Im Thema Datenschutz ist ständig Bewegung – und so stehen auch in diesem Jahr wieder einige Datenschutz-Neuerungen an. Aber welche Datenschutz-Änderungen 2022 sind genau zu erwarten?
Wir geben einen Überblick über die 10 wichtigsten Datenschutz- und DSGVO-Änderungen 2022 sowie deren Auswirkungen auf Unternehmen.
- Datenschutz in ständigem Wandel
- Datenschutz-Änderungen 2022: die Neuerungen
- 1. Arbeitskreis DSK 2.0: Vereinheitlichung geplant
- 2. DSGVO-Zertifizierung: Bewertung von IT-Produkten
- 3. Sichtweisen zum Datenschutz: Überarbeitung kommt
- 4. TTDSG: neue Rahmenbedingungen für Cookies
- 5. ePrivacy-Verordnung: Verabschiedung möglich
- 6. Google Analytics: nicht mehr erlaubt(?)
- 7. Privacy Shield: Nachfolgeabkommen erwartet
- 8. „Data Governance Act“: Daten sicher nutzen
- 9. Recht auf Auskunft: neue Richtlinien in Arbeit
- 10. IT-Sicherheitskennzeichen: erste Produkte ausgezeichnet
- IT-Fachleute helfen bei Datenschutz-Änderungen 2022
Datenschutz in ständigem Wandel
Für Unternehmen ist es wichtiger denn je, sich mit den Themen Datenschutz und Datensicherheit zu befassen. Warum? Einerseits, weil die Gefahr durch Cyberangriffe im Jahr 2021 erneut gestiegen ist, wie der BSI-Lagebericht 2021 und der Blick auf die Cyberattacken 2021 zeigen. Andererseits, weil sich der Datenschutz durch neue gesetzliche Vorgaben in einem stetigen Wandel befindet – auch als Reaktion auf die Cyberkriminalität.
Schon allein wegen der in unregelmäßigen Abständen aufkommenden neuen Gesetze und Richtlinien fällt es vielen Unternehmen schwer, mit den Entwicklungen im Datenschutz Schritt zu halten. Erschwerend kommt hinzu, dass die Umsetzung der europäischen Datenschutzgrundverordnung auch noch vier Jahre nach ihrem Inkrafttreten Probleme bereitet – viele Unternehmen wünschen sich daher mehr Unterstützung.
Nach wie vor steht der Schutz von (personenbezogenen) Daten jedenfalls weit oben auf der Agenda der EU. Und prinzipiell sollte es auch im Interesse eines jeden Unternehmens liegen, Unternehmensdaten bestmöglich abzusichern. Nicht nur, weil die eigene Existenz von der Verfügbarkeit und Sicherheit dieser Daten abhängt, sondern auch, weil bei Datenschutzverstößen durchaus saftige Bußgelder drohen.
Datenschutz-Änderungen 2022: die Neuerungen
Es wartet daher wieder einmal ein Batzen an Aufgaben auf Unternehmen, wenn sie sich an alle rechtlichen Vorgaben zum Datenschutz halten möchten. Sie müssen zum Beispiel im Blick haben, wie die Datenschutzaufsichten in ihrem Bundesland genau zu lesen sind; sie müssen aber auch europaweit gefallene Gerichtsurteile verfolgen, um immer auf dem aktuellen Wissensstand zu bleiben; und sie müssen die neuen gesetzlichen Beschlüsse und Regeln für sich bewerten und umsetzen. Klingt stressig; ist es auch.
Um Ihnen die Sache zumindest ein klein wenig zu erleichtern, geben wir nachfolgend einen (ersten) Überblick darüber, welche Datenschutz-Änderungen 2022 zu erwarten sind. Einige der Themen befinden sich dabei schon in der Umsetzung, andere stecken dagegen noch mitten in der Planungsphase oder werden sogar erst angestoßen. Eines vorweg: Die potenziellen Datenschutz-Neuerungen decken – wie wir es schon von den Datenschutz-Änderungen 2021 kennen – wieder einmal eine sehr große Bandbreite ab.
1. Arbeitskreis DSK 2.0: Vereinheitlichung geplant
Die Datenschutzaufsichtsbehörden haben sich für das Jahr 2022 eine Vereinheitlichung bei der Umsetzung des Datenschutzes auf die Agenda gesetzt. In ihrer Datenschutzkonferenz (DSK) haben sie daher den „Arbeitskreis DSK 2.0“ gebildet. Dieser soll sowohl die eigene Arbeitsweise des DSK untersuchen, als auch die Zusammenarbeit der unabhängigen Datenschutzaufsichtsbehörden bewerten, um aus dieser Analyse gegebenenfalls Vorschläge für eine Neugestaltung zu erarbeiten.
