ja. Okay, großartig. Wir sind konform.“ Und dann, aber was wird in einem Monat passieren? Was wird in einem Jahr passieren? Und es gab viele, viele Situationen. Ich bin in viele Unternehmen gegangen, die in der dritten Iteration waren, und versuchte zu sagen: „Okay, weißt du was? Wir waren vor einem Jahr konform, aber jetzt scheint alles auseinander zu fallen. Was ist los?“ Sie haben die Änderung nie wirklich umgesetzt. Sie haben diese Datenschutzprozesse nie wirklich in die BAU-Prozesse eingeführt.

Also verschieben sich die Prioritäten plötzlich und sagen: „Oh, richtig, okay. Wir können also nicht wirklich konform sein, indem wir einen Datenschutzbeauftragten und eine Datenschutzfunktion haben. Nein, wir müssen jetzt mit dem Unternehmen zusammenarbeiten, und das Unternehmen muss funktionieren mit uns. Und wir müssen sicherstellen, dass sie uns mit Informationen versorgen, dass sie wissen, was zu tun ist, und wissen, wohin sie gehen müssen, wenn wir tatsächlich etwas anfordern.“ Es ist also eher ein Anstoß des Unternehmens als eine zentrale Funktionsbündelung. Das meine ich also mit einer Kultur der Privatsphäre, der Einbettung einer Kultur der Privatsphäre. Also, das ist, wo ich denke, dass die Verschiebung gegangen ist.

Auch wenn die Themen, die Sie über KI und Kinderprogrammierung und all das ansprechen, das zugrunde liegende Prinzip, dass Sie diese Fähigkeiten in Ihrem Unternehmen haben müssen, wahrscheinlich nicht geändert haben. Das testet dich jetzt tatsächlich und sagt, warum? Sie müssen sich jetzt ansehen, wie Sie KI implementieren oder was mit KI zu tun ist. Was tun, wenn Sie an Kinder verkaufen? Wenn Sie Programmierer sind und Produkte für Kinder entwickeln, gibt es einige Richtlinien. Aber es ändert nichts an den Prinzipien. Es geht nur darum, Ihre Prinzipien in neuen Bereichen zu testen, von denen erwartet wird, dass sich dies ständig weiterentwickeln wird.

Stewart Room:

Im Wesentlichen, Enrique, werde ich die Frage an Sie etwas ändern, Bradley, aber im Wesentlichen geht es Ihnen darum, dass das, was wir tatsächlich in Bezug auf gelebten und atmenden Datenschutz aus unseren Programmen liefern müssen, sich an den Kontext anpassen würde. Wenn sich also der Kontext ändert, sollten wir durch unser Programm bereit sein, die Änderung zu absorbieren und agil zu sein. Und so, Bradley, denken wir über diesen Haken nach und kommen in dein Denken.

Hier ist mein Fazit zu Prioritäten und der Fähigkeit von Programmen, agil zu sein. Wir nehmen nur ein Zweijahresfenster von Anfang 2020 bis Anfang 2022. Ich erinnere mich, dass wir ganz Anfang 2020, im Januar, eine große Panik in Bezug auf AFR, automatisierte Gesichtserkennung und den Satellitenbereich hatten KI. Und dann, ab März, gerieten wir in eine Notsituation im Bereich der öffentlichen Gesundheit, die zwei echte Datenschutzprobleme aufwarf: Virenkontrolle, also Kontaktverfolgung usw., soziale Verfolgung und WFH, Arbeit von zu Hause aus. Also gingen wir in eine Notphase. Und jetzt, so scheint es, wird das, was in den letzten Monaten vor sich ging, immer legalistischer im Fokus, wie werden wir unsere TRAs fertigstellen? Wie werden wir unsere neuen Mobilklauseln umsetzen? Sie sehen also diese Fokusverlagerung, harte Technologie, öffentlicher Notstand, wieder legalistisch. Was denken Sie über Prioritäten und die Fähigkeit von Programmen, mit Veränderungen umzugehen?

