IT-Sicherheit

Datenschutz-Änderungen 2022

Diese 10 Datenschutz-Themen sind für Unternehmen wichtig

von 16.02.2022
Zu sehen ist ein Handy, auf dem ein Kalender aufgerufen ist. Es geht um die Datenschutz-Änderungen 2022. Bild: Unsplash/Behnam Norouzi
Welche Datenschutz-Änderungen 2022 gibt es? Bild: Unsplash/Behnam Norouzi

Im Thema Datenschutz ist ständig Bewegung – und so stehen auch in diesem Jahr wieder einige Datenschutz-Neuerungen an. Aber welche Datenschutz-Änderungen 2022 sind genau zu erwarten?

Wir geben einen Überblick über die 10 wichtigsten Datenschutz- und DSGVO-Änderungen 2022 sowie deren Auswirkungen auf Unternehmen.

Datenschutz in ständigem Wandel

Für Unternehmen ist es wichtiger denn je, sich mit den Themen Datenschutz und Datensicherheit zu befassen. Warum? Einerseits, weil die Gefahr durch Cyberangriffe im Jahr 2021 erneut gestiegen ist, wie der BSI-Lagebericht 2021 und der Blick auf die Cyberattacken 2021 zeigen. Andererseits, weil sich der Datenschutz durch neue gesetzliche Vorgaben in einem stetigen Wandel befindet – auch als Reaktion auf die Cyberkriminalität.

Schon allein wegen der in unregelmäßigen Abständen aufkommenden neuen Gesetze und Richtlinien fällt es vielen Unternehmen schwer, mit den Entwicklungen im Datenschutz Schritt zu halten. Erschwerend kommt hinzu, dass die Umsetzung der europäischen Datenschutzgrundverordnung auch noch vier Jahre nach ihrem Inkrafttreten Probleme bereitet – viele Unternehmen wünschen sich daher mehr Unterstützung.

Nach wie vor steht der Schutz von (personenbezogenen) Daten jedenfalls weit oben auf der Agenda der EU. Und prinzipiell sollte es auch im Interesse eines jeden Unternehmens liegen, Unternehmensdaten bestmöglich abzusichern. Nicht nur, weil die eigene Existenz von der Verfügbarkeit und Sicherheit dieser Daten abhängt, sondern auch, weil bei Datenschutzverstößen durchaus saftige Bußgelder drohen.

Zu sehen ist ein Richterhammer; neue Gerichtsurteile werden für Datenschutz-Änderungen 2022 sorgen. Bild: Pexels/Towfiqu barbhuiya

Auch neue Gerichtsurteile werden für einige Datenschutz-Änderungen 2022 sorgen. Bild: Pexels/Towfiqu barbhuiya

Datenschutz-Änderungen 2022: die Neuerungen

Es wartet daher wieder einmal ein Batzen an Aufgaben auf Unternehmen, wenn sie sich an alle rechtlichen Vorgaben zum Datenschutz halten möchten. Sie müssen zum Beispiel im Blick haben, wie die Datenschutzaufsichten in ihrem Bundesland genau zu lesen sind; sie müssen aber auch europaweit gefallene Gerichtsurteile verfolgen, um immer auf dem aktuellen Wissensstand zu bleiben; und sie müssen die neuen gesetzlichen Beschlüsse und Regeln für sich bewerten und umsetzen. Klingt stressig; ist es auch.

Um Ihnen die Sache zumindest ein klein wenig zu erleichtern, geben wir nachfolgend einen (ersten) Überblick darüber, welche Datenschutz-Änderungen 2022 zu erwarten sind. Einige der Themen befinden sich dabei schon in der Umsetzung, andere stecken dagegen noch mitten in der Planungsphase oder werden sogar erst angestoßen. Eines vorweg: Die potenziellen Datenschutz-Neuerungen decken – wie wir es schon von den Datenschutz-Änderungen 2021 kennen – wieder einmal eine sehr große Bandbreite ab.