Letztlich geht es darum, trotz der föderalen Struktur der Datenschutzaufsicht in Deutschland klarere Spielregeln aufzustellen, anhand denen sich vor allem Unternehmen besser orientieren können. Das Ziel ist, dass vergleichbare Sachverhalte perspektivisch durch die verschiedenen Behörden gleich behandelt und Verfahren effizient und transparent ausgestaltet werden. Dieses Vorgehen wird in Fachkreisen auch als „Harmonisierung der Datenschutzaufsicht“ bezeichnet.
2. DSGVO-Zertifizierung: Bewertung von IT-Produkten
Eine DSGVO-Zertifizierung als wichtiges Instrument der Datenschutzgrundverordnung ist schon seit Jahren geplant, in 2022 könnte sie nun endlich Realität werden. Dazu sollen die ersten Zertifizierungsstellen zeitnah durch die Deutsche Akkreditierungsstelle (DAkkS) zusammengestellt und noch im Jahr 2022 akkreditiert werden. Aber was genau ist der Sinn und Zweck hinter einer solchen Zertifizierung?
Auf den Punkt gebracht, soll eine solche Zertifizierung Auskunft darüber geben, ob IT-Produkte und IT-Dienstleistungen die Anforderungen der DSGVO erfüllen. Viele Datenschützer erhoffen sich, dass der eingebaute Datenschutz bei IT-Produkten dadurch höher aufgehängt wird – etwa durch ihre Gestaltung oder durch datenschutzfreundliche Voreinstellungen. Datenschutz-by-Design sozusagen.
Auch in Bezug auf Datenverarbeitungstätigkeiten im Allgemeinen und den internationalen Datentransfers im Besonderen könnte die DSGVO-Zertifizierung in Zukunft eine wichtige Rolle spielen.
3. Sichtweisen zum Datenschutz: Überarbeitung kommt
Weitere Anhaltspunkte zur Umsetzung der DSGVO, inklusive der Auslegungen durch (neue) Gerichtsurteile, sollen Unternehmen durch die Sichtweisen zur DSGVO erhalten, die die Aufsichtsbehörden regelmäßig zu verschiedenen Kernthemen veröffentlichen. Die bereits veröffentlichten Sichtweisen werden derzeit aktualisiert und voraussichtlich im Verlauf der kommenden Wochen und Monate veröffentlicht.
Für Unternehmen empfiehlt es sich, die Augen danach offen zu halten. Denn: Erwartet werden aktuelle Hilfestellungen zu einer langen Liste wichtiger Themen. Darunter: die Datenübermittlung in Drittländer, das Auskunftsrecht betroffener Personen, Informationspflichten bei Dritt- und Direkterhebung personenbezogener Daten oder das Recht auf Löschung beziehungsweise auf Vergessenwerden.
Viele dieser Themen sind für Unternehmen relevant – sie sollten die vermutlich recht zeitnahe Veröffentlichung der aktualisierten Sichtweisen daher unbedingt auf dem Schirm haben. Schließlich könnte es auch in diesem Zusammenhang zu Datenschutz-Änderungen 2022 kommen.
4. TTDSG: neue Rahmenbedingungen für Cookies
Auch zu den wichtigen Unternehmensthemen Cookies und Tracking gibt es im Jahr 2022 Neuerungen. Noch im Dezember 2021 ist nämlich das so genannte Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) verabschiedet worden. Es fasst die Datenschutzvorschriften aus den inzwischen alten Fassungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) zusammen und überträgt die europarechtliche Datenschutzrichtlinie für elektronische Kommunikation in deutsches Recht.
Entscheidend ist hier vor allem §23. Er besagt, dass Webseiten-Betreiber Cookies nur setzen dürfen, „wenn der Endnutzer auf der klaren und umfassenden Informationen eingewilligt hat“ – gemäß der DSGVO. Davon ausgenommen sind lediglich „unbedingt erforderliche“ Cookies. Allerdings ist nicht definiert, wann ein Cookie als unbedingt erforderlich angesehen werden kann. Hilfestellung bieten die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ sowie offizielle Stellungnahmen von Behörden.
5. ePrivacy-Verordnung: Verabschiedung möglich
Das TTDSG könnte bald allerdings schon wieder durch die ePrivacy-Verordnung (ePVO) abgelöst werden – vorausgesetzt, dass es hier endlich zu einer Einigung kommt. Denn bisher scheint für die Verhandlungen um diese Verordnung kein Ende absehbar zu sein. Aber: Die Ampelkoalition will sich für eine schnelle Verabschiedung einsetzen.
