Die Head of Regulatory & Compliance und Data Protection Officer der Hutchison Drei Austria GmbH über die Unternehmensseite der DSGVO
Dr. Natalie Ségur-Cabanac im Interview
1.) Was waren vor 5 Jahren Ihre Gedanken, als die DSGVO in Kraft getreten und inwieweit haben sich Ihre Prognosen (nicht) bewahrheitet?
Wir haben uns bei Drei schon gleich nach der Veröffentlichung der DSGVO 2016 mit der Umsetzung zu beschäftigen begonnen. Wir waren 2018 schon recht weit. Das Inkrafttreten war aber dennoch spannend, insbesondere weil noch sehr viele Fragen offen waren. Eines war jedenfalls klar: Datenschutz wird in Zukunft ernst zu nehmen sein, ernster als bisher, wobei das im Wesentlichen in den hohen Geldbußen der DSGVO begründet war. 5 Jahre später sehe ich, dass Datenschutz tatsächlich ernster genommen wird und dass auch durchaus hohe Strafen ausgesprochen wurden.
2.) Wie würden Sie die Auswirkungen der DSGVO auf den Datenschutz in Europa in den letzten fünf Jahren bewerten?
Die DSGVO ist ein Vorzeigeprojekt und auch ein Exportschlager. Zahlreiche Länder haben nach dem Vorbild der DSGVO eigene Datenschutzregelungen erlassen, sogar in den USA (wenn ich an Kalifornien denke). Europa hat bewiesen, dass die Grundrechte ernst genommen werden. Das Recht auf Privatsphäre wurde durch die DSGVO definitiv gestärkt.
Viel dreht sich um den transatlantischen Datenverkehr, insbesondere zwischen Europa und den USA. Viele Anwendungen, die wir heute standardmäßig nutzen bzw. sogar nutzen müssen, kommen aus den USA. Dass es derzeit kein Abkommen zwischen der EU und den USA gibt, erschwert einerseits die Nutzung dieser Services bzw. verursacht enormen Ressourcen bei der Dokumentation und Rechtfertigung in den Unternehmen und Organisationen. Die Entscheidungen des EUGH helfen in der Praxis sehr, Klarheit in der Anwendung der DSGVO zu bekommen. Wir erwarten in den kommenden Monaten einige wichtige Wegweiser durch den EUGH, die sicher auch zu mehr Akzeptanz der DSGVO führen werden.
3.) Wie hat sich die DSGVO auf die Praxis der Datenverarbeitung und den Schutz personenbezogener Daten ausgewirkt?
Die DSGVO ernst nehmen bedeutet data privacy by design in allen Prozessen zu etablieren, in denen personenbezogene Daten involviert sind. Nur so kann der Schutz personenbezogener Daten garantiert werden. Das gelingt wohl noch nicht überall. Andererseits kann es auch schwierig sein, die Vorteile einer datenschutzkonformen Verarbeitung zu „verkaufen“, wenn User aus ihrer Sicht permanent mit Cookie Banner und Einwilligungen im Internet genervt werden.
4.) Wie hat sich die DSGVO auf das Vertrauen der Verbraucher in den Umgang mit ihren Daten durch Unternehmen und Organisationen ausgewirkt?
2016 und wohl auch noch 2018 hatte ich manchmal den Eindruck, dass den Leuten der Datenschutz nicht so wichtig war. Vielleicht war das auch durch eine gewisse Naivität begründet, dass eh nichts passieren kann. Oft hat man gehört und gelesen, dass Leute nichts zu verbergen hätten und kein Problem damit haben, wenn jemand Informationen hat, die oft sehr persönlich sind. Andererseits gab und gibt es auch jene, die sehr auf ihren Datenschutz gepocht haben, aber in sozialen Medien teils tiefe Einblicke in ihr Privatleben geben. Vielen ist immer noch nicht klar, wie Daten im Internet verarbeitet und mit Dritten geteilt werden. Insgesamt glaube ich aber schon, dass wesentlich mehr Verantwortungsgefühl für rechtskonforme Datenverarbeitung in den Unternehmen und Organisationen zu finden sind.
5.) Welche Auswirkungen wird die DSGVO in Zukunft haben, insbesondere im Hinblick auf die sich entwickelnden Technologien und die zunehmende Globalisierung der Datenverarbeitung?
Ich bin davon überzeugt, dass die DSGVO eine sehr gute und taugliche Regulierung ist, um Innovation und neue Technologien möglich zu machen. Datenschutz ist komplex, er ist aber nicht kompliziert. Datenschutzkonform zu arbeiten, ist also relativ leicht möglich. Für die Komplexität ist es jedenfalls gut, eine Expertin oder einen Experten bei der Hand zu haben. Die DSGVO sieht ja dafür eigene Datenschutzbeauftragte vor, die eine zentrale Rolle bei der Etablierung, aber auch bei der Weiterentwicklung von datenbezogenen Prozessen haben. Es ist wichtig, Datenschutzbeauftragten die Möglichkeit zu geben, sich fortzubilden, nicht nur im Datenschutzrecht, sondern insbesondere auch in neuen Technologien und Trends. Derzeit ist das große Thema die Künstliche Intelligenz. Derzeit fragen sich viele, wie etwa Chat GPT datenschutzkonform funktioniert und angewendet werden kann. Wir spüren, wie unfassbar disruptiv diese neuen Anwendungen für uns Menschen sein werden. Wir spüren dabei aber auch, wie wichtig es für ein Gefühl der Kontrolle ist, dass wir vertrauen können müssen, dass der Datenschutz in und von Chat GPT nicht verletzt wird.
6.) Welche Schritte sollten Unternehmen und Organisationen unternehmen, um sicherzustellen, dass sie auch in Zukunft den Anforderungen der DSGVO gerecht werden?
Es bleibt jedenfalls wichtig, dran zu bleiben. Es bleibt essentiell, Datenverarbeitungen zu dokumentieren und transparent und verantwortungsvoll gegenüber Betroffenen zu agieren. Unternehmen und Organisation sollten offen sein für neue Entwicklungen, diese verstehen um entsprechend rechtzeitig zu reagieren und allenfalls die internen Abläufe anzupassen. Nicht nur die DSGVO ist relevant für die Privatsphäre von Betroffenen bzw für personenbezogene Daten. Auch andere Regulierungen sind von großer Relevanz (wie zB Data Act, Data Governance Act, ePrivacy, Verordnung über Künstliche Intelligenz, NIS II, etc.). Ein gewisses know how über die Inhalte dieser anderen Regelungen ist wichtig, um die Zusammenhänge zu verstehen, aber auch um die Chancen und Risiken für das eigene Geschäftsmodell bzw das eigene Unternehmen zu verstehen.
Dr. Natalie Ségur-Cabanac ist eine erfahrene Expertin im Bereich des Datenschutzes und der Datensicherheit. Als Head of Regulatory & Compliance und Data Protection Officer der Hutchison Drei Austria GmbH bringt sie ein breites Spektrum an Erfahrungen und Fachwissen in das Thema Datenschutz aus der Perspektive eines Unternehmens ein.
Als Speakerin bei der Interviewserie des DMVÖ zeigt und teilt Dr. Natalie Ségur-Cabanac ihre praktischen Erfahrungen aus der täglichen Arbeit mit der DSGVO, wie Unternehmen und Organisationen die Anforderungen der DSGVO in der Praxis umsetzen können.