1. Arbeitskreis DSK 2.0: Vereinheitlichung geplant

Die Datenschutzaufsichtsbehörden haben sich für das Jahr 2022 eine Vereinheitlichung bei der Umsetzung des Datenschutzes auf die Agenda gesetzt. In ihrer Datenschutzkonferenz (DSK) haben sie daher den „Arbeitskreis DSK 2.0“ gebildet. Dieser soll sowohl die eigene Arbeitsweise des DSK untersuchen, als auch die Zusammenarbeit der unabhängigen Datenschutzaufsichtsbehörden bewerten, um aus dieser Analyse gegebenenfalls Vorschläge für eine Neugestaltung zu erarbeiten.

Letztlich geht es darum, trotz der föderalen Struktur der Datenschutzaufsicht in Deutschland klarere Spielregeln aufzustellen, anhand denen sich vor allem Unternehmen besser orientieren können. Das Ziel ist, dass vergleichbare Sachverhalte perspektivisch durch die verschiedenen Behörden gleich behandelt und Verfahren effizient und transparent ausgestaltet werden. Dieses Vorgehen wird in Fachkreisen auch als „Harmonisierung der Datenschutzaufsicht“ bezeichnet.

Zu sehen ist der Torso eines Kochs, der eine Suppe kocht. Zu den Datenschutz-Änderungen 2022 gehört auch, dass die Datenschutzaufsichtsbehörden nicht mehr ihr eigenes Süppchen kochen sollen. Bild: Pexels/cottonbro

Aktuell scheint jede Datenschutzaufsichtsbehörde ihr eigenes Süppchen zu kochen; hier soll es zu einer „Harmonisierung“ kommen. Bild: Pexels/cottonbro

2. DSGVO-Zertifizierung: Bewertung von IT-Produkten

Eine DSGVO-Zertifizierung als wichtiges Instrument der Datenschutzgrundverordnung ist schon seit Jahren geplant, in 2022 könnte sie nun endlich Realität werden. Dazu sollen die ersten Zertifizierungsstellen zeitnah durch die Deutsche Akkreditierungsstelle (DAkkS) zusammengestellt und noch im Jahr 2022 akkreditiert werden. Aber was genau ist der Sinn und Zweck hinter einer solchen Zertifizierung?

Auf den Punkt gebracht, soll eine solche Zertifizierung Auskunft darüber geben, ob IT-Produkte und IT-Dienstleistungen die Anforderungen der DSGVO erfüllen. Viele Datenschützer erhoffen sich, dass der eingebaute Datenschutz bei IT-Produkten dadurch höher aufgehängt wird – etwa durch ihre Gestaltung oder durch datenschutzfreundliche Voreinstellungen. Datenschutz-by-Design sozusagen.

Auch in Bezug auf Datenverarbeitungstätigkeiten im Allgemeinen und den internationalen Datentransfers im Besonderen könnte die DSGVO-Zertifizierung in Zukunft eine wichtige Rolle spielen.

3. Sichtweisen zum Datenschutz: Überarbeitung kommt

Weitere Anhaltspunkte zur Umsetzung der DSGVO, inklusive der Auslegungen durch (neue) Gerichtsurteile, sollen Unternehmen durch die Sichtweisen zur DSGVO erhalten, die die Aufsichtsbehörden regelmäßig zu verschiedenen Kernthemen veröffentlichen. Die bereits veröffentlichten Sichtweisen werden derzeit aktualisiert und voraussichtlich im Verlauf der kommenden Wochen und Monate veröffentlicht.

Für Unternehmen empfiehlt es sich, die Augen danach offen zu halten. Denn: Erwartet werden  aktuelle Hilfestellungen zu einer langen Liste wichtiger Themen. Darunter: die Datenübermittlung in Drittländer, das Auskunftsrecht betroffener Personen, Informationspflichten bei Dritt- und Direkterhebung personenbezogener Daten oder das Recht auf Löschung beziehungsweise auf Vergessenwerden.

Viele dieser Themen sind für Unternehmen relevant – sie sollten die vermutlich recht zeitnahe Veröffentlichung der aktualisierten Sichtweisen daher unbedingt auf dem Schirm haben. Schließlich könnte es auch in diesem Zusammenhang zu Datenschutz-Änderungen 2022 kommen.