Es ist geplant, dass die neue ePrivacy-Verordnung – die übrigens nicht mit der ePrivacy-Richtlinie aus dem Jahr 2009 zu verwechseln ist, diese aber ersetzen könnte – die Erfassung personenbezogener Daten maßgeblich neu regeln und dabei auch die Themen Cookies und Tracking abdecken wird. Das Ziel dessen ist, personenbezogene Daten zu schützen. Die Regeln zur elektronischen Kommunikation sollen demnach an die DSGVO angenähert werden.
Aber auch wenn es noch in diesem Jahr zu einer Verabschiedung der ePrivacy-Verordnung kommen sollte, dürfte es wohl noch einige Zeit – voraussichtlich bis mindestens 2025 – dauern, bis sie wirksam wird. Es gilt nämlich, recht lange Übergangsfristen einzuhalten.
6. Google Analytics: nicht mehr erlaubt (?)
Mit Cookies und Tracking im Zusammenhang steht auch das Tool Google Analytics, das aus Gründen des Datenschutzes derzeit ebenfalls in der Diskussion ist. So hat die österreichische Datenschutzbehörde (DSB) erklärt, dass der Einsatz von Google Analytics auf EU-Webseiten gegen die DSGVO verstößt. Unter anderem weil persönliche Nutzerdaten an die Google-Zentrale in den USA weitergeleitet werden und US-Sicherheitsbehörden theoretisch auf diese Daten zugreifen dürfen. Grundlage für den Beschluss liefert Artikel 44 der DSGVO.
Es ist davon auszugehen, dass weitere EU-Länder diesem Beschluss folgen werden. So ist beispielsweise die niederländische Behörde für persönliche Daten (AP) dabei, zwei Beschwerden zu prüfen, eine Entscheidung soll es noch „Anfang 2022“ geben. Es ist jedenfalls gut möglich, dass die Verwendung von Google Analytics bald auch in den Niederlanden nicht mehr erlaubt sein könnte.
Den Stein ins Rollen gebracht hat übrigens wieder einmal der Datenschützer Max Schrems, Gründer des Vereins Noyb, der mit dem inzwischen berüchtigten Urteil „Schrems II“ auch schon den sogenannten Privacy Shield zu Fall gebracht hat.
7. Privacy Shield: Nachfolgeabkommen erwartet
Apropos Privacy Shield – auch hier wird weiter verhandelt. Zur Erinnerung: Die Rahmenvereinbarung zwischen den USA und der EU war eigentlich dazu gedacht, den Transfer persönlicher Daten von europäischen Unternehmen in die vereinigten Staaten zu regeln. Ein typisches Beispiel für einen solchen Datentransfer ist zum Beispiel, wenn europäische Unternehmen Cloud-Services der großen US-Technologiekonzerne nutzen und personenbezogene Daten dadurch in US-Rechenzentren landen. Das Thema ist dementsprechend auch für viele deutsche Unternehmen wichtig.
Grundlage für den Privacy Shield war die Annahme, dass die USA ein angemessenes Datenschutzniveau gewährleisten. Dann allerdings legte Max Schrems Klage dagegen ein und der europäische Gerichtshof kippte im Juli 2020 das Abkommen.
Inzwischen drängen viele US-Konzerne – darunter auch Google und Meta – darauf, dass es schnell zum Abschluss eines Nachfolgeabkommens kommt, das den transatlantischen Datenverkehr endgültig regelt und Klarheit schafft. Angeblich befinden sich die Verhandlungen zur Nachfolgeregelung inzwischen in der entscheidenden Phase.
8. „Data Governance Act“: Daten sicher nutzen
Mit der Frage, wie sich aus vorhandenen Daten größtmöglicher Nutzen ziehen lässt, ohne ihren Schutz zu gefährden, beschäftigen sich die Verhandlungen für einen Data Governance Act (DGA). Hier geht es vor allem darum, durch ein gemeinsames Abkommen Daten künftig verstärkt für Innovationen unter anderem in den Bereichen der Künstlichen Intelligenz, der Medizin oder der Mobilität zu nutzen. Es gilt, Datensilos aufzubrechen und aus einem gemeinsamen Wissenspool zu schöpfen.
Dazu soll ein vertrauensvoller Datenaustausch geschaffen werden, der mit rechtlichen Vorgaben wie der DSGVO im Einklang steht. Neue Regeln für Datenmarktplätze beziehungsweise für Datenmittlerdienste sollen dafür die Grundlage bilden. Ein Beispiel gefällig? Ein solcher neutraler Datenmittlerdienst könnte beispielsweise Sensordaten von landwirtschaftlichen Geräten sammeln und zur Verfügung stellen; diese Daten könnten dann für wichtige Innovationen genutzt werden.
