Der Datenschutz wird Teil der neuen Normalität

AUSGEWÄHLTER ARTIKEL

Die Datenschutzgrundverordnung (DSGVO) wurde im April 2016 von der Europäischen Union verabschiedet und trat im Mai 2018 in Kraft.[1] Auf hohem Niveau sind diese Vorschriften recht einfach in ihrer Forderung nach “Schutz der Benutzerdaten”, aber wir sehen, dass die Einhaltung, möglicherweise nicht so einfach ist wie beworben. Wie Sie feststellen werden, wird die Einhaltung des Datenschutzes unter dem Strich die Unternehmensausgaben anspornen, was zu einer Investitionsmöglichkeit für diejenigen führt, die dies erkennen. Vor diesem Hintergrund werfen wir hier einen Blick auf die DSGVO-Bestimmungen, welche Unternehmen betreffen, die Daten über Bürger aus Ländern innerhalb der Europäischen Union sammeln.

Mit diesem Gesetz soll ein Rahmen geschaffen werden, der “die Grundrechte und -freiheiten natürlicher Personen und insbesondere ihr Recht auf den Schutz personenbezogener Daten” schützt.[2] Das ist schon mal eine starke Sache. Es zielt auf Informationen ab, die Nutzer bereits (wissentlich oder unwissentlich) an Unternehmen, mit denen sie interagieren, weitergegeben haben.

Ein Teil der Gesetzgebung konzentriert sich darauf, dass Unternehmen dahingehend Transparenz schaffen, was für Daten gesammelt oder erfasst werden – wir sehen die Auswirkungen davon bereits in Form von Bannern, die auf Websites erscheinen und die Nutzer auffordern, die Cookies, die beim Besuch einer Website auf dem Computer hinterlassen werden, zu akzeptieren oder zu ändern.

Doch über die Aufklärung der Nutzer über die Art und Weise der Informationssammlung, haben Unternehmen nun auch die Verantwortung, den Nutzern mitzuteilen, wohin die Daten weitergeleitet werden und wie sie weiterverwendet werden. Wenn nun gesammelte Daten an Dritte weitergegeben werden, haftet das Unternehmen für alle Handlungen des Drittanbieters. Das schließt auch die Weitergabe von Daten durch als unsicher erachtete Regionen oder Netzwerke mit ein.

Beispiele dafür sind die Untersuchung von Nokia (NOK) im Jahr 2019 durch finnische Beamte. Sie hegten den Verdacht, dass Nokia-Geräte Benutzerdaten durch chinesische Netze leiteten, ohne dies ihren Kunden offen zu legen.[3] Anfang dieses Jahres geriet der Videokonferenzanbieter Zoom (ZM) wegen seiner Methode, Anrufe über chinesische Server zu leiten (und die Kodierungsschlüssel auf ihren Servern zu hosten), unter Beschuss.[4] Als Reaktion darauf fügte Zoom den folgenden Mechanismus der “ausdrücklichen Zustimmung” hinzu:

“Existing or new users coming from IP address detected from EU when signing into the Zoom desktop or mobile application, or joining a meeting without being signed in, across any platform (Mac, Windows, Linux, iOS, Android, Web, ChromeOS) will be presented with a one-time privacy policy update. Consent to the updated Privacy Policy and Terms of Service are stored for compliance purposes.”[5]

Kürzlich wurden zwei in Kalifornien ansässige Unternehmen, Salesforce.com (CRM) und Oracle (ORCL), in einer potenziellen 10 Milliarden Euro-Sammelklage in den Niederlanden angeführt (eine ähnliche Klage soll noch in diesem Monat in London eingereicht werden). In dieser wird behauptet, dass die beiden Unternehmen bei der Aufbesserung von Benutzerinformationen zusammenarbeiten. Durch die Aggregation von Benutzerdaten von Websites Dritter sollen unter Verwendung ihrer Drittanbieter-Cookies “Bluekai” und “Krux” besser verwertbare/verkaufbare Profile erstellt werden.[6] Eine DSGVO-Verletzung? Sie taten dies angeblich ohne das Wissen der Benutzer, was eine direkte und eindeutige Verletzung der DSGVO wäre. Einer der für uns interessantesten Aspekte ist, dass das Bieten und Verkaufen von Benutzerprofilen in Echtzeit erlaubt ist, die einzig problematische Frage ist, wie die Angeklagten die zu verkaufenden Daten gesammelt haben.

Das Verfahren gegen die beiden Technikgiganten wird von The Privace Collective vorgebacht, einem gemeinnützigen, europäischen Verband, der sich auf den Schutz der Privatsphäre von Konsumenten konzentriert.[7] Bislang gab es noch keine Nachricht aus Brüssel über eine offizielle EU-Untersuchung. Wir vermuten, dass viele ein wachsames Auge auf diese Angelegenheit haben werden, nicht nur wegen der Höhe der möglichen Bußgelder, sondern auch wegen der Auswirkungen auf andere Unternehmen. Da die Höhe der Geldstrafen für eine Verletzung der DSGVO oder andere damit verbundene Verletzungen der Privatsphäre ansteigt, schaffen die Bußgelder selbst eine weitere potenzielle Motivation für Cyber-Angreifer. Laut CoreView gab es 31 größere DSGVO-Bußgelder in Höhe von mindestens 100.000 Euro, und bis jetzt wurden 17 solcher größeren Geldstrafen im Jahr 2020 angekündigt.[8]

Eine der Bestimmungen des DSGVO sieht vor, dass jedes für einen Verstoß verantwortliche Unternehmen das Recht hat, Ansprüche gegen alle Parteien geltend zu machen, die unrechtmäßig erworbene Daten transportiert oder verarbeitet haben oder Endnutzer dieser Daten waren. Man würde davon ausgehen, dass die Schuldfrage in diesem Fall unkompliziert ist, da das Internet “nie vergisst”. Es ist aber zu erwarten, dass es nach jeder größeren Strafe zu einer Flut von Klagen kommt. Unternehmen werden darum kämpfen, den Prozentsatz einer Geldstrafe, für den sie verantwortlich sind, zu begrenzen.

Diese Regeln gelten auch für Situationen, in denen Unternehmen gehackt werden oder Opfer ihrer eigenen Fehler werden. Im Mai dieses Jahres wurde festgestellt, dass die berühmte französische Zeitung Le Figaro eine Datenbank, mit fast 7,4 Milliarden Datensätzen persönlicher Informationen der Websitenutzer und Websitetraffic unsicher geführt hat.[9] Die Datenbank wurde von dem Dienst Dedibox (im Besitz des Französischen-Dienstes Online SAS) gehostet, der seinerseits Poney Telecom nutzte. Dort befand sich nach Angaben von Forschern die völlig ungeschützte Datenbank.[10] Bislang hat die EU noch keine Maßnahmen ergriffen, aber da die kompromittierten Daten gut unter die Definition „geschützte Benutzerinformationen“ fallen, wird erwartet, dass Bußgelder verhängt werden. Wie schon viele in der Vergangenheit bereits angemerkt haben, drehen sich die Räder der Justiz langsam, aber die Mühlen der Justiz mahlen überaus fein.

Jedes Unternehmen, das mit Daten von EU-Bürgern zu tun hat, unterliegt der DSGVO, unabhängig vom Firmensitz. Da das Internet grenzenlos ist, hat diese Verordnung tiefgreifende Auswirkungen auf Unternehmen weltweit. Einer der faszinierendsten Aspekte des digitalen Lifestyles ist, dass die Regeln, die unser Handeln bestimmen und uns schützen, immer globaler werden.

Diese zunehmende Komplexität macht es für Neueinsteiger schwieriger, mit den bestehenden Giganten zu konkurrieren, und schafft gleichzeitig neue Herausforderungen für eben diese Riesen, sich an diese neue Realität anzupassen. Das bedeutet, dass Unternehmen, die gegen böswillige Akteure und Cyberangriffe kämpfen, auch ihre Brieftaschen öffnen müssen, um die Einhaltung der DSGVO zu gewährleisten.

Und während wir uns oben nur auf die DSGVO konzentriert haben, hat auch das Kalifornische Office of Administrative Law die endgültigen Bestimmungen des California Consumer Privacy Act (CCPA) verabschiedet, welche sofort in Kraft getreten sind.[11] Es handelt sich also nicht nur um eine europäische Sache, sondern um einen globalen Trend.

Datenschutz ist zwar kein von S&P Dow Jones anerkannter Sektor, aber zusammen mit Cybersicherheit wird der Schutz von Daten die digitale Version der Unternehmensversicherung werden. Das bedeutet, dass er für die meisten, wenn nicht für alle Organisationen zur Pflicht wird.[12] Bis dahin ist dieser wachsende Markt ein Bereich, den Investoren erschließen sollten. Langfristig, so vermuten wir, werden Cybersicherheit und Datenschutz als essenzielle Dienstleistungen angesehen werden. In einer globalen Wirtschaft, in der Wachstum in den kommenden Jahren immer schwieriger zu erreichen sein wird, hat das einiges zu bedeuten. Die Chancen hier sind besonders weitreichend, da in einer immer “virtueller” werdenden Welt, physische Grenzen keine Bedeutung haben. Das bedeutet, dass Organisationen mit empfindlichen Geldstrafen rechnen müssen, wenn sie sich nicht an Vorschriften halten, welche weit außerhalb der Grenzen ihrer physischen Präsenz gelten.

Investoren, die ein Exposure in diesen Pain Point und die daraus resultierende Nachfrage nach Datenschutzunternehmen erreichen wollen, sollten sich mit Unternehmen wie NortonLifeLock (NLOK), Ping Identity (PING) und Cloudflare (NET) befassen, um nur einige zu nennen.

Dieser vorgestellte Artikel wurde von Tematica Research LLC erstellt. Rize ETF Ltd. gibt keine Zusicherungen oder Gewährleistungen jeglicher Art, weder ausdrücklich noch stillschweigend, bezüglich der Vollständigkeit, Genauigkeit, Zuverlässigkeit oder Eignung der in diesem Artikel enthaltenen Informationen.

Verwandter ETF

RCRS: Rize Cybersecurity and Data Privacy UCITS ETF

Verweise:

[1] European Parliament Think Tank, “GDPR goes live: A modern data protection law”, May 2018. Available at: https://www.europarl.europa.eu/thinktank/en/document.html?reference=EPRS_ATA(2018)621873

[2] General Data Protection Regulation, “Art. 1 GDPR: Subject-matter and objectives”, 2020. Available at: https://gdpr-info.eu/art-1-gdpr/

[3] The Sun, “Nokia admits its phones have been sending your location data to China in major privacy blunder”, March 2019. Available at: https://www.thesun.co.uk/tech/8721601/nokia-phones-sending-data-china-privacy/

[4] The Guardian, “UK government told not to use Zoom because of China fears”, April 2020. Available at: https://www.theguardian.com/uk-news/2020/apr/24/uk-government-told-not-to-use-zoom-because-of-china-fears

[5] Zoom, “Zoom Video Communications GDPR Compliance”, April 2020. Available at: https://zoom.us/gdpr

[6] Techcrunch, “Oracle and Salesforce hit with GDPR class action lawsuit over cookie tracking consent”, August 2020. Available at: https://techcrunch.com/2020/08/14/oracle-and-salesforce-hit-with-gdpr-class-action-lawsuits-over-cookie-tracking-consent/

[7] IBID

[8] Coreview, “Major GDPR Fine Tracker – An Ongoing, Always-Up-To-Date List of Enforcement Actions”, August 2020. Available at: https://www.coreview.com/blog/alpin-gdpr-fines-list/

[9] InfoSecurity Magazine, “French Newspaper Le Figaro Leaks 7.4 Billion Records”, May 2020. Available at: https://www.infosecurity-magazine.com/news/french-paper-le-figaro-leaks-74/

[10] IBID

[11] State of California Department of Justice, “Xavier Becerra: Attorney General – California Consumer Privacy Act (CCPA)”, 2020. Available at: https://oag.ca.gov/privacy/ccpa

[12] S&P Dow Jones Indices, “Sectors”, 2020. Available at: https://www.spglobal.com/spdji/en/landing/investment-themes/sectors/