Zu sehen sind aus Scrabble-Buchstaben die Worte "To Do" sowie ein Post-it. Auch in Sachen Datenschutz-Änderungen 2022 gibt es einige To-Dos. Bild: Pexels/Breakingpic

Die To-Do-Liste der Datenschutzaufsichtsbehörden ist ziemlich lang. Wichtige Datenschutz-Änderungen 2022 könnten dadurch entstehen. Bild: Pexels/Breakingpic

4. TTDSG: neue Rahmenbedingungen für Cookies

Auch zu den wichtigen Unternehmensthemen Cookies und Tracking gibt es im Jahr 2022 Neuerungen. Noch im Dezember 2021 ist nämlich das so genannte Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) verabschiedet worden. Es fasst die Datenschutzvorschriften aus den inzwischen alten Fassungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) zusammen und überträgt die europarechtliche Datenschutzrichtlinie für elektronische Kommunikation in deutsches Recht.

Entscheidend ist hier vor allem §23. Er besagt, dass Webseiten-Betreiber Cookies nur setzen dürfen, „wenn der Endnutzer auf der klaren und umfassenden Informationen eingewilligt hat“ – gemäß der DSGVO. Davon ausgenommen sind lediglich „unbedingt erforderliche“ Cookies. Allerdings ist nicht definiert, wann ein Cookie als unbedingt erforderlich angesehen werden kann. Hilfestellung bieten die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ sowie offizielle Stellungnahmen von Behörden.

5. ePrivacy-Verordnung: Verabschiedung möglich

Das TTDSG könnte bald allerdings schon wieder durch die ePrivacy-Verordnung (ePVO) abgelöst werden – vorausgesetzt, dass es hier endlich zu einer Einigung kommt. Denn bisher scheint für die Verhandlungen um diese Verordnung kein Ende absehbar zu sein. Aber: Die Ampelkoalition will sich für eine schnelle Verabschiedung einsetzen.

Es ist geplant, dass die neue ePrivacy-Verordnung – die übrigens nicht mit der ePrivacy-Richtlinie aus dem Jahr 2009 zu verwechseln ist, diese aber ersetzen könnte – die Erfassung personenbezogener Daten maßgeblich neu regeln und dabei auch die Themen Cookies und Tracking abdecken wird. Das Ziel dessen ist, personenbezogene Daten zu schützen. Die Regeln zur elektronischen Kommunikation sollen demnach an die DSGVO angenähert werden.

Aber auch wenn es noch in diesem Jahr zu einer Verabschiedung der ePrivacy-Verordnung kommen sollte, dürfte es wohl noch einige Zeit – voraussichtlich bis mindestens 2025 – dauern, bis sie wirksam wird. Es gilt nämlich, recht lange Übergangsfristen einzuhalten.

Zu sehen ist ein Schild mit der Aufschrift „PRIVATE“. Bild: Unsplash/Pierre Bamin

Der Schutz privater Daten ist auch bei den Datenschutz-Änderungen 2022 Thema. Bild: Unsplash/Pierre Bamin

6. Google Analytics: nicht mehr erlaubt (?)

Mit Cookies und Tracking im Zusammenhang steht auch das Tool Google Analytics, das aus Gründen des Datenschutzes derzeit ebenfalls in der Diskussion ist. So hat die österreichische Datenschutzbehörde (DSB) erklärt, dass der Einsatz von Google Analytics auf EU-Webseiten gegen die DSGVO verstößt. Unter anderem weil persönliche Nutzerdaten an die Google-Zentrale in den USA weitergeleitet werden und US-Sicherheitsbehörden theoretisch auf diese Daten zugreifen dürfen. Grundlage für den Beschluss liefert Artikel 44 der DSGVO.

Es ist davon auszugehen, dass weitere EU-Länder diesem Beschluss folgen werden. So ist beispielsweise die niederländische Behörde für persönliche Daten (AP) dabei, zwei Beschwerden zu prüfen, eine Entscheidung soll es noch „Anfang 2022“ geben. Es ist jedenfalls gut möglich, dass die Verwendung von Google Analytics bald auch in den Niederlanden nicht mehr erlaubt sein könnte.

Den Stein ins Rollen gebracht hat übrigens wieder einmal der Datenschützer Max Schrems, Gründer des Vereins Noyb, der mit dem inzwischen berüchtigten Urteil „Schrems II“ auch schon den sogenannten Privacy Shield zu Fall gebracht hat.

7. Privacy Shield: Nachfolgeabkommen erwartet

Apropos Privacy Shield – auch hier wird weiter verhandelt. Zur Erinnerung: Die Rahmenvereinbarung zwischen den USA und der EU war eigentlich dazu gedacht, den Transfer persönlicher Daten von europäischen Unternehmen in die vereinigten Staaten zu regeln. Ein typisches Beispiel für einen solchen Datentransfer ist zum Beispiel, wenn europäische Unternehmen Cloud-Services der großen US-Technologiekonzerne nutzen und personenbezogene Daten dadurch in US-Rechenzentren landen. Das Thema ist dementsprechend auch für viele deutsche Unternehmen wichtig.

Grundlage für den Privacy Shield war die Annahme, dass die USA ein angemessenes Datenschutzniveau gewährleisten. Dann allerdings legte Max Schrems Klage dagegen ein und der europäische Gerichtshof kippte im Juli 2020 das Abkommen.

Inzwischen drängen viele US-Konzerne – darunter auch Google und Meta – darauf, dass es schnell zum Abschluss eines Nachfolgeabkommens kommt, das den transatlantischen Datenverkehr endgültig regelt und Klarheit schafft. Angeblich befinden sich die Verhandlungen zur Nachfolgeregelung inzwischen in der entscheidenden Phase.

Zu sehen ist ein Schutzschild; es steht für den Privacy Shield, der als eine der Datenschutz-Änderungen 2022 kommen könnte. Bild: Unsplash/Pawel Czerwinski

Kommt der Privacy Shield als eine der Datenschutz-Änderungen 2022? Bild: Unsplash/Pawel Czerwinski

8. „Data Governance Act“: Daten sicher nutzen

Mit der Frage, wie sich aus vorhandenen Daten größtmöglicher Nutzen ziehen lässt, ohne ihren Schutz zu gefährden, beschäftigen sich die Verhandlungen für einen Data Governance Act (DGA). Hier geht es vor allem darum, durch ein gemeinsames Abkommen Daten künftig verstärkt für Innovationen unter anderem in den Bereichen der Künstlichen Intelligenz, der Medizin oder der Mobilität zu nutzen. Es gilt, Datensilos aufzubrechen und aus einem gemeinsamen Wissenspool zu schöpfen.

Dazu soll ein vertrauensvoller Datenaustausch geschaffen werden, der mit rechtlichen Vorgaben wie der DSGVO im Einklang steht. Neue Regeln für Datenmarktplätze beziehungsweise für Datenmittlerdienste sollen dafür die Grundlage bilden. Ein Beispiel gefällig? Ein solcher neutraler Datenmittlerdienst könnte beispielsweise Sensordaten von landwirtschaftlichen Geräten sammeln und zur Verfügung stellen; diese Daten könnten dann für wichtige Innovationen genutzt werden.

Im Zeitalter der künstlichen Intelligenz könnte der Data Governance Act dabei helfen, dass Europa im Wettbewerb um neue Technologien nicht abgehängt wird. Auch viele deutsche Unternehmen könnten ihre Daten in die gemeinsamen Wissenspools einspielen und ihrerseits für neue (Produkt-)Entwicklungen daraus schöpfen.

9. Recht auf Auskunft: neue Richtlinien in Arbeit

In Artikel 15 der DSGVO ist ein Recht auf Auskunft festgeschrieben. Es gilt als eines der wichtigsten Betroffenenrechte und erteilt das Recht, Auskunft über möglicherweise gespeicherte oder verarbeitete personenbezogene Daten zu verlangen. Arbeitnehmer können im Zuge dieses Auskunftsanspruchs zum Beispiel ihren Arbeitgeber dazu auffordern, die zu ihrer Person gespeicherten Daten vorzulegen. Aber auch Kunden können sich auf dieses Auskunftsrecht berufen.

