DSGVO, TTDSG und Hinweisgeberschutz: aktuelle Herausforderungen im Datenschutz
Seit die DSGVO im Mai 2018 in Kraft trat, ist einiges passiert. Regelungen wurden konkretisiert, erste Urteile gesprochen und die Datenschutzlandschaft durch zusätzliche Gesetze ergänzt. Auch im kommenden Jahr gibt es für Unternehmen und Behörden in Deutschland und Europa datenschutzrechtliche Herausforderungen. Wir haben mit dem als externer Datenschutzbeauftragter tätigen Rechtsanwalt Frank Henkel über die aktuellen Themen im Datenschutz gesprochen.
Datenschutz aktuell: Was hat sich getan in fünf Jahren DSGVO?
Die Datenschutzgrundverordnung (DSGVO) hat den Datenschutz in Deutschland nachhaltig verändert. Ihre Einführung erzeugte eine enorme mediale Wirkung und ein nie da gewesenes Bewusstsein für die Bedeutung des Datenschutzes. In den Aufsichtsbehörden zeigt sich dies etwa in einer enorm gestiegenen Anzahl an Beschwerden von Betroffenen.
Auch die Sanktionen erregen Aufsehen: „Die DSGVO erlaubt einen deutlich höheren Rahmen für Bußgelder als das Bundesdatenschutzgesetz. Bußgelder in Millionenhöhe sind nicht nur theoretisch möglich, sondern kommen auch tatsächlich immer wieder vor“, erklärt Frank Henkel. Ein Fall, der im Datenschutz aktuell wieder die Gemüter erregt hat, ist der Meta-Konzern, zu dem Plattformen wie Facebook und Instagram zählen. Die irische Datenschutzbehörde verhängte wegen der unzulässigen Verarbeitung personenbezogener Daten für die Ausgabe personalisierter Werbung ein Bußgeld in Höhe von 390 Millionen Euro.
Aktuelle Themen im Datenschutz: Herausforderungen im neuen Jahr
Die deutsche und die EU-Gesetzgebung justieren den Datenschutz aktuell immer wieder nach. Die folgenden Themen beschäftigen uns in einem Zeitrahmen von ein bis zwei Jahren.
Datenschutz & künstliche Intelligenz: Verarbeitung riesiger Datenmengen
Die künstliche Intelligenz (KI) verarbeitet enorme Mengen an Daten – mitunter auch personenbezogener Natur. Das allein bietet bereits ausreichend Zündstoff für die Einhaltung des Datenschutzes bei künstlicher Intelligenz.
Die Herausforderung liegt in der selbstständigen Weiterentwicklung der künstlichen Intelligenz. Um personenbezogene Daten nach DSGVO verarbeiten zu dürfen, muss der Grundsatz der Datenminimierung eingehalten werden. Dies widerspricht jedoch schon im Ansatz dem Vorgehen der KI, die große Datenmengen zur Weiterentwicklung des Algorithmus benötigt. Henkel führt aus: „Schwerer wiegt jedoch, dass die Verarbeitung personenbezogener Daten nur für einen zuvor definierten Zweck zulässig ist. KI versucht, aus der großen Menge an Daten neue Erkenntnisse zu generieren. Im Vorfeld ist jedoch unklar, welche Erkenntnisse das sein werden und zu welchem Zweck diese eingesetzt werden können.“
Auf EU-Ebene konnte man sich im Dezember 2023 auf eine EU-Verordnung zur KI verständigen. Besonderer Fokus liegt dabei auf hochriskanten KI-Anwendungen, etwa im Personalmanagement oder in der kritischen Infrastruktur. Es sollen umfassende Qualitäts- und Risikomanagementsysteme eingeführt werden. Die KI-Verordnung wird voraussichtlich noch im ersten Halbjahr 2024 in Kraft treten. In der Verordnung sind unterschiedliche Übergangsfristen enthalten, sodass eine vollständige Anwendbarkeit der KI-Verordnung erst nach zwei Jahren eintreten wird. Teile der KI-Verordnung treten allerdings schon deutlich früher in Kraft, weshalb Unternehmen sich schon jetzt mit der neuen KI-Verordnung befassen sollten.
Datenschutz in KMU: vielfältige Vorgaben als Herausforderung
Auskunftsrechte der Betroffenen, Dokumentationspflichten, Informationspflichten – die DSGVO ist für KMU schwierig umzusetzen. Die vielfältigen Rechtsvorschriften sind ohnehin schwer zu überschauen. Hinzu kommt der hohe Aufwand, für den in kleineren und mittleren Unternehmen häufig die Ressourcen fehlen.
Damit KMU die DSGVO rechtssicher umsetzen können, muss auf Expertenwissen zurückgegriffen werden können. Häufig fehlen intern Beschäftigte mit solchen Spezialkenntnissen. Es bleibt dann nichts anderes übrig, als auf externe Berater:innen zurückzugreifen. Auch kleinere Betriebe, die nicht zur Bestellung eines:r Datenschutzbeauftragten verpflichtet sind, profitieren in solchen Fällen von der externen Unterstützung durch eine:n Berater:in, ist sich Henkel sicher. Diese:r kann die Aufgabe übernehmen, die Mitarbeiter:innen zu schulen und bei der Umsetzung der DSGVO anzuleiten.
In Hinblick auf den Datenschutz sollten sich KMU nicht in falscher Sicherheit wiegen: Zwar ist die Wahrscheinlichkeit relativ gering, dass sie ohne Anlass in den Fokus einer Datenschutz-Aufsichtsbehörde geraten. Beschwert sich allerdings jemand über einen Datenschutzverstoß, sind die Aufsichtsbehörden verpflichtet, der Beschwerde nachzugehen – und dann sind KMU ebenso wenig wie große Konzerne vor Bußgeldern gefeit.
TÜV NORD – Ihr Partner für berufliche Weiterbildungen
- Über 600 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 460 verschiedenen Seminarthemen täglich an Sie weiter.
- Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
- Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.
Unsere Seminar-Empfehlungen für Sie
Die Inhalte dieser Fortbildung bringen Sie auf den neuesten Stand der Rechtsprechung und stellen die Entwicklungen in der Gesetzgebung und den Datenschutzbehörden anschaulich und praxisorientiert dar.
Damit Sie im Umgang mit Verträgen und anderen rechtlichen Erklärungen sicher handeln, lernen Sie, Datenschutzkriterien zu erkennen und Datenschutzklauseln richtig umzusetzen. Dazu geben wir Ihnen Muster für Aufbau, Inhalt und Formulierung von datenschutzrelevanten Vertragsklauseln und sonstigen Erklärungen an die Hand.
Der EU Data Governance Act: Zugang zu großen Datenmengen
Wertvolle Informationen und große Datenbestände für die Gesellschaft und die Forschung nutzbar zu machen, darum geht es im EU Data Governance Act. Der Data Governance Act trat im Juni 2022 in Kraft und ist in den EU-Mitgliedstaaten seit dem 24. September 2023 unmittelbar anwendbar. Allerdings betrifft die Neuerung vor allem große Konzerne wie etwa Google oder Meta, die über sehr große Datenmengen verfügen, ohne diese bislang teilen zu müssen.
Der EU Data Governance Act setzt einen Rahmen auf hoher Meta-Ebene und schafft die erforderlichen Infrastrukturen, um den Zugang zu Daten sicherzustellen. Für die meisten Unternehmen hat er in der Praxis keine direkten Auswirkungen.
Hinweisgeberschutzgesetz: Anpassung des Datenschutzkonzeptes erforderlich
Die EU-Whistleblower-Richtlinie wurde mittlerweile mit der Verabschiedung des Hinweisgeberschutzgesetzes (HinSchG) in deutsches Recht umgesetzt.
Meldet ein:e Hinweisgeber:in einen vermeintlichen Verstoß gegen bestimmte Rechtsvorschriften bei der einzurichtenden internen Meldestelle, werden personenbezogene Daten verarbeitet. Betroffen sind nicht nur die eigenen Daten, sondern auch die der beschuldigten Person. Entsprechend wichtig ist die Einhaltung der speziellen Datenschutzbestimmungen des HinSchG und der DSGVO. Henkel weiß: „Der Hinweisgeberschutz ist ein brandaktuelles Thema im Datenschutz. Unternehmen müssen die Vertraulichkeit gewährleisten können, Informationspflichten nachkommen und interne Meldestellen einrichten. Allein schon die notwendige IT-Infrastruktur zu schaffen, um die sensiblen Daten in einer hochsicheren Umgebung verarbeiten zu können, und die Klärung interner Zuständigkeiten sind große Herausforderungen.“
PIMS & TTDSG: Auswirkungen auf den Onlinebereich
Bereits im Dezember 2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten, das insbesondere Vorschriften zum Fernmeldegeheimnis und zum Einsatz von Cookies beim Betrieb von Webseiten enthält. Cookies, die für den Betrieb von Webseiten nicht zwingend benötigt werden, erfordern in der Regel eine Einwilligung der Person, die die Webseite besucht.
Damit Webseitenbesucher:innen bei dem Besuch einer Webseite nicht immer wieder zur Abgabe einer Einwilligung aufgefordert werden müssen, sollen sogenannte PIMS genutzt werden können. PIMS steht für „Personal Information Management System“. In diesem Software-Dashboard können Internetnutzer:innen ihre gegebenen oder verweigerten Einwilligungen verwalten. Ein Entwurf der Verordnung (Einwilligungsverwaltungsverordnung) liegt bereits vor und befindet sich in der Abstimmung. Ob und wann die Verordnung in Kraft treten könnte, ist noch nicht abzuschätzen.
Aus Sicht des Experten lässt der Entwurf für die PIMS-Verordnung derzeit noch zu viele Fragen offen. Aktuell sei noch unklar, inwieweit diese Möglichkeit von den Verbraucher:innen angenommen werde. Es gebe noch keinen Markt für Anbieter:innen der erforderlichen Softwarelösung. Ebenso sei unklar, inwieweit die Betreiber:innen von Websites an die im PIMS hinterlegten Einstellungen gebunden seien, zumal diese nur auf bestimmte (Cookie-)Einwilligungen gerichtet sind. Henkel bleibt vorerst skeptisch, zumal die bevorstehende Einführung der E-Privacy-Verordnung der EU die Rechtslage erneut verändern könnte. Mit Inkrafttreten der Verordnung müssen jedoch von den Webseitenbetreiber:innen die technischen Voraussetzungen geschaffen werden, um mit den PIMS Informationen austauschen zu können.
Data Privacy Framework: Übermittlung von Daten in Drittländer
Spätestens seit Einführung der DSGVO stellt die Übermittlung von Daten in Drittländer ein enormes Risiko dar. Und doch kommt kaum ein Unternehmen darum herum – und sei es nur, weil es in den USA gehostete Softwarelösungen einsetzt (z. B. Cloudanbieter, Microsoft-Software, Meta-Dienste). Ein angemessenes Datenschutzniveau sicherzustellen, ist infolge unterschiedlicher Rechtsvorschriften schwierig.
Das Data Privacy Framework (DPF) soll diese Datentransfers in Drittländer auf eine sichere Basis stellen. Dazu haben sich die EU und die USA auf einen Nachfolger zum früheren Privacy Shield geeinigt. „Arbeiten in der EU ansässige Unternehmen mit Geschäftspartner:innen aus den USA zusammen und findet dabei eine Übermittlung personenbezogener Daten statt, können Letztere durch eine Zertifizierung nach den Vorgaben des DPF ein den Vorgaben der EU entsprechendes Datenschutzniveau nachweisen. Dies dürfte die grenzüberschreitende Zusammenarbeit mit Dienstleister:innen aus Drittländern zukünftig deutlich erleichtern“, so Henkel. Unklar ist allerdings, ob dieses Framework dauerhaft von Bestand sein wird. Aufgrund verschiedener Kritikpunkte ist zu erwarten, dass auch dieses Abkommen vor den EuGH getragen wird.
Aktuelle Datenschutzanforderungen und Dauerbrenner im Blick behalten
Neben diesen topaktuellen Themen haben deutsche Unternehmen natürlich noch viele weitere Herausforderungen auf ihrer Agenda. Etwa die datenschutzkonforme Gestaltung der Digitalisierung, die mit der zunehmenden Verbreitung von Clouddiensten erhöhte Anforderungen an die Datensicherheit mitbringt. Auch die Nutzung von Messengerdiensten und Kollaborationstools wie Trello, Slack, MS Teams oder WhatsApp bereitet dem Datenschutz aktuell oft Kopfzerbrechen.
In jedem Fall tun Unternehmen und Behörden gut daran, sich bereits im Vorfeld auf anstehende rechtliche Änderungen vorzubereiten. Mit einem:r erfahrenen Datenschutzbeauftragten an ihrer Seite können sie sich optimal auf anstehende Veränderungen vorbereiten und so der Verhängung enormer Bußgelder im Fall von Verstößen vorbeugen.
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de