Im Zeitalter der künstlichen Intelligenz könnte der Data Governance Act dabei helfen, dass Europa im Wettbewerb um neue Technologien nicht abgehängt wird. Auch viele deutsche Unternehmen könnten ihre Daten in die gemeinsamen Wissenspools einspielen und ihrerseits für neue (Produkt-)Entwicklungen daraus schöpfen.
9. Recht auf Auskunft: neue Richtlinien in Arbeit
In Artikel 15 der DSGVO ist ein Recht auf Auskunft festgeschrieben. Es gilt als eines der wichtigsten Betroffenenrechte und erteilt das Recht, Auskunft über möglicherweise gespeicherte oder verarbeitete personenbezogene Daten zu verlangen. Arbeitnehmer können im Zuge dieses Auskunftsanspruchs zum Beispiel ihren Arbeitgeber dazu auffordern, die zu ihrer Person gespeicherten Daten vorzulegen. Aber auch Kunden können sich auf dieses Auskunftsrecht berufen.
Das Problem war bislang allerdings, dass Reichweite und Umfang dieser Rechte umstritten waren. Der Europäische Datenschutzausschuss (EDSA) hat sich daher mit den vielen Unklarheiten aus der Praxis befasst und im Januar 2022 eine erste Fassung neuer Leitlinien dazu veröffentlicht. Darin geht es unter anderem auch darum, wann ein Auskunftsersuchen als unbegründet oder exzessiv anzusehen ist und daher abgelehnt werden darf.
Auch dieses Datenschutz-Thema dürfte für viele Unternehmen interessant sein. Denn: Es kann jederzeit passieren, dass ein Auskunftsersuchen zu bearbeiten ist. Daher sollte für den Fall der Fälle bekannt sein, welche Fragen auftreten könnten und welche Prozesse anzustoßen sind.
10. IT-Sicherheitskennzeichen: erste Produkte ausgezeichnet
Nachdem das BSI Ende 2021 das IT-Sicherheitskennzeichen eingeführt hat, erhalten nun nach und nach die ersten IT-Produkte diese Zertifizierung. Hersteller können bereits entsprechende Anträge stellen. Je mehr Hersteller diese Möglichkeiten nutzen, desto besser können Verbraucher – auch Unternehmenskunden – bei Neuanschaffungen gezielt darauf achten, dass sich Hersteller dem geforderten Sicherheitsniveau verschrieben haben.
Wichtig ist das aus Datenschutz-Gründen deshalb, weil Unternehmen nun einmal dazu angehalten sind, das Sicherheitsniveau ihrer Netzwerke möglichst hoch zu halten. Dadurch, dass sich die Hersteller im Zuge des IT-Sicherheitskennzeichens beispielsweise dazu verpflichten, neu entdeckte Sicherheitslücken umgehend zu schließen und Updates bereitzustellen, soll sich dieses hohe Niveau gewährleisten lassen.
Allerdings sind dann die Unternehmen in der Pflicht: Sie müssen die bereitgestellten Updates zeitnah durchführen – auch um dadurch den Stand der Technik einzuhalten. Ein effizientes Patch-Management kann dabei helfen.
IT-Fachleute helfen bei Datenschutz-Änderungen 2022
Sie sehen: Es gibt immer wieder neue Themen und Aspekte, die es rund um den Datenschutz zu beachten gilt. Die wichtigsten Datenschutz-Änderungen 2022 haben wir hiermit übersichtlich für Sie zusammengefasst. Und damit sind Sie am Zug: Die Umsetzung des Datenschutzes in Ihrem Unternehmen müssen Sie nämlich selbst anstoßen. Sie können sich dafür aber zum Glück auch Unterstützung holen, denn inzwischen gibt es zahlreiche Datenschutzbeauftragte, die sich auf dieses Themengebiet spezialisiert haben.
Auch unter den Experten aus dem IT-SERVICE.NETWORK finden Sie solche Experten. Viele der IT-Systemhäuser in unserem bundesweiten Netzwerk bieten eine professionelle DSGVO-Beratung für Unternehmen an und helfen dabei, alle relevanten Datenschutzmaßnahmen umzusetzen. Dazu behalten sie natürlich auch die Datenschutz-Neuerungen und Datenschutz-Änderungen 2022 im Blick und helfen ihren Kunden dabei, stets auf dem neuesten Stand zu sein.
Sie möchten dazu mehr erfahren? Dann finden Sie über unsere Dienstleister-Suche heraus, wo sich IT-Dienstleister aus unserem Netzwerk in Ihrer Nähe befinden. Wir freuen uns in jedem Fall auf die Kontaktaufnahme!
Weiterführende Links:
IT-Business, Security Insider, heise, DSK, PC-Welt, Security Insider, heise, netzwoche, heise, heise, IT-Business, heise
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung