Seit 2018 gilt die DSGVO und soll für mehr Datensicherheit sorgen. Die Erwartungen der Verbraucher:innen waren groß. Doch laut aktueller Bitkom Studie sorgt sich die Mehrheit der Internetnutzer:innen noch immer um ihre Daten. 77 Prozent der Befragten gaben an, dass sie ihre Daten als eher unsicher bzw. sehr unsicher im Internet empfinden. Dazu stellen für Unternehmen die Richtlinien laut einer weiteren Umfrage der Bitkom aus dem letzten Oktober eine Innovationsbremse dar.

Unternehmen müssen daher schnell handeln und eine datenschutzkonforme Kultur aufbauen, wenn sie mit den Erwartungen der Konsumenten und Konsumentinnen und den Vorschriften mithalten und dazu noch wettbewerbsfähig bleiben wollen.

Die zunehmende Verbreitung von KI-Tools am Arbeitsplatz und die immer ausgefeilteren Gen-AI-Funktionen haben den Datenschutz zu einem brennenden Thema gemacht. Studien zufolge haben 2023 35 Prozent der Unternehmen weltweit KI-Tools eingesetzt.

Als Reaktion darauf hat der Europäische Datenschutzausschuss eine Taskforce zur Überwachung von Chat GPT eingerichtet, während der EU AI Act den Schutz weiter ausbauen soll, obwohl dieser frühestens 2025 in Kraft treten wird. In ähnlicher Weise haben die USA im Oktober ihre Executive Order über die sichere und vertrauenswürdige Entwicklung und Nutzung von künstlicher Intelligenz veröffentlicht, die sich auf die Nutzung von KI durch die Regierung konzentriert, aber voraussichtlich eine viel breitere Wirkung haben wird.

Im Jahr 2024 wird es weltweit weitere Verschiebungen hin zu einer umfassenderen und differenzierteren Regulierung geben, um die ethische Nutzung, den Datenschutz und die Sicherheit von KI zu gewährleisten.

Gen AI, große Sprachmodelle (LLMs) und andere KI-Tools bergen die Gefahr, dass personenbezogene Daten für schnelle Ergebnisse genutzt und missbraucht werden. Dies kann zu einer automatisierten Entscheidungsfindung ohne menschliches Eingreifen führen, was den Schutz der Privatsphäre des Einzelnen stark beeinträchtigt, der durch die Datenschutz-Grundverordnung der EU (DSGVO) geregelt wird, die weithin als Goldstandard für den Datenschutz gilt.

Da 74 Prozent der Datenschutzverletzungen laut einem Bericht von Verizon auf menschliches Handeln zurückzuführen sind, ist eine regelmäßige und kontinuierliche Schulung unerlässlich, um Unternehmen vor den Folgen solcher Fehler zu schützen. Dazu gehört, dass sowohl neue als auch bestehende Mitarbeiter:innen umfassend über den Datenschutz informiert werden, wobei diese Initiative von der obersten Führungsebene ausgehen und sich durch alle Hierarchieebenen hindurchziehen sollte. Leider beobachten wir noch immer, dass Datenschutz häufig eines der unterschätzten und unliebsamen Themen in der Unternehmensführung darstellt. Dabei sollten die Schulung und Aufklärung der Mitarbeitenden höchste Priorität haben. Denn nur, wenn Datenschutz auch im Unternehmen gelebt wird, ist das die Basis für eine nachhaltige Umsetzung der Richtlinien.

Neben dem Schwerpunkt KI werden in diesem Jahr in der EU auch der Digital Markets Act (DMA) und der Digital Services Act (DSA) in Kraft treten, wobei der Schwerpunkt zunächst auf großen Unternehmen, den sogenannten Gatekeepern und VLOPs (sehr großen Online-Plattformen) liegt. Beide Gesetze berühren die Privatsphäre durch Bestimmungen, die sich auf gezielte oder verhaltensorientierte Werbung beziehen.

Diese Vorschriften werden Unternehmen dazu veranlassen, ihren Fokus auf Technologien zur Verbesserung des Datenschutzes zu legen, sogenannte Privacy Enhancing Technologies (PETs), die Datenlecks verhindern und gleichzeitig ein Gleichgewicht zwischen Datenschutzanforderungen und Benutzerfreundlichkeit herstellen sollen. Gleichzeitig steigt das Interesse für Privacy Clouds, eine Cloud-Computing-Infrastruktur, die speziell darauf ausgerichtet ist, die Privatsphäre von Benutzern und Benutzerinnen und die Sicherheit ihrer Daten zu gewährleisten. Im Gegensatz zu herkömmlichen Cloud-Diensten, die möglicherweise nicht ausreichend auf Datenschutz und Sicherheit ausgerichtet sind, sind Privacy Clouds darauf spezialisiert, strenge Datenschutzstandards einzuhalten und Mechanismen zum Schutz sensibler Informationen bereitzustellen.

Durch den Einsatz von PETs wie differentiellem Datenschutz, K-Anonymität und homomorpher Verschlüsselung in Data Clean Rooms können Unternehmen wiederum ihre Datenverarbeitungspraktiken so gestalten, dass sie den Anforderungen neuer Vorschriften und den gestiegenen Erwartungen der Verbraucher:innen gerecht werden.

Durch die Implementierung dieser Technologien in Data Clean Rooms können Unternehmen eine robuste Datenschutzinfrastruktur aufbauen, die es ihnen ermöglicht, Daten effektiv zu nutzen, ohne die Compliance-Risiken oder die Privatsphäre der Benutzer zu vernachlässigen. Dies ist entscheidend, um das Vertrauen der Verbraucher zu gewinnen und gleichzeitig den regulatorischen Anforderungen gerecht zu werden.

Technologien und Dienste wie Data Clean Rooms sind eher auf Nutzerdaten von Erstanbietern zugeschnitten, was sie zu einem klaren Gewinn für den Datenschutz macht.

Privacy Clouds und Data Clean Rooms können sich letztendlich im Rahmen einer umfassenden Datenschutzstrategie auch ergänzen und zusammenarbeiten. Privacy-Cloud-Infrastrukturen werden dann verwendet, um die Daten in einem sicheren und geschützten Umfeld bereitzustellen, während Data Clean Rooms diese Daten dann für Analysen oder Verarbeitungszwecke nutzen, wobei Datenschutzprinzipien und -maßnahmen weiterhin eingehalten werden.

Die präventive Umstellung auf datenschutzfreundliche Praktiken schützt Unternehmen nicht nur vor den Strafen, die mit einer mangelnden Einhaltung der Vorschriften verbunden sind, wie zum Beispiel die Geldstrafe von Meta in Höhe von 1,2 Millionen Euro Anfang des Jahres für die Verletzung der Datenübertragungsregeln gemäß der DSGVO. Es schützt auch das wichtige Vertrauen der Nutzer:innen, die sich zunehmend mit Unternehmen einlassen, die ihre Privatsphäre wertschätzen und transparent darüber sind, wie sie Kundendaten verwenden.

Das Dauerthema der internationalen Datenübermittlung wird 2024 weitergehen. Im Juli wurde der EU-US-Datentransferrahmen verabschiedet, der die legale Übermittlung personenbezogener Daten über den Atlantik erleichtert und die Diskussion darüber, wie Daten von der EU in die USA übertragen werden könnten oder sollten, vorübergehend beendet hat.

Es wird jedoch erwartet, dass der Datenschutzaktivist Max Schrems und seine gemeinnützige Gruppe NOYB (None of Your Business) erneut Bedenken hinsichtlich des Ausmaßes der Überwachung durch die US-Regierung äußern und argumentieren, dass der neue Rahmen personenbezogene Daten in der EU nicht ausreichend schützt. Sollte dies der Fall sein, würde dies den transatlantischen Datenfluss stören und die Übermittlung von Daten zwischen der EU und den USA erneut in eine schwierige rechtliche Lage bringen.

Unternehmen müssen zwar genau darauf achten, welche Daten sie wohin übermitteln, aber der Datenaustausch zwischen Ländern ist ein wichtiger Bestandteil der globalen Wirtschaft. In einer grenzenlosen digitalen Gesellschaft erscheint es kontraintuitiv, den Datenfluss zwischen Ländern kontrollieren zu wollen.

Für das Jahr 2024 hat die wachsende Besorgnis über die Verwendung und Weitergabe personenbezogener Daten eine fragmentierte Datenschutzlandschaft geschaffen, in der sich die Unternehmen im Eiltempo bewegen müssen. Da Daten für Unternehmen im globalen digitalen Ökosystem so wichtig sind, wird es im Jahr 2024 auch wieder darauf ankommen, ein ausgewogenes Gleichgewicht zwischen geschäftlichen Erfordernissen, rechtlichen Anforderungen und den Prioritäten der Kunden zu finden.