Das Problem war bislang allerdings, dass Reichweite und Umfang dieser Rechte umstritten waren. Der Europäische Datenschutzausschuss (EDSA) hat sich daher mit den vielen Unklarheiten aus der Praxis befasst und im Januar 2022 eine erste Fassung neuer Leitlinien dazu veröffentlicht. Darin geht es unter anderem auch darum, wann ein Auskunftsersuchen als unbegründet oder exzessiv anzusehen ist und daher abgelehnt werden darf.

Auch dieses Datenschutz-Thema dürfte für viele Unternehmen interessant sein. Denn: Es kann jederzeit passieren, dass ein Auskunftsersuchen zu bearbeiten ist. Daher sollte für den Fall der Fälle bekannt sein, welche Fragen auftreten könnten und welche Prozesse anzustoßen sind.

Ein Mann hält Akten unter dem Arm; er hat das Recht auf Anspruch genutzt. Bild: Pexels/Sora Shimazaki

Neue Leitlinien sollen bei Recht auf Auskunft Klarheit schaffen. Bild: Pexels/Sora Shimazaki

10. IT-Sicherheitskennzeichen: erste Produkte ausgezeichnet

Nachdem das BSI Ende 2021 das IT-Sicherheitskennzeichen eingeführt hat, erhalten nun nach und nach die ersten IT-Produkte diese Zertifizierung. Hersteller können bereits entsprechende Anträge stellen. Je mehr Hersteller diese Möglichkeiten nutzen, desto besser können Verbraucher – auch Unternehmenskunden – bei Neuanschaffungen gezielt darauf achten, dass sich Hersteller dem geforderten Sicherheitsniveau verschrieben haben.

Wichtig ist das aus Datenschutz-Gründen deshalb, weil Unternehmen nun einmal dazu angehalten sind, das Sicherheitsniveau ihrer Netzwerke möglichst hoch zu halten. Dadurch, dass sich die Hersteller im Zuge des IT-Sicherheitskennzeichens beispielsweise dazu verpflichten, neu entdeckte Sicherheitslücken umgehend zu schließen und Updates bereitzustellen, soll sich dieses hohe Niveau gewährleisten lassen.

Allerdings sind dann die Unternehmen in der Pflicht: Sie müssen die bereitgestellten Updates zeitnah durchführen – auch um dadurch den Stand der Technik einzuhalten. Ein effizientes Patch-Management kann dabei helfen.

IT-Fachleute helfen bei Datenschutz-Änderungen 2022

Sie sehen: Es gibt immer wieder neue Themen und Aspekte, die es rund um den Datenschutz zu beachten gilt. Die wichtigsten Datenschutz-Änderungen 2022 haben wir hiermit übersichtlich für Sie zusammengefasst. Und damit sind Sie am Zug: Die Umsetzung des Datenschutzes in Ihrem Unternehmen müssen Sie nämlich selbst anstoßen. Sie können sich dafür aber zum Glück auch Unterstützung holen, denn inzwischen gibt es zahlreiche Datenschutzbeauftragte, die sich auf dieses Themengebiet spezialisiert haben.

Auch unter den Experten aus dem IT-SERVICE.NETWORK finden Sie solche Experten. Viele der IT-Systemhäuser in unserem bundesweiten Netzwerk bieten eine professionelle DSGVO-Beratung für Unternehmen an und helfen dabei, alle relevanten Datenschutzmaßnahmen umzusetzen. Dazu behalten sie natürlich auch die Datenschutz-Neuerungen und Datenschutz-Änderungen 2022 im Blick und helfen ihren Kunden dabei, stets auf dem neuesten Stand zu sein.

Sie möchten dazu mehr erfahren? Dann finden Sie über unsere Dienstleister-Suche heraus, wo sich IT-Dienstleister aus unserem Netzwerk in Ihrer Nähe befinden. Wir freuen uns in jedem Fall auf die Kontaktaufnahme!


Weiterführende Links:
IT-Business, Security Insider, heise, DSK, PC-Welt, Security Insider, heise, netzwoche, heise, heise, IT-Business, heise

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen