Internationale Datenübertragungen: Die größte DSGVO-Compliance-Herausforderung

 

Transkription – 

Robert Bateman:

Hallo. Willkommen zurück zu PrivSec Focus GDPR Four Years on. Ich bin Robert Bateman, Head of Content hier bei GRC World Forums und Ihr Gastgeber für diesen Nachmittag. Jetzt haben wir ungefähr die Hälfte des Tages hinter uns, zwei Sitzungen verbleiben noch. Nur eine kurze Erinnerung, dass wir heute [unverständlich 00:00:44] die PICCASO Privacy Awards verliehen haben. Wir freuen uns sehr über diese Preisverleihung. Wir produzieren in Zusammenarbeit mit Privacy Culture und PICCASO, einer gemeinnützigen Organisation. Weitere Informationen hierzu finden Sie auf der Website piccasoprivacyawards.com. PICCASO wird in diesem Fall mit zwei Cs und einem S geschrieben. Die Nominierungsfrist endet am 26. August, und am 8. Dezember findet in London eine Zeremonie statt.

Lassen Sie uns jetzt zu unserem nächsten Panel übergehen. Diese Sitzung wird von unseren Freunden bei OneTrust gesponsert und es geht um internationale Datenübertragungen, die die größte Herausforderung bei der Einhaltung der DSGVO darstellen könnten. Gastgeber ist Yasmin Hinds, Global Privacy Lead und Rechtsberaterin bei Pontoon Solutions.

Nun zu dir, Yasmin.

Yasmin Hinds:

Guten Tag und guten Morgen an alle, die heute dabei waren. Ich freue mich sehr, über dieses Thema zu sprechen. Dies ist ein Thema, das mir sehr am Herzen liegt und für viele von ihnen Teil der Podiumsteilnehmer sein wird. DSGVO, die Compliance-Herausforderung, mit Blick auf die internationalen Datenübertragungen werden wir analysieren, wie sich das auswirkt, wie wir rechenschaftspflichtig bleiben und was wir tun können, um die Einschränkungen dieser Herausforderungen zu mindern und zu bewältigen.

Zu mir gesellen sich heute einige absolut erstaunliche Diskussionsteilnehmer, die ausführlich darüber sprechen werden, wie wir uns dafür einsetzen und darauf hinarbeiten können, das bestmögliche Maß an Compliance zu erreichen. Die Panelisten möchte ich Ihnen jetzt ohne Umschweife vorstellen, und hoffentlich sollten sie jetzt auch auf dem Bildschirm erscheinen.

Nun, das sind alles sehr angesehene und sehr glaubwürdige Personen und Redner mit ihren eigenen Rechten, also werde ich sie einfach nur namentlich vorstellen und ihnen erlauben, der Reihe nach mehr darüber vorzustellen, wer sie sind und was sie sind tun sie. Wir haben Professor Romeo. Wir haben Laurence. Wir haben Emma und Josef. Ich würde Sie fragen, ob Sie sich vorstellen könnten, damit die Anwesenden etwas mehr über Sie erfahren.

Emma Martins:

Wen willst du zuerst, Yasmin?

Yasmin Hinds:

Es tut uns leid?

Emma Martins:

Wen willst du zuerst? Also reden wir nicht übereinander.

Yasmin Hinds:

Ich werde dich zuerst haben, Emma. Frauen zuerst.

Laurence Lawson:

Frauen zuerst.

Emma Martins:

Dankesehr. Danke Yasmin. Ja, ich bin Emma Martins. Ich bin Datenschutzbeauftragter der Bailiwick of Guernsey, einer kleinen Insel zwischen Großbritannien und Frankreich. Wir sind unsere eigene Gerichtsbarkeit, daher haben wir derzeit eine der DSGVO gleichwertige Gesetzgebung, und wir warten derzeit auf die Angemessenheit sowohl von der EU als auch vom Vereinigten Königreich. Ich bin seit vielen Jahren in der Datenschutzverordnung tätig. Davor war ich Datenschutzbeauftragter, also eine Whistle-Stop-Tour dort.

Yasmin Hinds:

Groß. Joseph?

Joseph Byrne:

Hi. Vielen Dank. Ja. Schön, von Emma und Yasmin zu hören. Ich bin Joseph Byrne. Ich bin Principal Solutions Engineer bei OneTrust. Meine tägliche Aufgabe besteht darin, den Wert der OneTrust-Lösung zu artikulieren, aber sie ist viel umfassender. Ich spreche auch das ganze Jahr über auf vielen Branchenveranstaltungen und diskutiere über Datenschutz und die Datenschutzherausforderungen. Erst diesen Monat war ich bei V2 in Dänemark und habe an einer Sitzung mit Max Schrems zum Thema Transfer teilgenommen, also ganz nah an den Daten. Ich bin auch IPP-zertifiziert. Ich freue mich, hier an diesem Panel teilzunehmen.

Yasmin Hinds:

Fantastisch. Laurentius?

Laurence Lawson:

Ja. Ich bin Lawrence Lawson. Ich arbeite im Produktdatenschutzbüro von Ericsson. Meine Aufgabe besteht im Wesentlichen darin, dafür zu sorgen, dass bei allen Produkten und Dienstleistungen von Ericsson, wann immer sie an einen Kunden gehen, dieser Datenschutz per Design und Voreinstellung eingebettet ist, also offensichtlich mit Kunden aus der ganzen Welt zu tun und ihn zurückzubringen Der Ericsson-Service ist definitiv der Schlüssel zu dieser heutigen Diskussion.

Yasmin Hinds:

Nicht zuletzt Professor Romeo Kadir.

Professor Romeo Kadir:

Vielen Dank. Ich bin Romeo Kadir. Ich habe vor drei Jahrzehnten begonnen, mich mit dem zu beschäftigen, was man früher Datenschutz nennt. Damals ging es nur um grundlegende Menschenrechte, aber danach habe ich meine Karriere als Supervisor begonnen und dann angefangen, Unternehmen und Unternehmen zu beraten und einige NGOs aufzubauen, zuletzt die Global Association of Data Protection Profis.

Yasmin Hinds:

Okay. Fantastisch. Bevor wir anfangen, möchte ich nur den Haushalt führen. Entschuldigung, wenn ich selbst Hintergrundgeräusche habe. Ich werde versuchen, stumm zu schalten, wenn ich nicht spreche, einfach weil ich mich in einer Großraumumgebung befinde. Darüber hinaus haben die Diskussionsteilnehmer bereits angedeutet, dass sie nach der Veranstaltung gerne ihr LinkedIn teilen würden, und einige der Diskussionsteilnehmer freuen sich auch, einige Materialien zu teilen, die einige der von ihnen geteilten Informationen unterstützen könnten heute. Wenden Sie sich bitte an sie.

Machen wir ohne weiteres weiter. Das ist ein riesiges Thema, Leute. Ich weiß von allem, was Sie gerade gesagt haben, dass es jeden auf unterschiedliche Weise berührt. Was die Post-DSGVO anbelangt, würde ich Emma und Professor Romeo gerne zunächst zu Kommentaren einladen, um uns ihre Ansichten darüber mitzuteilen, dass es nicht nur um regulatorische Bedenken geht, sondern auch um weitere Rechtsvorschriften, die berücksichtigt werden müssen.

Nun, Joseph und Lawrence, Sie packen natürlich an, wo Sie wollen, aber ich werde nur Emma und Professor Romeo zunächst nach Ihren Gedanken fragen, wie sich die Zeit nach der DSGVO Ihrer Meinung nach ausgewirkt hat. Emma, vor allem angesichts der Tatsache, dass Sie einen Einblick in Guernsey haben, könnten Sie dieses Thema ein wenig für uns untersuchen?

Emma Martins:

Ja. Sicher. Das Bild ist im Moment komplex, nicht wahr? Ich meine, deshalb haben wir natürlich diese Podiumssitzungen, aber schauen Sie sich die USA an, die Biden-Regierung, die über eine Exekutivverordnung spricht, die verhindern soll, dass Rivalen wie China Zugang zu amerikanischen Daten erhalten. In der EU haben wir wirklich konzertierte Anstrengungen unternommen, um auf mehr Datensouveränität innerhalb des Blocks zu drängen. Wir sehen immer noch, dass Gesetzgeber in Indien Gesetze prüfen, um zu begrenzen, was diese Gerichtsbarkeit verlassen kann.

Ich habe kürzlich einige wirklich interessante Statistiken gesehen, die zeigen, dass sich die Anzahl der Gesetze, Vorschriften und Richtlinien, die die Speicherung von Informationen in bestimmten Gerichtsbarkeiten erfordern, in den letzten Jahren mehr als verdoppelt hat. Natürlich konzentriere ich mich aus meiner Sicht sehr auf die DSGVO-Standards. Auf Guernsey gelten entsprechende Gesetze. Wir haben derzeit die Angemessenheit des Bestandsschutzes gegenüber dem vorherigen Regime und wir warten hoffentlich auf eine erfolgreiche weitere Bewertung unter diesem neuen Regime mit der EU und dem Vereinigten Königreich.

Der große Punkt für uns ist im Moment das, was in der Rede der Königin stand, von dem viele von Ihnen sicher wissen werden, die Vorschläge des Vereinigten Königreichs, wenn man es überhaupt so nennen kann, aber nur die Artikulation ihres Wunsches für eine Datenschutzreform. Wir haben die Details noch nicht gesehen. Natürlich haben wir das nicht, aber das bedeutet sicherlich aus meiner Sicht und aus der Sicht unserer Regulierungsbehörden mehr Unsicherheit, mehr Nervosität, wie wird Großbritannien, wird die EU, Entschuldigung, darauf reagieren? Wie wirkt sich dies auf die Angemessenheit und damit auf die Übertragungen aus?

Wir brauchen wirklich die Details rund um dieses Zeug. Bis dahin ist es noch viel mehr Ungewissheit, auf die wir alle verzichten könnten. Ich denke nicht wirklich, dass es eine gute Sache ist, wenn Sie über Compliance-Regelungen sprechen.

Yasmin Hinds:

Hervorragende Punkte dort. Gibt es noch irgendetwas, worauf Sie noch eingehen möchten, Professor Romeo?

Professor Romeo Kadir:

Nun, eigentlich sicher, aber auf einem höheren Niveau. Ich glaube, einige interessante Dimensionen ergeben sich durch diese enorme Herausforderung, sicher. Zunächst einmal die Herausforderung auf geopolitischer und geoökonomischer Ebene, also nur ein paar Bemerkungen zur Größenordnung dessen, worüber wir sprechen. Bisher haben mindestens 157 Länder Datenschutzgesetze in Kraft, von denen die Gesetzgebungen von 130 Ländern zusätzliche Anforderungen an den internationalen Datentransfer für die Empfängerländer stellen. Wenn die DSGVO eine Stimme zwischen den 30 EWR-Ländern ausmacht, bedeutet dies, dass wir für jeweils 100 internationale Datenübertragungen mindestens 13.000 bilaterale Datenexpertenprobleme lösen müssen, um nur einen Eindruck von der Größenordnung zu geben.

Ich freue mich sehr, dass die Diskussionsteilnehmer unseres Bias-Teams hier bereit sind, tief in einiges davon einzutauchen, insbesondere Joseph Byrne, für die praktische Seite davon. Ich freue mich sehr, von ihm zu lernen, aber das ist von einer Größenordnung, die ihresgleichen sucht.

Zu den Herausforderungen für internationale DSGVO-Datenübertragungen, dem heutigen Thema, einige hochrangige Beobachtungen unserer ersten Batch-Studenten, die an der Schulung für registrierte bis globale Datenübertragungsbeauftragte teilnehmen, die wir kürzlich auf der UN-Konferenz vor zwei Wochen eingeführt haben. Also zunächst die geopolitische und geoökonomische Perspektive. Nun Herausforderung Nummer eins, wie man mit dem wachsenden bilateralen Bedarf an Ad-hoc-Lösungen umgehen kann, wenn es keinen globalen Mechanismus für internationale Datenübertragungen gibt, richtig? Es wird also viele patchworkartige Lösungen für wichtigere Probleme geben, die einen strukturellen grundlegenden Ansatz erfordern.

Eine weitere Herausforderung, wie man mit Datenschutz und Sicherheitsregionalität umgeht, wie zum Beispiel der APEC-Erfolg mit der Interoperabilität von Compliance-Regeln im Vergleich zu den Grundrechtsdimensionen der DSGVO, oder? Diese wird also vor neue Herausforderungen gestellt.

Wenn wir außerdem sagen, dass die Privatsphäre unsere Kultur-DNA widerspiegelt, wie soll man dann auf globaler Kulturebene damit umgehen, richtig? Allerlei Herausforderungen, denen wir uns stellen müssen. Nehmen wir zum Beispiel das chinesische Datenschutzgesetz, dessen Zweck unter anderem die Wahrung der staatlichen Souveränität, der Staatssicherheit und der Entfaltung staatlicher Interessen ist. Ich glaube, das ist ein bisschen anders als die Zwecke von Artikel Eins und der DSGVO, die eine Förderung der Grundrechte und -gefühle besagen, oder?

Yasmin Hinds:

Professor Romeo, ich denke, Sie haben gerade an diesem Punkt so viele gute Punkte angesprochen, dass ich Lawrence und Joseph erlauben werde, sie einzuwerfen, weil Sie einige wirkliche Punkte angesprochen haben. Ich mache mir eine mentale Notiz. Und ich denke, wir müssen auf einige davon speziell zurückkommen, aber ich denke, nur mit einigen der Kommentare, die Sie bereits gemacht haben, Lawrence oder Joseph, gibt es irgendetwas, das Sie in Bezug auf einige dieser Wie-Fragen hinzufügen möchten Professor war nur eine Anspielung auf?

Joseph Byrne:

Oh, na ja, sicher. Und es ist ein interessantes Konzept, das Sie beschrieben haben, wo wir statt einer globalen Rechtsvorschrift haben, nun, wir müssen uns jetzt Hunderten nähern. Es ist ein bisschen wie am Anfang, als sie Mobilfunknetze bauten. Ich habe ein bisschen daran gearbeitet und wir planten, Funkmasken an jedem Ort zu platzieren. Da waren schon drei. Anstelle eines starken Netzwerks hatten sie also vier verschiedene Arten von Netzwerken. Das ist also, ich meine, etwas, das sich vorwärts bewegt, wir müssen überlegen, ob wir zu einer globalen Einigung kommen können.

Und auch die Bemerkungen von Emma, die früher in meiner heutigen Präsentation über das Datenreformgesetz gemacht wurden, wo sie glauben, dass sie im Laufe eines Jahres eine Milliarde an Geschäftseinsparungen erzielen können, indem sie Änderungen an den Datenschutzbestimmungen vornehmen. Das bereitet mir große Sorgen, denn um diese Art von Einsparungen zu erzielen, müssen sie den Menschen viel Freiheit geben. Und diese Freiheit kann zur Folge oder zu Lasten der Privatsphäre gehen, denn als sie die DSGVO erstellten, haben sie nicht einfach alles hingeworfen, woran sie dachten. Es wurde viel Zeit und Energie investiert und es wurde verfeinert. Wenn Sie jetzt sagen, nun, wir werden etwas anderes tun, um mehr Freiheiten zu bekommen. Werden Sie dadurch die Privatsphäre für alle gefährden?