Bradley Tosso:

Okay. Ich denke, die Art und Weise, wie sich die regulatorischen Prioritäten und eigentlich die ganze Welt an die Pandemie angepasst haben, ich denke, es ist eine Stärke aller, dass wir an einem Strang ziehen und uns darauf konzentrieren konnten. Sie haben Recht, wenn Sie sagen, dass die Regulierungsbehörden in der Lage waren, offensichtlich, sagen wir mal, gemeinsam an diesem Thema zu arbeiten, wo wir alle unser kollektives Wissen, unsere Erfahrung und unsere Ressourcen über die Plattform der Global Privacy Assembly eingebracht haben. Und dies war ein lebendiges Dokument, in dem Sie sahen, wie verschiedene Regulierungsbehörden zur, sagen wir, sicheren Nutzung von Daten im Kontext der Pandemie beitrugen. In gewisser Weise wurden also offensichtlich viele Ressourcen in diesen Bereich gesteckt, was bedeutet, dass andere Bereiche, die, sagen wir, bereits hervorgehoben wurden, in gewissem Maße auf Eis gelegt wurden, Sie werden natürlich weiter daran arbeiten . Und das ist ein Beispiel, wenn wir uns zum Beispiel auf Adtech konzentrieren oder darüber nachdenken, hat das ICO einen Bericht, einen sehr detaillierten Bericht, über den Sektor veröffentlicht, aber offensichtlich hatten andere Veranstaltungen Priorität.

Ich denke, es ist wichtig, dass Organisationen immer auf die Prioritäten der Regulierungsbehörden achten. In diesem Sinne haben wir natürlich gesehen, schauen wir uns noch einmal den EU-Kontext an, wir haben gesehen, dass eine Stellungnahme oder Anleitung in Bezug auf die Gesichtserkennung veröffentlicht wurde. Das war schon immer da. Offensichtlich haben andere Ereignisse übernommen, aber das war schon immer da. Und jetzt sehen wir, wie es sozusagen wieder in den Mittelpunkt rückt. Also die Diskussion dazu. Es gibt auch Diskussionen über internationale Datenübermittlungen, offensichtlich im Zusammenhang mit den jüngsten Ereignissen. Daher müssen Organisationen auf diese Themen aufmerksam sein. Und wenn Sie Gesichtserkennung verwenden, wenn Sie Daten international übertragen, müssen Sie entsprechend reagieren.

Nun, die zugrunde liegende Maßnahme, die dafür wesentlich ist, ist der DSB. Nach dem, was wir sehen, hatten, wie ich bereits sagte, viele Organisationen vor vier Jahren nicht unbedingt einen Datenschutzbeauftragten. Jetzt tun sie es. Ich möchte nicht glauben, dass wir damit fertig sind. Die Ressourcen des Datenschutzbeauftragten und die Position des Datenschutzbeauftragten in dieser Organisation müssen weiter gestärkt werden. Was die Prioritäten anbelangt, denke ich also, dass der DSB eine grundlegende Rolle spielt und, sagen wir, ein Eckpfeiler dieses Regimes ist, das weiterhin Priorität haben muss. Denn über den Datenschutzbeauftragten oder durch den Datenschutzbeauftragten werden viele Organisationen in der Lage sein, die vor ihnen liegenden Komplexitäten zu meistern.

Stewart Room:

Ja, ich habe es, Bradley. Nochmals, es ist ein ähnlicher Punkt, nicht wahr, wie bei Enrique, nämlich, dass wir uns der Situation bewusst sein müssen. Wir müssen verständnisvoll sein und ständig den Kontext ändern. Aber Enrique brachte die Idee des Champions hervor. Sie haben die Idee des Datenschutzbeauftragten herausgebracht, dass Sie diese Ankerspieler hier im Programm haben und uns im Rahmen eines Programms, das alle Grundlagen erfüllt, durch Prozesse und Agilität in den Kontext bringen, den wir ansprechen müssen von Zeit zu Zeit. Und sie wechseln thematisch.

Enrique Angulo:

Und Stewart, ich weiß, denken Sie daran, dass der BIP so ziemlich ein Risiko ist, es gibt einen risikobasierten Ansatz. Es hängt also davon ab, in welcher Organisation Sie arbeiten und was sie tun. Wenn Sie also eine Online-Marketing-Agentur sind, ist Ihre Adtech, die mit der Adtech konform ist, ein absolutes Muss, ob Sie vielleicht in einer Sicherheitsarbeit sind, es geht um die Gesichtserkennung, all das. Sie werden also offensichtlich verstehen, wie stark Sie einem gewissen Risiko ausgesetzt sind, und sollten Ihre Ressourcen darauf konzentrieren, wo Ihr höheres Risiko liegt.

Stewart Room:

Ja. Ich stimme vollkommen zu. Ich stimme vollkommen zu. Nehmen wir jetzt einen anderen Blickwinkel. Wir bekommen einige wirklich gute Fragen durch. Wir wollen ihnen ein wenig Zeit widmen. Aber bevor wir darauf eingehen, möchte ich mir andere Treiber für Programme ansehen. Es wäre nicht fair zu sagen, dass am 25. Mai 2018 die einzige Show in der Stadt, die für den Umgang mit personenbezogenen Daten relevant war, die DSGVO war. Aber es war das einzige Gespräch, das wir hatten. Vier Jahre später gibt es Fragezeichen über seine Wirksamkeit. Und Bradley, ohne jegliche Abwertungen, stellt sich die Frage nach der Wirksamkeit der Regulierungsbehörden innerhalb dieses Systems.

Aber wir sehen jetzt auch andere Inhaber von Datenschutz oder Themen, die sich fast ausschließlich im Bereich der DSGVO und der Regulierungsbehörden befinden. Die ESG-Agenda ist also … Wir haben 2018 nicht über ESG gesprochen, und es ist jetzt so riesig. Und das schien zumindest menschenrechtliche Aspekte des Datenschutzes zu umfassen. Oder die Wettbewerbsseite, wo wir beispielsweise im Vereinigten Königreich gesehen haben, dass die Wettbewerbs- und Marktbehörde im Wesentlichen für den Entwicklungsprozess des regulatorischen Fokus verantwortlich ist, die Prüfung rund um die Google-Datenschutz-Sandbox. Wir haben diese verschiedenen Dinge, die die Agenda beherrschen. Und dann, Bradley, die Idee der Datenschutzaktivisten wie NOYB, NOYB, Max Schrems, die massive regulatorische Auswirkungen haben. Was halten wir von diesen Ideen, dass es diese anderen Treiber für unsere Programme gibt, die nicht einfach das sind, was die DSGVO sagt? Und wie passen wir diese an und berücksichtigen sie bei der kontinuierlichen Verbesserung unserer Programme? Also Enrique, irgendwelche Gedanken dazu? Und es kann tatsächlich keinen Unterschied machen. Die Antwort könnte sein, dass die DSGVO wieder alles abdeckt, wir müssen nur flexibel sein.

Enrique Angulo:

Es könnte sein. Ich denke, dass die DSGVO viele andere Regulierungsbehörden berührt hat. Es ist also nur fair, dass dann tatsächlich andere Vorschriften oder Compliance die DSGVO-Diskussion berühren und beeinflussen, was großartig ist. Ich finde das absolut fantastisch. Und ich denke, für mich ist eines der Dinge, die sich an den Treibern geändert haben, der Versuch, … Mein Ansatz ist der Versuch, den Datenschutz zu nutzen, ihn von einer Defensive in ein tatsächliches Offensiv- oder Wertbeitragsangebot für die Organisation zu bringen.

Was meine ich damit? Wenn Sie wirklich ein starkes Programm aufgebaut haben und Ihre Struktur, Ihre Mitarbeiter und Ihre Governance dort haben, dann fangen Sie wirklich an, die Nutzung von Daten zu maximieren. Sie können das also erweitern, denn Sie wissen, welche Daten Sie verwenden, Sie wissen, wo Sie sie haben, Sie wissen, wo sich die Sicherheitsfunktionen befinden. Sie können jetzt damit beginnen, den breiteren Aspekt des Datenmanagements und der Datenverwaltung zu erforschen und zu erweitern und der Organisation wirklich mehr Wert zu verleihen. Viele dieser anderen Programme, die ESG, die Sie zum Beispiel erwähnt haben, sollten sie füttern. Einer ihrer Feeds ist das, was wir für den Datenschutz eingerichtet haben. Sie müssen also sicherstellen, dass Sie… Woher bekommen Sie Ihre Daten? Wie ist die Qualität Ihrer Daten für Ihr ESG, den sozialen Aspekt? Nun, ich meine, wie sammeln Sie eigentlich Informationen zur ethnischen Zugehörigkeit oder sensible Informationen, und wie gehen Sie damit um? All diese Dinge bauen also einfach auf Ihren Stärken Ihres DSGVO-Programms auf.

Stewart Room:

Ja. Ich habe es. Also, Bradley, was denkst du dann? Ich meine, wohin Enrique geht, ist es derselbe Punkt, an dem ein gut konzipiertes, flexibles, pragmatisches und ordnungsgemäß verwaltetes DSGVO-Programm diese anderen Treiber sowieso erfassen wird. Aber was halten Sie von all dem? Glaubst du, das ist richtig? Oder könnten einige dieser neuen Treiber die Art und Weise, wie wir mit unseren Programmen umgehen, grundlegend verändern? Und hier ist eine Frage, die reingekommen ist, Bradley, vielleicht könntest du sie von einem der Zuschauer hier aufgreifen. Sollte unsere Priorität auch die Überprüfung der ethischen Verwendung von Daten umfassen? Das ist hier Teil der ESG-Agenda. Ist Ethik also Teil der DSGVO? Und wenn nicht, ist es etwas, das in den Geltungsbereich gebracht werden muss? Also, rüber zu dir. Große Frage.

Bradley Tosso:

Okay. Ja. Ich werde versuchen, sie so gut wie möglich zu beantworten. Recht. Okay. Wenn wir vor vier Jahren einen Schritt zurücktreten, konzentrierte sich die Diskussion offensichtlich auf die DSGVO oder einen großen Teil dieser Diskussion. Jetzt, wo diese Diskussion stattfand, drehten sich sozusagen viele Schlagzeilen um die Bußgelder. Ich denke, darauf können wir uns alle einigen. Nun, die damaligen Bußgelder, aus welchen Gründen auch immer, ich nehme an, es ist der einfachere Weg, die Änderung auf greifbare Weise zu erklären, oder? Die Bußgelder sollen von der Einhaltung abhalten. Und offensichtlich war es ein Schlüsselfaktor, um die bevorstehende Veränderung hervorzuheben. Die Bußgelder bleiben bestehen. Und in diesem Zusammenhang denke ich, dass es wichtig ist, darauf hinzuweisen, dass es in der Vergangenheit oder in den letzten Monaten und im vergangenen Jahr einen deutlichen Anstieg der Beschleunigung in Bezug auf die Durchsetzung gegeben hat.

Stewart Room:

Ich stimme zu.

Bradley Tosso:

Ich denke jedoch, dass sich die Erwartungen der Verbraucher in den letzten Jahren beispielsweise durch Sensibilisierung verändert haben, was auch zu einer, sagen wir, größeren Selbstbestimmung des Einzelnen geführt hat. Weil sich ihre Erwartungen geändert haben, verlangen sie mehr von Organisationen, richtig?

Stewart Room:

Recht.

Bradley Tosso:

Und dies, so denke ich, wurde nach dem, was wir sehen, durch einen Anstieg der Zahl der Beschwerden verdeutlicht. Und andere Datenschutzbehörden werden dasselbe sagen. Wir haben uns also von einer Situation in ein Szenario bewegt, in dem ich denke, dass Privatsphäre und Datenschutz von den Verbrauchern geschätzt und anerkannt werden und sie daher mehr von Organisationen erwarten. Vertrauen und Reputation werden dadurch immer mehr zu zentralen Treibern. Denn es gibt eine Veränderung in der Einstellung und im Verhalten von Individuen. Und deshalb wird dies, denke ich, neben den Bußgeldern immer mehr zu einem wesentlichen Treiber. Die Bußgelder werden, glaube ich, nicht wegfallen. Das ist ein wichtiger Treiber. Aber ich denke, dass das Element Vertrauen und Reputation im weiteren Verlauf immer wichtiger werden wird.

Nun, in Bezug darauf, wie sich der Datenschutz, sagen wir mal, mit anderen Rechtsbereichen überschneidet oder, sagen wir, eingreift. Nochmals, wenn wir den Kontext betrachten, macht dies tatsächlich Sinn. Denn während vor 10, 15 Jahren einige Unternehmen, einige Branchen nicht stark auf Daten angewiesen waren und nur sehr wenige Daten verarbeiteten. Heute verarbeiten sie aufgrund der technologischen Entwicklung und der damit verbundenen Möglichkeiten riesige Datenmengen. Also Daten, die früher nicht Teil des Gesprächs waren oder, sagen wir, hinter den Kulissen waren, stehen jetzt im Mittelpunkt. Und Daten sind zu einem wichtigen Teil des Gesprächs geworden. Aus diesem Grund arbeiten Datenschutz- und Datenschutzbehörden aufgrund der Bedeutung von Daten zunehmend mit anderen sektoralen Aufsichtsbehörden zusammen.

Bedeutet dies, dass sich der Fokus ändert? Ich glaube nicht, dass sich das zwangsläufig ändern wird. Aber es zeigt nur, wie sich der Kontext geändert hat, wo die Datenposition früher hinter der Bühne war, jetzt ist sie im Mittelpunkt. Und jetzt, mit jedem neu entstehenden Gesetz, wird der Datenschutz Teil dieser Konversation. Und um nur zu reflektieren oder zu veranschaulichen, wie sich das geändert hat, sehen Sie zunehmend Absichtserklärungen zwischen der Datenschutzbehörde und den anderen sektoralen Regulierungsbehörden. Wir haben das Gleiche vor Ort getan, wo wir uns in laufenden Gesprächen mit der Finanzdienstleistungsaufsicht befinden, aber wir haben auch eine Absichtserklärung mit dem Glücksspielbeauftragten. Ich denke also, dass das zunehmend der Fall und sozusagen die Norm werden wird, weil sich der Kontext geändert hat.

Stewart Room:

Vielleicht wir-

Bradley Tosso:

Das letzte Ding-

Stewart Room:

Mach weiter, Bradley.

Bradley Tosso:

… in Bezug auf die ESG-Agenda finde ich, dass sie den Datenschutz und die Privatsphäre ergänzt, weil der Fokus auf Nachhaltigkeit und Governance liegt. Und Governance und Datenschutz sind sehr wichtig. Und in Bezug darauf, wie Ethik ins Spiel kommt, und ich denke, es gibt eine schöne Überschneidung mit Fairness, mit dem Prinzip der Fairness. Ich denke also noch einmal, es gibt Überschneidungen und es gibt ein Element unterschiedlicher Regime, die sich gegenseitig ergänzen.

Stewart Room:

Ja. Bradley, ich meine, nehmen Sie einfach einige dieser Punkte in umgekehrter Reihenfolge, alle bis auf die beiden wichtigsten. Ich meine, wir haben immer diese Herausforderung, den Unterschied zwischen Recht und Ethik. Aber das Datenschutzregime ist ein Regime, das Grundrechte und -freiheiten widerspiegelt, was im Wesentlichen unsere ethischen Standpunkte widerspiegelt. Und dann wird es in Vorschriften kodifiziert. Es ist sozusagen eine klassische Verschmelzung von Ethik und Recht auf einer Seite. Nun, es ist offensichtlich viel mehr als eine Seite.

Zu Ihrem anderen wesentlichen Punkt hier, ich meine, es ist die zentrale Bedeutung dessen, worüber wir hier sprechen, nämlich, dass die DSGVO im Wesentlichen ein Gesetz ist, das repräsentativ für den menschlichen Zustand ist, die menschliche Erfahrung. Es geht um uns. Es geht um Menschen. Wir lenken absichtlich alle anderen Rechtsgebiete, weil Menschen Menschen regulieren. Daher ist es nicht verwunderlich, dass die ESG-Agenda in einem modernen digitalen Umfeld sozusagen den Datenschutz, die Verwendung personenbezogener Daten in einem technologischen Kontext, genauso wie die DSGVO umfassen könnte. Ich finde, du hast es absolut auf den Punkt gebracht. Es ist diese Zentralität des Fokus auf den Menschen, die ihn in jeden Container bringt, den Sie jemals finden könnten. Und das sehen wir natürlich immer wieder im Arbeitsrecht. DSARs werden zu einem Brennpunkt von Arbeitsstreitigkeiten, es ist alles da.

Lassen Sie mich nur einige Fragen von den Zuschauern aufgreifen. Wir haben hier einige gute Fragen, einige wirklich praktische, und wir sind in den letzten 10 Minuten. Enrique, in Bezug auf das Tagesgeschäft, okay?

Enrique Angulo:

Recht.

Stewart Room:

Gibt es Überlegungen zur Integration der Datenschutzanforderungen in mehrere Systeme? Was ich denke, was der Betrachter fragt, ist, wie wir die Datenschutzgrundsätze der DSGVO auf Papier und buchstäblich in diese zahlreichen Systeme um uns herum bekommen und das im Alltag zum Laufen bringen? So. Wie bekommen wir es in die Dose?

Enrique Angulo:

Ja. Gut. Lassen Sie mich zunächst sagen, dass viele Organisationen von Anfang an sehr aufgeregt sind und sagen: „In Ordnung, wir werden hier eine Menge Technologielösungen einsetzen und alles integrieren , und wir wollen …“ Und normalerweise sind diese Programme so umfangreich, dass sie nie wirklich zum Tragen kommen. Sie dauern zu lange. Was Sie sich also wirklich ansehen müssen, sind die Prozesse, die bereits in Ihrem Unternehmen vorhanden sind und auf die Sie zurückgreifen können? Und das ist der beste Weg, um mit der Einbettung Ihrer Datenschutzprozesse in die BAU zu beginnen. Sobald Sie anfangen, das zu nutzen, was bereits vorhanden ist, bauen Sie darauf auf.

Wenn Sie als Unternehmen reifen, können Sie dann damit beginnen, dies zu optimieren, indem Sie integrieren, möglicherweise automatisierte Datenerkennung und all das verwenden. Aber was ich sage ist, konzentriere dich nicht auf das alles, lass uns ein ganz neues Spielzeug und Gadgets hineinwerfen, weil es uns gefügig machen wird. Das funktioniert normalerweise nicht. Beginnen Sie mit dem, was Sie haben, und bauen Sie darauf auf. Und Sie werden sehen, dass es nach dem Start besser ist, einfach ein vorhandenes zu verwenden und dann einen Prozess durchzuführen. Und das löst dann einen Datenschutz-Trigger aus, als einen zusätzlichen Prozess mit einem Datenschutz in einen anderen Bereich überlagern zu müssen. Das erzeugt normalerweise ein “Oh, stimmt, das ist zusätzlicher Arbeitsaufwand.” Aber wenn Sie bereits etwas tun, und ich muss nur eine Datenschutzfrage stellen, ist das für das Unternehmen viel einfacher, es tatsächlich in den täglichen Betrieb zu implementieren.

Stewart Room:

Ja. Enrique, ich dachte eigentlich, vielleicht lautet die Antwort für diesen armen Zuschauer, sehr scharfsinnigen Zuschauer, ist es wirklich einfacher gesagt als getan. Denn am Ende des Tages, wenn Sie sich den Bereich des Geschäfts von der obersten Schicht der Menschen bis zur Papierschicht, der Technologie- und Datenschicht ansehen, und dann die physische Schicht, je größer Sie werden, desto schwieriger ist es, nicht wahr? Lassen Sie mich Bradley hereinbringen. Ich denke, das ist eine gute Frage, die man einer Aufsichtsbehörde stellen sollte. Denn ich denke, das ist das Thema, das man im Grunde jeden Tag ausgleichen muss. Es kommt von einem der Zuschauer hier. Ist eine vollständige Einhaltung der DSGVO möglich, eine vollständige Einhaltung der DSGVO, ist das möglich? Und die Zuschauer sagen, gerade auch unter Berücksichtigung von Trends, was meiner Meinung nach so sein könnte, am Ende des Tages können wir einige der EDV-Anforderungen nicht mit der aktuellen Situation vor Ort in den USA verrechnen. Als Aufsichtsbehörde müssen Sie sich ständig damit auseinandersetzen. Also, was ist Ihre Perspektive dazu?

Bradley Tosso:

Recht. Ich denke, als Idee möchten Sie eine vollständige Einhaltung anstreben. Aber in der Praxis wird das natürlich sehr, sehr, sehr schwer. Denn selbst wenn Sie heute vollständig konform sind, werden Sie morgen möglicherweise nicht mehr vollständig konform sein, wenn sich die Umstände um Sie herum ändern, nur weil Sie Ihre Vorgehensweise optimiert haben. Der Punkt, den Enrique zuvor angesprochen hat, und in Bezug auf Werkzeuge ist ein Computer oder Werkzeug nur so gut wie die Person, die es benutzt. Es geht also nicht nur darum, einen Computer oder ein Werkzeug zu kaufen. In Bezug auf die Priorisierung und Fokussierung auf Compliance versuchen wir, uns immer darauf zu konzentrieren, dass es um Risiken geht. Versuchen Sie zunächst, die Bereiche mit höherem Risiko in Ihrer Organisation zu identifizieren, konzentrieren Sie sich auf diese und arbeiten Sie dann an den anderen Bereichen.

Zwei einfache Tipps, wie Sie das tun können, sind zunächst einmal: Konzentrieren Sie sich auf die sensibleren Daten, z. B. die besonderen Datenkategorien, kriminelle Daten. Arbeiten Sie an diesen und fahren Sie dann mit den anderen fort. Das ist nur ein Indikator. Aber der andere In-Indikator ist die Arbeit an der Lautstärke. Was ist das größte Datenvolumen, welche Datensätze? Daran arbeiten wir. Und dann geht es weiter mit den anderen Bereichen. Und wenn Sie diesen Ansatz verfolgen, können Sie einer Aufsichtsbehörde zumindest nachweisen, dass Sie auf etwas hinarbeiten, das selbst dann, wenn ein Verstoß festgestellt wird, als mildernde Wirkung dient. Vergessen wir nicht, dass die Vielzahl der Fälle sozusagen nicht mit einem Bußgeld endet. In diesen Fällen zeigt die Organisation offensichtlich, dass sie versucht, die Vorschriften einzuhalten oder anderweitig Korrekturmaßnahmen umzusetzen. Und ich denke, das ist ein wichtiger Punkt. Schließlich denken Sie in Bezug auf die Einbettung an Privacy by Design, versuchen Sie, den Datenschutzbeauftragten so schnell wie möglich einzubeziehen, wenn Sie tatsächlich ein neues Tool oder System entwickeln.

Stewart Room:

Fantastisch, Bradley. Nein, ich stimme vollkommen zu. Ich meine, selbst die neuesten EDV-Richtlinien zu den Bußgeldern des Ministeriums weisen auf dieses Dilemma hin, in dem wir uns befinden. Und es ist ein Dilemma, dass wir eine Menge erreichen müssen. Aber es gibt Dinge, die potenziell größere Auswirkungen haben als andere. Und es ist wirklich wichtig, den letzten Punkt, den Sie betonen, nämlich, ja, ich meine, mit wie vielen Datenschutzproblemen befassen sich die Regulierungsbehörden weltweit rund um die vielen … Fast unzählige. Und doch, wie viele verwandeln sich in diese echten … Die Regulierungsbehörde wird alle Abschreckungs-, Diskoordinations- und Disziplinierungsmechanismen einsetzen müssen. Und es sind verhältnismäßig sehr, sehr wenige, was darauf hindeutet, dass das Regulierungssystem ausgewogen ist. Einige Leute mögen argumentieren, dass das Gleichgewicht nicht in der richtigen Weise ist, aber das ist ein anderer Punkt. Aber da ist Gleichgewicht.

Also, meine Herren, wir haben noch zwei Minuten. Das ist es. Weiter geht es nicht, denn als nächstes kommen tolle Leute. Sie haben also etwa 40 Sekunden, jedes K, jeder im Publikum hier, vier Jahre später, der sich Ihr Programm ansieht, was sollten sie tun und zurücknehmen, um es relevant und frisch zu halten?

Enrique Angulo:

Recht. Gerade jetzt, wo so viele internationale Regulierungsbehörden herauskommen, denke ich, dass Sie einen starken Rahmen aufbauen müssen, der Ihre Richtlinie für Ihre Organisation sein wird, aber diesen Rahmen auch flexibel gestalten müssen, damit sie sich an lokale Unterschiede anpassen können. Das ist der Schlüssel, wenn Sie von nun an mit multinationalen Organisationen zu tun haben.

Stewart Room:

Fantastisch, Enrique. Hat es übertroffen. Bradley, ein paar Sekunden für Sie, Sir.

Bradley Tosso:

Ja, aufbauend auf dem, was Enrique gesagt hat, denke ich, dass Organisationen verstehen müssen, dass Sie, wenn Sie in der digitalen Wirtschaft erfolgreich sein wollen, Ihren Ruf aufbauen und schützen müssen, dieses Vertrauen aufbauen müssen. Das ist meiner Meinung nach eine Voraussetzung, um in Zukunft erfolgreich zu sein. Andernfalls wird der Wert Ihrer Marke, Ihres Unternehmens dadurch beeinträchtigt. Als Teil dessen, wie Sie dies tun können, denke ich noch einmal, konzentrieren Sie sich auf den Datenschutzbeauftragten und stellen Sie sicher, dass Sie sich mit dem Datenschutzausschuss befassen.

Stewart Room:

Fantastisch, Bradley. Auch tolle Tipps. Also, meine Herren, kann ich Ihnen ganz herzlich für Ihre heutige Teilnahme, Ihre großartigen Ideen, Ihre Weisheit und das Teilen Ihrer Erfahrungen danken. Es war wirklich wertvoll. Ich habe viel gelernt. Ich bin sicher, alle Zuschauer haben das auch. Wir werden jetzt pünktlich zu Rob zurückkehren, der in der Lage sein wird, die Sitzungen voranzubringen. Rob zurück zu Ihnen, Sir.

Robert Bateman:

Vielen Dank Steward. Gut gemacht. Wunderbare Diskussion dort. Wirklich ein Privileg, die Einsichten solcher Experten, Profis zu haben. Es ist faszinierend, wie sich die unterschiedlichen Einstellungen von Organisationen zu Beginn der Implementierungsphase im Laufe der Zeit ausgewirkt haben. Und dort eine gute Diskussion darüber, ob eine vollständige Einhaltung wirklich möglich ist oder ob es etwas ist, auf das man bei all den Veränderungen, die sich in diesem Bereich täglich ändern, immer hinarbeiten sollte. Als nächstes haben wir in 10 Minuten eine von OneTrust, GDPR, Four Years On, gesponserte Sitzung. Und das mit dem leitenden Lösungsingenieur bei OneTrust. Es lohnt sich, das anzuschauen. Kommen Sie also bitte in 10 Minuten um 13:00 Uhr britischer Zeit hierher zurück.