Laurence Lawson:

Ja. Du bist momentan stumm geschaltet, Yasmin. Also denke ich, dass ich jetzt meine Kommentare einwerfen werde. Ja, ich stimme genau dem zu, was alle bisher gesagt haben. Was wir jedoch definitiv sehen, ist eine Art Harmonisierung der Einstellungen zur Datenschutzgesetzgebung. Viele Leute und auch ich glauben, dass die DSGVO in ihrem Ansatz bahnbrechend war. Und was wir seit der Einführung der DSGVO gesehen haben, sind mehrere Länder und größere Volkswirtschaften wie Brasilien und Indien, wie Sie erwähnt haben, die sich bemühen und nicht einmal die Tatsache verschleiern, dass sie ihre Datenschutzgesetze auf der Grundlage der DSGVO erlassen. Wir sehen da also durchaus eine Art Harmonisierungsansatz. Und offensichtlich sehen wir, basierend auf dem, was Professor Romeo zuvor gesagt hat, all diese neuen Gesetzgebungen, die durchkommen. Jeder scheint seine Gesetze reformieren und aktualisieren zu wollen, denn der Handel mit der EU und diesen anderen großen Volkswirtschaften ist gleichbedeutend damit, wie sie vorankommen sollten.

Yasmin Hinds:

Ja, ich denke, das sind sehr gute Punkte. Und nur um aus dieser Idee der Harmonisierung Kapital zu schlagen, denn ich denke, was wir sagen, ist, dass wir es nicht isoliert betrachten können, dem ich vollkommen zustimme. Ich möchte Sie dann einladen, im Rahmen dieser Harmonisierung die potenziellen Vorschriften und die Harmonisierung bestehender Vorschriften zu prüfen, die ins Spiel kommen. Wie sieht das aus kommunaler Sicht aus? Insbesondere bin ich daran interessiert, eine Perspektive sowohl von Ihnen selbst, Laurence, die im Industriesektor bei Ericsson arbeitet, als auch von Professor Romeo zu bekommen, aber auch von Ihren Gedanken, Emma und Joseph, angesichts dessen, was Sie in einem breiteren Spektrum sehen. Denn ich denke, während wir darüber in der Theorie sprechen, kann es in der Praxis ganz anders aussehen.

Professor Romeo Kadir:

Wenn ich anfangen darf, Yasmin, nur mit einer skeptischen Anmerkung, wenn ich das sagen darf. Ja, Laurence hat Recht und ich lese viele Berichte, die mit Bemerkungen beginnen, dass viele Teile der Welt tatsächlich von der DSGVO inspiriert sind. So interessant das auch sein mag, wenn Sie sich diese verschiedenen Gesetze genau ansehen, obwohl sie von der DSGVO inspiriert sind, nehmen sie ihre eigene Wendung, wenn sie die Straßen überqueren. Nehmen Sie zum Beispiel das indische Datenschutzgesetz, richtig? Inspiriert von der DSGVO, aber auch von sektoralen US-Gesetzen und den chinesischen Vorschlägen zu der Zeit, als sie sich selbst erfanden, stellten sie der Welt die vierte Option für den Datenschutz vor, wie sie es in vielen Berichten sagen, und führten speziell die Anforderungen an die Datenlokalisierung ein mit indischem Flair sozusagen. Und es gibt noch viele weitere Unterschiede, oder?

Obwohl von der DSGVO inspiriert, müssen wir also immer noch sehr kritisch sein, was sie in DSGVO-Begriffen nennen und was sie tatsächlich tun. Nehmen Sie zum Beispiel auch den Datenschutzbeauftragten, der in der DSGVO ein interessantes Konzept ist, aber auch in der brasilianischen LGPD genannt wird, aber im Vergleich zum europäischen Datenschutzbeauftragten eine völlig andere Rolle und Aufgabe hat. Wir sollten also gleichzeitig sehr kritisch sein. Nur eine skeptische Anmerkung von meiner Seite, oder?

Laurence Lawson:

Ja. Ich denke, ich muss hier auf der Seite der Positivität irren.

Professor Romeo Kadir:

Was in Ordnung ist.

Laurence Lawson:

Wenn wir zum Beispiel die beiden jüngsten Angemessenheitsbeschlüsse aus Japan und Südkorea nehmen, dann gibt es dort zwar wiederum grundlegende Unterschiede in den Ansätzen wie der Bezeichnung des DSB und dem Bußgeld Sektion. Wir haben sowohl bei der EU als auch bei den japanischen und südkoreanischen Gesetzgebern eine Bereitschaft festgestellt, einen Kompromiss zu finden. Und offensichtlich besteht die Rolle der Angemessenheit nicht darin, zu sagen, dass es sich um eine Kopie handelt. Es ist im Wesentlichen gleichwertig. Und das ist natürlich sehr subjektiv. Was wir also aus meiner Sicht sehen, ist, obwohl es diese Unterschiede gibt, und besonders auf einer grundlegenden Ebene, dass es immer noch eine Art konzertierte Anstrengung gibt, alle in einen ähnlichen Strom zu bringen, ob das ein guter Strom ist oder nicht, ist offen alle anderen zu entscheiden.

Professor Romeo Kadir:

Ich stimme dir voll und ganz zu, Laurence, dass die Reise der globalen Bekehrung mit einem richtigen Blick auf Gemeinsamkeiten beginnt, richtig? Lassen Sie uns von einer gemeinsamen Basis ausgehen. In diesem Sinne möchte ich Ihre Beobachtungen voll und ganz unterstützen, aber wenn es darum geht, das Rätsel der internationalen Datenübertragung zu lösen, kommt es darauf an … Und wie wir alle wissen, steckt der Teufel im Detail, oder? Es kommt also darauf an, was genau passiert ist? Sprechen wir mit Freunden oder sprechen wir dort mit jemand anderem? Aber im Großen und Ganzen ja, sicher.

Aber ich interessiere mich auch sehr für die Sichtweise der Regulierungsbehörden auf das, was passiert. Also selbst innerhalb der Europäischen Union, richtig, wenn Sie sehr kritisch auf das schauen, was jetzt mit all den neuen Gesetzgebungen passiert, kann ich einfach nicht leugnen, eine Art, ich würde nicht sagen, einen Bruch zu erkennen, aber zumindest unseren deutlicheren Meinungsverschiedenheiten innerhalb der europäischen Institutionen selbst darüber, wie mit Datenschutzübertragungen fortgefahren werden soll, insbesondere im Fall der meiner Meinung nach recht bedeutsamen ausdrücklichen Stellungnahme des europäischen Datenschutzbeauftragten, was die anstehenden Verhandlungen betrifft Vereinte Nationen zum umfassenden internationalen Übereinkommen zur Bekämpfung der Nutzung von Informations- und Kommunikationstechnologien für kriminelle Zwecke.

Nun sollte die EU gemäß der ausdrücklichen Meinung des EDSB keine Partei dieser meiner Meinung nach sehr wichtigen globalen Initiative werden. Wieso den? Weil es die Grundrechte nicht auf der richtigen Ebene garantiert. Nun hoffe ich, dass ich mich irre, aber hoffen wir, dass dies nur eine Eröffnungserklärung ist, um Verhandlungen zu beginnen, aber ich glaube, dass es von größter Bedeutung ist, diese Art von globalen Initiativen zu starten und ernsthaft zu prüfen, was nötig ist, um Dinge zu bekommen erledigt.

Yasmin Hinds:

Ich weiß, und ich denke, einige der Komplexitäten, die Sie gerade angesprochen haben, Professor Romeo spricht die Tatsache einiger der Kommentare an, die von unserem Publikum durchkommen. Und ich denke, die Übersetzung einiger davon hat damit zu tun, wie wir tatsächlich einige dieser Bewertungen zusammenstellen und wie wir sie bilden. So können wir zu einigen dieser Erkenntnisse kommen. Ich weiß, dass im Chat eine tolle Frage gestellt wurde. Und ich möchte Emma bitten, einen Einblick in eine der Fragen zu geben, was in Bezug auf Bewertungen auf anderen Kanalinseln passiert und ob sie ein Äquivalent zur DSGVO haben? Und wenn Sie damit sprechen könnten, wäre das fantastisch.

Emma Martins:

Ja sicher. Also im Moment haben die Kanalinseln… Sie sind abhängig von der Krone. Früher haben wir also mehr nach Großbritannien geschaut als wir es tun, aber wir haben uns sicherlich an die DSGVO gehalten. Wir haben eine gleichwertige Gesetzgebung. Und vieles davon war der wirtschaftliche Antrieb. Wir brauchten die Datenströme, um fortzufahren, aber nach dem Brexit sehen wir uns jetzt mit Sicherheit eine zweite Bewertung mit dem Vereinigten Königreich zur Angemessenheit an. Es macht die Dinge sehr, sehr herausfordernd. Und das einzige, was mir bei all diesen Gesprächen auffällt, ist, meine Güte, wenn diejenigen von uns, die dieses Zeug leben und atmen, es schwierig finden, wie um alles in der Welt erwarten wir Controller da draußen, die nicht in dieser Blase leben, wo Sie verbringen jeden Tag damit, die Probleme zu erforschen und die Herausforderungen zu erkunden, wie erwarten wir sie …

Und eine der Fragen ist, brauchen wir jedes Mal Rechtsberatung? Und es schmerzt mich, wenn ich mir ein Gesetz anschaue, das im Wesentlichen auf Menschenrechten basiert, dass Sie jedes Mal Anwälte einschalten müssen, wenn Sie etwas tun müssen. Und ich denke, dass es auf eine viel breitere Diskussion hinweist, die natürlich nicht stimmt. Aber ich denke, in gewisser Weise müssen wir alle als Regulierungsbehörden, als Regierungen, als politische Entscheidungsträger, als Lobbyisten, als Unternehmen, als Bürger darauf hören und anfangen zu sagen: Wissen Sie, was wir brauchen? Ich glaube, Laurence sagte, er sei optimistischer. Ich denke, er hat Recht. Ich denke, wir bewegen uns in die richtige Richtung. Und wir neigen dazu, auf die Krachmacher und die Schwierigkeiten zu hören.

Und wir konzentrieren uns auf diese, aber es passiert viel Gutes. Es werden viele gute Gespräche geführt, aber wir müssen in dieser Gemeinschaft wirklich lebendig sein, da nicht jeder den Luxus an Zeit und Ressourcen hat, um sich durch einige dieser Komplexitäten zu kämpfen. Also sind wir es diesen Leuten schuldig, denen von uns, die irgendeine Art von Macht oder irgendeine Art von Stimme dabei haben, anzufangen, nach viel mehr Harmonie zu streben, von der ich denke, dass es wieder Laurence oder Joseph waren, von der gesprochen wurde, denn das ist so wo die DSGVO fast begann. Es ist, als hätten wir dieses Flickenteppich von Rechtsvorschriften in ganz Europa. Können wir es bitte etwas einfacher machen? Denn wenn wir wollen, dass die Leute sich an das halten, was wir von ihnen verlangen, wenn wir es einfacher machen, ist es viel wahrscheinlicher, dass wir sie dazu bringen.

Yasmin Hinds:

Und ich denke, das ist ein wirklich guter Punkt. Und eigentlich würde ich nach zwei verschiedenen Perspektiven fragen. Also Joseph, wenn Sie eine Reihe verschiedener Kunden sehen, die zu Ihnen kommen, mit einer Marke mit unterschiedlichen Abmessungen in Bezug auf die Größe. Ich würde mich also sehr freuen, wenn Sie über einige der Probleme sprechen würden, die Emma gerade erwähnt hat, in Bezug auf einiges, was Sie von Ihren Kunden hören, und ebenso, Laurence, da Sie aus einer größeren Organisation kommt, wäre es gut, Ihre Perspektive zu erfahren auf vielleicht Ihre Kollegen und Sie selbst, wie Sie das Gefühl haben, dass Sie sich an dieser Diskussion beteiligen.

Joseph Byrne:

Ja, sicher. Und sicherlich haben einige der kleineren Kunden und Interessenten, mit denen ich arbeite, nicht den Luxus, ein Datenschutzteam zu haben. Und in einigen Fällen ist der Datenschutzbeauftragte möglicherweise auch nicht in Vollzeit tätig. Es kann nur ein Teil ihrer Rolle sein. Es gibt einen wunderbaren Ausdruck, den ich einmal hatte, als ich in einem Pharmaunternehmen arbeitete, in meinen SharePoint-Tagen, dieses Konzept der Freiwilligenarbeit, vielleicht wurden sie in diese Rolle gedrängt, weil sie jemanden brauchten und es ist etwas Zusätzliches mit ihrer Vollzeitrolle und sie werden kämpfen um auf dem Laufenden zu bleiben oder mit allem konform zu sein.

Jetzt können wir dabei helfen. Innerhalb eines Trusts haben wir insbesondere so genannte Bewertungen für verschiedene Arten von Gesetzen, die Ihnen einen Hinweis auf Ihr Compliance-Niveau geben. Sie werden von unseren Anwälten und unserer Rechtsgemeinschaft zusammengestellt, was Ihnen das ersparen wird. Und wir beabsichtigen, so bald wie praktisch möglich, möglichst noch am selben Tag, Unterstützung für die Gesetzgebung zu erhalten oder zu erhalten. Es gibt also Tools und Systeme, die Ihnen dabei helfen können. Aber den Überblick zu behalten, ist eine große Herausforderung, und viele Organisationen entscheiden, dass wir tun, was wir können, was üblich ist, und wir werden die Ausreißer tolerieren.

Laurence Lawson:

Und ja, ich schätze aus meiner Perspektive wiederum habe ich das Glück, dass ich in meiner langen und bewegten Geschichte im Privatleben auch in einer Vielzahl von Organisationen unterschiedlicher Größe gearbeitet habe. Innerhalb einer großen Organisation wie Ericsson haben wir festgestellt, dass die Verwendung von Datenschutzsoftware wie OneTrust in einigen Szenarien fast ein Lebensretter ist, anstatt nur endlose Mengen von Excel- und Word-Dokumenten. Ich nehme an, eines der großen Probleme, das jeden betreffen wird, ist einfach, alles im Auge zu behalten, was vor sich geht. Sie haben so viele verschiedene Vereinbarungen, so viele verschiedene Verträge, Rollen wechseln während einer einzigen Verarbeitungsaktivität. Auch hier ist es sehr schwierig, den Überblick zu behalten.

Und wie Joseph sagte, gibt es viele kleinere Organisationen und Organisationen, die einen großen Umfang haben können, aber möglicherweise nicht in den Datenschutz investieren müssen, wenn personenbezogene Daten keine Kernfunktion sind, wenn sie nur Personalmarketing betreiben. Dann gibt es einen wirklichen Unterschied in dem, was vor sich geht. Eines der positiven Dinge dabei ist, und hoffentlich wird Emma mich darin unterstützen, der Standpunkt, den ich von den Behörden gesehen habe, dass sie es vorziehen, wenn Sie es versuchen und scheitern, als das Problem einfach ganz zu ignorieren. Solange Sie versuchen, die richtigen Schritte zu machen, werden sie Sie dabei begleiten.

Joseph Byrne:

Und auch dort nur eine leicht alternative Ansicht. Viele der Organisationen, mit denen wir zu tun haben, durchlaufen Akquisitionen. Und in einigen Fällen hat das Unternehmen, das sie erworben haben und das viel kleiner ist als sie, ihre Privatsphäre in Ordnung, wirklich in Ordnung. Sie werden übernommen von, nennen wir sie einen Riesen, und dann beschäftigen wir uns mit ihnen, weil wir vielleicht versuchen, uns dann in die größere Organisation einzukaufen. Und sie starren uns beim Anruf an und sagen, was soll’s, denn die Wahrnehmung vieler großer Unternehmen ist, dass alles in Ordnung ist. Man nehme eine kleine Organisation, die sich die Mühe gemacht hat, sie wird übernommen, und sie muss fast fünf Schritte zurückgehen. Das kann also auch passieren. In manchen Szenarien. Du bist stumm geschaltet, tut mir leid.

Yasmin Hinds:

Das ist eine sehr interessante Einstellung. Und ich denke, es führt sehr schön zu unserer weiteren Frage aus dem Publikum. Und das ist um diese Idee herum, lokalen Perfektionismus zu haben. Gibt es also eine Eile oder eine Tendenz, ob es sich um Kunden, Kunden oder um uns selbst innerhalb von Organisationen handelt, müssen wir zunehmend sicherstellen, dass wir diese Anforderungen erfüllen, um in die EU und anderswo exportieren zu können? Oder sehen wir, dass die Menschen maßvoll vorgehen? Folgen sie den Bewertungen? Tun sie das Richtige oder versuchen sie nur, Kästchen anzukreuzen? Wenn wir also innerhalb dieser Gruppe einige Beispiele dafür hätten, wäre das großartig, oder auch nur ihre eigenen Gedanken darüber, ob sie das sehen oder nicht. Emma, vielleicht hast du tatsächlich einige Beispiele dafür, wo du das gesehen hast.

Emma Martins:

Nun, ja, ich glaube, es ist passiert, aber wenn ich das kurz anmerken darf. Ich denke, die Auswirkungen, wie wir gerade sagten, für Unternehmen sind hier enorm, und ein interessanter Artikel in der New York Times sagte, dass die… Eigentlich war die Schlagzeile Die Ära der offenen Grenzen für Daten geht zu Ende und dass Regierungen zunehmend Regeln festlegen und Standards darüber, wie Daten rund um den Globus verschoben werden können und nicht. Und um auf den protektionistischen Punkt zurückzukommen, ich denke, es ist interessant zu sehen, wo die Motivation dafür liegt, weil einiges davon gut sein wird. Einiges davon wird sich um Datenschutz, Datensicherheit, um Privatsphäre drehen. Manches ist nicht gut. Es geht teilweise um autoritäre Staaten und die Machtverhältnisse dort. Deshalb denke ich, dass es wirklich wichtig ist, dass wir uns dessen bewusst sind. Es ist also ein sehr, sehr komplexes Bild, aber sicherlich sehen wir Unternehmen, die an die großen Jungs wie Amazon, Microsoft, Google denken, dass sie Dienste anbieten, die Unternehmen jetzt die Wahl lassen, wo sie Daten speichern.

Und ich denke, das ist wirklich, wirklich wichtig. Das sollten wir nicht vergessen. Wir erleben jetzt Geschichte und es ist immer schwierig, solche Momente zu erleben. Treten Sie einfach einen Schritt zurück und denken Sie darüber nach, wo sich die Dinge tatsächlich bewegen und verbessern oder was sich ändert. Die Dinge ändern sich, aber wir müssen nur den Schwung aufrechterhalten. Die Möglichkeit, solche geografisch basierten Dienste anzubieten, stand also noch vor ein paar Jahren nicht zur Debatte. Und solange die Verbraucher weiter Druck machen, besteht für die Dienstleister der kommerzielle Imperativ, darauf zu reagieren. Deshalb ist dieses Gespräch, wissen Sie, ja, es ist schwierig. Ja, wir können unsere Hände ringen. Es gibt keine sofortigen Antworten, aber wir müssen die Fragen immer wieder stellen, weil das an sich schon interessant ist.

Und ich spreche vor ein paar Jahren mit der regulierten Gemeinschaft darüber, wer gesagt hat, entweder das oder nichts. Und jetzt ist es gut, es ist entweder das oder es ist oh, es ist das? Oder eigentlich habe ich das auch. Und das ist genial. Und dann sollten wir zum Punkt des Optimismus zurückkehren. Das ist etwas zu feiern. Das bedeutet nicht, dass die anderen Dinge weniger kompliziert bleiben, aber das ist ein Gewinn, den ich hervorheben möchte, ist wichtig.

Yasmin Hinds:

Laurence, du scheinst dem noch etwas hinzuzufügen. Es wäre toll, wenn du auch deine Perspektive schildern könntest.

Laurence Lawson:

Ich glaube, Emma hat da den Nagel in meinem Kopf getroffen. Ich denke, es gibt definitiv viel Optimismus, mit dem man hier weitermachen kann. Ja, wir haben alle den Ausdruck gehört. Offensichtlich sind Daten das Öl des 21. Jahrhunderts. Und viele Menschen können davon ausgehen, dass dieser ganze Protektionismus in Bezug auf ihre eigenen persönlichen Daten darauf zurückzuführen ist, dass sie ein so wertvolles Gut besitzen. Und offensichtlich möchten sie in einigen Territorien und Gerichtsbarkeiten die von ihnen gesammelten personenbezogenen Daten für andere Zwecke verwenden, was ihren eigenen Anliegen helfen kann, insbesondere in autoritären Regimen.

Aber auf der anderen Seite sehen wir auch, sagen wir, den protektionistischen Ansatz der EU. Ich glaube nicht, dass es dort einen allzu autoritären Ansatz gibt, unabhängig davon, was manche Leute von der EU halten mögen. Ich denke, es ist irgendwie die ganze Idee der EU- und US-Standpunkte von … Die EU betrachtet personenbezogene Daten als persönliches Eigentum und die USA betrachten personenbezogene Daten fast als eine Währung an und für sich. Es sind also diese Art von Abwägungen, wie Sie personenbezogene Daten tatsächlich sehen und wie Ihre Gesellschaft und Kultur, wie Professor Romeo sagte, personenbezogene Daten sehen, die meines Erachtens eine Art der Begründung beeinflussen und was wir als Datenschutzexperten als die Begründung beurteilen können strenge Lokalisierungsanforderungen.

Yasmin Hinds:

Und Laurence, können Sie, während Sie schon sprechen, erläutern, wie diese Dinge erreicht werden können? Und eine der fantastischen Fragen, die sich mir gestellt hat, dreht sich darum, wie wir Werkzeuge nutzen, und ich möchte, dass Joseph aus seiner Perspektive über Werkzeuge spricht, aber wie nutzen wir die Dinge um uns herum, um einige davon zu erreichen diese Compliance-Maßnahmen? Können Sie zum Beispiel einige dieser Zertifizierungen oder genehmigten Verhaltenskodizes und Möglichkeiten nennen, wie wir einige davon erleichtern können, um diese Konformitätsstufen nachzuweisen?

Laurence Lawson:

Ich meine, eines der Dinge, die ich immer gelehrt habe, und eines der Dinge, die mir beigebracht wurden, ist, dass Compliance ein sich bewegendes Ziel ist. Es gibt in keiner Organisation einen Punkt, an dem Sie sagen, wir seien konform. In der Sekunde, in der du das tust, wirst du eingeholt. Zumindest für mich würde ich also sagen, dass es am besten ist, sich eine Art offizieller Zertifizierungsrichtlinien anzusehen. Um zu zeigen, dass Sie über die richtigen Maßnahmen verfügen, möchten Sie vielleicht eine Qualifikation der ISO 27.000-Reihe erwerben oder Kunden und Klienten demonstrieren können, ob Sie in dieser Art von Kapazität arbeiten welche Mechanismen Sie haben.

Auch hier wird mein Standpunkt als in Europa ansässiger Datenschutzexperte weitgehend auf der DSGVO basieren, und genau so arbeitet Ericsson. Und hier lässt Artikel 25 viel Interpretationsspielraum, unter Berücksichtigung des Stands der Technik, der Zeit, des Geldes, das Sie zum Nachweis von eingebautem Datenschutz benötigen. Auch hier kommt es viel darauf an, wie wir zeigen, dass wir auf dem Weg zur Einhaltung sind, und wie wir das zeigen, indem wir diese Dokumentation haben. Tut mir leid, ich werde auch den anderen das Wort erteilen, um über dieses Thema zu sprechen.

Joseph Byrne:

Ja, sicherlich in Bezug auf Tools, eines der Dinge, die Sie von Datenschutz-Tools erhalten, ist Sichtbarkeit. Viele Organisationen verstehen nicht wirklich, was konform ist, was nicht konform ist oder in Bezug auf Übertragungen nicht einmal, welche Übertragungsmechanismen sie verwenden. Und wenn ich potenzielle Kunden anspreche, sage ich ihnen oft, dass Sie als Erstes wissen, wo sich die Dinge befinden und wie sie übertragen werden. Von dort aus können Sie Maßnahmen ergreifen. Und Sie können das System auch dazu bringen, Sie auf Dinge aufmerksam zu machen, anstatt einmal pro Woche einen armen Menschen zu schicken, der nachsieht, ob sich etwas geändert hat. Anstatt also nach den Informationen suchen zu müssen, kommt sie und findet Sie.

Professor Romeo Kadir:

Ja. Gestatten Sie mir, diesem sehr interessanten Ansatz einige Beobachtungen von meiner Seite hinzuzufügen. Vor allem im Hinblick auf Zertifizierungen und genehmigte Kodizes und die Herausforderungen, vor denen viele KMU derzeit stehen, trotz aller Bemühungen, so konform wie möglich zu sein. Nun, was muss meiner Meinung nach wirklich getan werden, um das ganze Streben nach globaler Konvergenz zu erreichen, das etwas anderes als globale Harmonisierung ist, richtig? Konvergenz ist sozusagen eine niedrigere Ebene der Harmonisierung. Wir sollten in der Lage sein, dies wird auch einen Teil der Probleme der digitalen globalen Kluft lösen, die derzeit in größeren internationalen Organisationen angegangen werden. Reden wir eigentlich über was? Daten, und das gilt für jedes Thema in der DSGVO oder Datenschutzgesetzgebung oder Sicherheitsgesetzgebung, müssen wir im Grunde alles in was zerlegen? In Best Practices.

Also entweder Sie sprechen von Vertrauen, Zuversicht, Integrität, wie auch immer Sie es nennen, wir können nichts tun, wenn wir nicht genau bestimmen können, was getan werden sollte. Und ein guter Anfang dafür ist, die gemeinsamen Best Practices zu identifizieren. Und ich möchte wirklich unterstreichen, was alle meine Mitdiskutanten bereits betont haben, ist, auf der positiven Seite mit Gemeinsamkeiten zu beginnen. Nachdem ich dies gesagt habe, glaube ich, dass dies nicht nur für größere Unternehmen, sondern auch als Nische eine große Chance schaffen wird. Es ist so, dass wir kurz davor stehen, nicht ich, sondern das European Data Position Board, EU-Zertifizierungsrichtlinien zu veröffentlichen, die auch für internationale Datenübermittlungen verwendet werden können. Deshalb möchte ich alle hier einladen, dies gut zu bewachen. Und im Grunde haben wir selbst eine Initiative gestartet, und die Europäische Kommission ist davon sehr bewegt, und auch der UN-Sonderberichterstatter für Datenschutz, mit dem ich vor zwei Tagen sprechen konnte, ist ebenfalls für einen solchen Ansatz, fangen wir einfach an von einer positiven Note, nicht wahr?

Was ist schon da? Was ist der Schlüssel und was können wir tun, um allen zu helfen, reale Probleme im Zusammenhang mit internationalen Datenübertragungen zu lösen? Also nennen wir diese Initiative die [unverständlich 00:36:00]-Initiative, und ich lade alle ein, sich daran zu beteiligen, um ehrlich zu sein, ich freue mich, einige Informationen darüber zu teilen, wenn wir mit dem Aufbau des globalen Repository beginnen von Best Practices auf allgemeiner Ebene, auf sektoraler Ebene usw. So, und schon haben Sie als Kunde trotz aller offenen Bedingungen übrigens schon einige interessante Fortschritte in Sachen Privacy by Design gemacht. Wir müssen also etwas bewegen. Dabei brauchen wir einander. Wir brauchen alle Köpfe zusammen, um enorme Anstrengungen zu unternehmen, um Echtzeitprobleme zu lösen. So sicher. Fangen wir im Großen und Ganzen von vorne an, oder?

Weil was, und meine Mitdiskutanten haben das auch berührt, wir sprechen über so viele Begriffe, die wir noch nicht haben, und es wird von Tag zu Tag komplexer. Verschiedene Begriffe, mehrere Begriffe, die verschiedene Dinge bedeuten. Ist es also nicht an der Zeit, ein globales Glossar oder ein globales Kompendium zu haben, um damit zu beginnen, die genauen Unterschiede in welchen Regionen usw. zu ermitteln? Auch dafür haben wir eine Initiative als Datenschützer-Organisation gestartet, um Fachleuten zu helfen, ihre Arbeit richtig zu machen. Allerdings hat Professor Graham Greenleaf vor zwei Tagen in Brüssel auf der CPTP-Konferenz festgestellt, dass wir selbst nach 40 Jahren Datenschutzgesetze und -vorschriften in Europa noch nicht einmal mit einer angemessenen Lösung für internationale Datenübertragungen beginnen die globale Ebene, nicht wahr? Also natürlich, ja, es gibt viele Ideen. Ja, es gibt Richtlinien, aber wir brauchen nicht nur ein richtiges Gespräch und Richtlinien, wir brauchen Lösungen.

Was etwas anderes ist, als etwas Ausgesetztes in die Richtung zu sagen, aber natürlich auch wichtig, aber im Alltag stehen viele Berufstätige vor vielen Problemen, die sie gerade lösen müssen. Sie können also bereits jetzt mit einer Geldstrafe belegt werden, weil sie die Verpflichtungen gemäß der DSGVO nicht erfüllen können, oder? Wie wir aus Artikel 39 der DSGVO ableiten können. Wie geht es also positiv weiter? Jetzt möchte ich noch einmal alle Interessierten einladen, Teil dieses Best-Practice-Lösungsansatzes zu werden.

Yasmin Hinds:

Und ich denke, das ist ein sehr guter Punkt. Und ich denke, als Teil dieser bewährten Verfahren müssen wir berücksichtigen, und dies sind einige der Erkenntnisse, die vielleicht jemand wie Joseph geben kann, wenn er mit einer Reihe verschiedener Interessengruppen und auch kleineren Organisationen zusammenarbeitet. Und beide, Emma, werden im Rahmen ihrer regulatorischen Arbeit einige Erfahrung damit haben. Es wäre großartig zu verstehen. Wir wollen nicht in eine Situation geraten, in der sich Menschen entmachtet oder ausgegrenzt fühlen, weil es überwältigend erscheint. Und da ist dieses Problem, über das Professor Romeo gesprochen hat, mit den Bußgeldern und den verschiedenen möglichen Sanktionen. Obwohl wir das akzeptieren und verstehen, dass es schwierig sein kann, wie navigieren kleine Organisationen? Dazu kam eine Frage, insbesondere in Bezug auf einen Kommentar, den Sie vorhin zur Datenreform gemacht haben, Joseph. Und sie stellen sich gewissermaßen die Frage, wie die kleineren Organisationen das interpretieren und voranschreiten und umsetzen.

Joseph Byrne:

Nun, wie hier ein umstrittener Standpunkt ist, tun einige von ihnen nichts. Wenn Sie sich das Ergebnis der Schrems-Two-Entscheidung vorstellen, das Privacy Shield ungültig zu machen, das Tausende, vielleicht Hunderttausende von Organisationen betraf, werden einige von ihnen sagen, nun, wir werden wahrscheinlich nicht ins Visier genommen oder herausgefunden. Wir werden einfach weitermachen, was wir tun, in aller Stille und das Beste hoffen. Das ist keine großartige Strategie, aber es ist etwas, das Sie in Betracht ziehen sollten, wenn Sie bereit sind, das Risiko zu tragen. Abgesehen davon müssen Sie versuchen, das Risiko zu verstehen, das diese Dinge für Sie darstellen, und dann entscheiden, was Sie dagegen tun werden. Es kann sein, dass Sie bestimmte Dinge kurz- bis mittelfristig einfach tolerieren, während Sie darauf warten, dass die Gesetzgebung aufholt, sich ändert oder Dinge erleichtert.

Und einige kleine Unternehmen tun das. Einige kleine Unternehmen würden ihre Überweisungen auch einfach einstellen, während sie eine bessere Lösung finden. Eine andere Situation oder Lösung, an die die Leute nicht oft denken, ist, dass sie das Senden der Daten oder aller Daten einstellen könnten. Schau es dir genauer an. Muss diese Übertragung personenbezogene Daten enthalten? Können Sie diese Daten anonymisieren, synonymisieren oder verschlüsseln bzw. zu welchem Verarbeitungszweck müssen sie übermittelt werden? Wenn keine personenbezogenen Daten enthalten sein müssen, entfernen Sie diese einfach. Und dann unterliegen Sie nicht all diesen Gesetzen. Es gibt also mehrere Dinge, aber es ist nicht immer so einfach, einfach aufzuhören oder konform zu werden.

Emma Martins:

Darf ich bitte einspringen, Yasmin, nur ganz schnell. Ich meine, nur um dem zu folgen, was Joseph gesagt hat, ich denke, wir müssen uns auch wirklich klar ausdrücken. Wir verwenden das Wort Risiko häufig. Was meinen wir eigentlich? Weil ich mit Controllern spreche, die denken, dass das Risiko nur sie betrifft. Das Risiko ist nur eine Geldstrafe, das Risiko ist nur wirtschaftlich oder rechtlich oder regulatorisch. Wenn ich eine Bitte machen könnte, wenn Sie die Erlaubnis dazu geben, bitte auf dieser Plattform, damit wir nicht vergessen, dass wir, wenn wir über Daten sprechen, über Menschen sprechen. Wir reden über uns, wir reden über unsere Familie. Wir sprechen von unseren Kollegen, unseren Mitbürgern. Weißt du, wir müssen dieses Gespräch humanisieren, wenn wir über Risiken sprechen und genau das, was Joseph gesagt hat.

Und die Technologie, da ist ein schönes Zitat, ist nicht da. Fragen Sie nicht, was Technologie kann, fragen Sie, was sie tun soll, weil es so einfach ist. Es ist so billig. Es ist so schnell zu übertragen. So wie wir es gerade getan haben. Vielleicht sollten wir uns einfach einen Moment Zeit nehmen, um innezuhalten und zu sagen, was wir eigentlich wollen? Und noch einmal, wenn ich an das zurückdenke, was Joseph gerade gesagt hat, müssen wir das wirklich tun, und was ist das Risiko, nicht nur für unseren Ruf, der großartig ist, müssen Sie das verstehen, huh? Aber Sie müssen auch verstehen, dass es Menschen gibt, die dieses Risiko mit einbeziehen. Und sie sind aus meiner Sicht wirklich das Herzstück des Risikos.

Yasmin Hinds:

Unbedingt. Und Laurence, möchten Sie dem etwas hinzufügen?

Laurence Lawson:

Um ehrlich zu sein, könnte ich dem, was meine Mitstreiter gesagt haben, nur zustimmen. Ich denke, am Ende des Tages gibt es definitiv eine Art Mangel an Humanisierung in einigen der Prozesse, die Menschen durchführen. Wir laufen Gefahr, Daten in eine Aneinanderreihung von Buchstaben und Zahlen zu verwandeln und den menschlichen Faktor dahinter zu vergessen. Es gibt einen Grund, warum wir Datenschutz-Folgenabschätzungen haben und dass mehrere verschiedene Modellierungswerkzeuge zur Bewertung eines Datenschutzrisikos zur Verfügung stehen. Unabhängig davon, ob Sie Stride, Trim oder Lindon oder ein anderes Akronym verwenden möchten, das Ihnen einfällt, müssen wir die Art und die Wahrscheinlichkeit des Schadens berücksichtigen, der entsteht, wenn Sie diese Art von Dingen tun. Wissen Sie, Max Schrems hat sich jahrelang dafür eingesetzt. Und er hat sein Vermächtnis auf das aufgebaut, was viele wahrgenommen haben, einfach das Richtige zu tun und sein Wissen und seine Expertise einzusetzen, um den Menschen zu helfen, die nicht wissen, dass sie Hilfe brauchen.

Professor Romeo Kadir:

Ja. Wenn ich diesen ausgezeichneten Punkt der europäischen Regulierungsbehörde natürlich ergänzen darf, um die Bedeutung der grundlegenden Menschenrechte zu betonen, können wir dies nur begrüßen, aber noch einmal, so wichtig es auch ist, die Frage lautet meiner Meinung nach nicht, sollten wir mach das? Die Frage ist, wie können wir das tun? Recht? Also noch einmal, es kommt darauf an, was Sie von uns erwarten, wie wir dies tun, wie wir messen, wie wir sicherstellen können, dass wir die grundlegenden Menschenrechte gemäß Artikel eins zweiter Abschnitt der DSGVO bereits einhalten, richtig? Der Artikel der Zwecke. Was ist der Zweck der DSGVO? Ist nicht konform. Nein, es geht um die Förderung der Grundrechte und -freiheiten und aller Verpflichtungen, die in der DSGVO kodifiziert sind und die damit einhergehen. Das ist natürlich wichtig, aber wir werden überhaupt nicht dorthin gelangen, wenn Sie nicht in der Lage sind, praktische Fragen zu lösen, wie dies zu tun ist.

Also, und ich glaube, wir sind es uns selbst als Datenschutzexperten schuldig, uns wirklich anzustrengen und aufeinander zuzugehen und Antworten auf die Wie-zu-Frage zu finden. Nun, noch einmal, ich glaube, wir haben bereits damit begonnen, ein paar bewährte Vorgehensweisen zu kodifizieren, die übrigens auch von Koen Lenaerts, den wir alle als Präsident des Europäischen Gerichtshofs kennen, auf den Punkt gebracht wurde betonen oft die Bedeutung dessen, aber auch die Herausforderungen, die der Gerichtshof selbst hat, um die Dinge richtig zu machen.

Yasmin Hinds:

Und ich denke, das ist der Punkt. Und ich denke, wir haben hier einige ausgezeichnete Kommentare abgegeben. Und ich denke, wir können den Ozean bei diesem Aufruf leider nicht zum Kochen bringen, aber ich denke, dass es so viele gute Beispiele und den Austausch bewährter Verfahren und Empfehlungen gegeben hat, was ich jetzt wirklich gerne für das Publikum tun würde, weil wir nur noch ungefähr fünf Minuten übrig haben, ist nur für jeden, eine kleine Zusammenfassung ihrer Punkte zum Mitnehmen zu geben, damit das Publikum wirklich etwas mitnehmen kann. Und vielleicht, wenn sie das Gefühl haben, Sie individuell zu erreichen oder zumindest einige Gedanken zurücknehmen zu können, um weiter zu arbeiten. Wir beginnen also wie am Anfang mit den Damen zuerst. Also Emma, fang bitte an. Und wenn wir dann einfach in der gleichen Reihenfolge herumgehen könnten, hätten wir nur fünf Minuten.

Emma Martins:

Okay. Eines der guten Dinge hier ist, dass dieses Thema kürzlich auf die Tagesordnung gerückt wurde. Also müssen wir alle davon profitieren. Wenn Sie ein Datenschutzbeauftragter sind, wenn Sie Teil der C-Suite sind, stellen Sie sicher, dass dies in die Routinegespräche als Teil Ihres Governance-Gesprächs eingebettet ist, versuchen Sie, die Gedanken in Ihrer Organisation neu zu fokussieren, weg von Einsen und Nullen und Vorhängeschlösser für den Menschen, der hinter dem Datensatz sitzt, hinter den Excel-Tabellen sitzt, was auch immer Sie verwenden. Und zu guter Letzt, bitte Yasmin, wenn ich darf, ich habe ein schönes Zitat aus einem Chat namens Adam Ryan gesehen, ich sage seinen Namen, weil das Zitat von ihm stammt, nicht von mir, Chief Data Officer bei Calligo, glaube ich. Er sagte, Sie sollten Zweifel vermeiden, die ganzheitliche Natur einer Datenstrategie herunterzuspielen. Und ein letzter Kommentar, dass Übertragungen ein Element einer Datenübertragungsstrategie sind. Es ist ein wirklich, wirklich wichtiges Element und es gibt keine schnellen Lösungen, aber es ist gleichermaßen Teil eines viel umfassenderen Compliance-Bildes. Konzentrieren Sie sich also bitte nicht nur auf ein Element. Es ist das Gesamtbild, das wir nachschlagen müssen.

Yasmin Hinds:

Exzellent. Und Josef?

Joseph Byrne:

Ich würde sagen, konzentrieren Sie sich unbedingt darauf, warum Sie die Daten übertragen. Und wenn es eine Möglichkeit gibt, diesen Zweck ohne personenbezogene Daten zu erreichen, oder sogar wenn es eine Möglichkeit gibt, dies ohne internationale Übertragung zu erreichen, gibt es einen lokalen Anbieter, der dies tun kann, oder wenn er Cloud-basiert ist, können Sie ihn einfach haben gehostet, wo Sie sich gerade befinden? Und ein weiterer Punkt ist, dass Max Schrems sehr motiviert ist und es wird Schrems drei, vier, fünf und sechs geben, denke ich. Die ganze Art von Reibung in diesem Bereich wird also nicht so schnell verschwinden.

Yasmin Hinds:

Ich denke, das ist die Wahrheit. Und Laurenz?

Laurence Lawson:

Ja, ich nehme an, das Hauptthema für mich ist, dass Compliance ein bewegliches Ziel ist. Sie können nie vollständig konform sein. In diesem Sinne darf man den Ball nie aus den Augen lassen. Das Beste, was Sie tun können, ist zu versuchen, Dinge zu tun. Es gibt jede Menge Ressourcen. Es gibt viele Personen, die Ihnen gerne helfen, sogar kostenlos, und diese Art von Ressourcen bereitstellen, die Ihnen helfen können, zumindest die richtigen Schritte in diese Richtung zu unternehmen. Niemand wird sich auf dich stürzen, weil du es versucht hast. Sie werden auf dich herabfallen, weil du ignoriert und absichtlich ignorierst, wo du falsch gehst.

Yasmin Hinds:

Und noch einmal, Professor Romeo, einige abschließende Gedanken.

Professor Romeo Kadir:

Ja. Um mit KMUs zu beginnen, wenn Sie sich teure Lösungen nicht leisten können, wie Laurence sagte, ja, es gibt einige kostenlose Ressourcen, aber auch, und dies ist eine wachsende Praxis, nicht nur für den Datenschutz, sondern auch für andere In den Bereichen Integrität und Ethik im Allgemeinen ist die Bedeutung von Peer-Reviews. Jetzt sind Peer-Reviews sehr, sehr einfach. Sie können einfach versuchen, sich mit einem anderen Kollegen in Verbindung zu setzen, der dasselbe tut, und versuchen, eine angemessene Diskussion darüber zu führen, wie Sie vorankommen, kann ebenfalls sehr hilfreich sein.

Und natürlich wieder viele interessante Probleme, viele große, kleinere Probleme, aber der wirkliche Unterschied besteht darin, zu versuchen, Probleme im wirklichen Leben zu lösen, indem man Lösungen im wirklichen Leben findet, was bedeutet das? Beginnen wir zunächst genau mit dem richtigen Umfang dessen, was getan werden sollte, wie von Joseph betont. Recht? Wenn Sie etwas sogar auf der Grundlage der Anonymisierung tun können, was implizit in der Philosophie von Artikel 25 der DSGVO enthalten ist, beginnen Sie damit. Und wissen Sie, heutzutage gibt es für viele Regulierungsbehörden viele interessante kostenlose Veröffentlichungen darüber, wie sie vorankommen können. Wenn ich das auch in Bezug auf die Sicherheit für KMU sagen darf, hat insbesondere die ENISA viele interessante 12-Punkte-Richtlinien veröffentlicht, wie Sie sicherstellen können, dass Sie als KMU alle Arten von komplexen Regeln und Vorschriften einhalten können und so weiter an. Es gibt also Sachen da draußen, um endlich abzuschließen. Wenn Sie nichts finden können, helfen wir Ihnen als Organisation von Datenschutzexperten gerne beim nächsten Schritt.

Yasmin Hinds:

Und ich denke, das ist ein großartiger Schlusspunkt. Also ja, wie ich am Anfang angefangen habe, wir haben großes Glück, dass sich die Diskussionsteilnehmer freiwillig gemeldet und sich für Kontaktaufnahmen geöffnet haben. Das geschieht natürlich außerhalb dieser Umgebung, aber wenn möglich, können Sie sich gerne an sie wenden. Und auch wenn Sie sich anhören können, es gab einige hervorragende Nuggets, die wir mitgenommen haben. Wir haben über Harmonisierung gesprochen, wir haben über das menschliche Element gesprochen. Wir haben darüber gesprochen, wie man mit kleinen Organisationen umgeht und wie sie einige dieser Bewertungen verwalten und umgehen können und wie sie sie intern verwalten können. Außerdem haben wir uns mit der Komplexität befasst, die größere Organisationen betrifft, und wie auch sie Strategien entwickeln, wie wir möglicherweise eine vollständige effektive Compliance erreichen. Das war also eine großartige Diskussion. Ich danke Ihnen allen für Ihre Beiträge im Chat. Nochmals vielen Dank an die Diskussionsteilnehmer. Und es war wirklich gut. Vielen Dank für Ihre Zeit heute. Tschüss.

Professor Romeo Kadir:

Danke euch allen.

Joseph Byrne:

Vielen Dank.`