© Anete Lusina, Pexels

Datenschutz aktuell: Diese Themen kommen auf Sie zu

Die DSGVO feiert dieses Jahr ihren dritten Geburtstag. Mindestens genauso lange arbeiten Unternehmen und Organisationen an der Umsetzung. Die wichtigsten Änderungen sind mittlerweile implementiert, aber es gibt ständig Gesetzesänderungen, Rechtsprechungen und Stellungnahmen von Aufsichtsbehörden, die umgesetzt werden müssen. Das Thema Datenschutz ist also nie abgeschlossen.

Hinzu kommen neue Gesetze wie das TTDSG oder die ePrivacy-Verordnung, die zu massiven Änderungen führen. Und auch der Brexit und die Diskussionen um Microsoft 365 beeinflussen die Maßnahmen, die Sie treffen müssen.

Wir haben die aktuellen Themen für Sie zusammengefasst und geben einen Ausblick, was noch auf Sie zukommt. 

Brexit

Zunächst schien mit den Angemessenheitsbeschlüssen der EU alles geklärt – zumindest für die nächsten vier Jahre. Doch jetzt verkündet Großbritannien, dass ein eigenes Datenschutzgesetz mit weniger bürokratischen Vorschriften erlassen werden soll. Durch den verringerten bürokratischen Aufwand erhofft London sich einen Wachstumsschub nach dem Brexit. Ziel soll demnach sein, die Privatsphäre der Menschen so unauffällig wie möglich zu schützen.

Kulturminister Dowden versichert, dass die EU keinerlei Grund zur Annahme habe, dass der Schutz der Privatsphäre durch diese Maßnahmen verwässert werde. Das gilt es allerdings zu prüfen, sobald das Gesetz erlassen ist. Wie bereits von der Brüsseler Behörde angedroht, kann die EU die Angemessenheitsbeschlüsse jederzeit beenden, aussetzen oder anpassen – wenn nötig, sogar sofort.

Sollte die EU die Beschlüsse tatsächlich aufheben, hat das weitreichende Konsequenzen für Unternehmen auf beiden Seiten des Ärmelkanals, die Daten in der EU bzw. in Großbritannien verarbeiten. Ebenso wie beispielsweise die USA würde Großbritannien dann als unsicherer Drittstaat gelten.

Dann müssten Organisationen in EU-Ländern, die Daten nach Großbritannien übermitteln, weitere Maßnahmen ergreifen – wie z. B. Standardvertragsklausen. Durch diese Maßnahmen muss nachgewiesen werden, dass die Seite, die die Daten empfängt, sicherstellen kann, dass die Daten nach EU-Standard verarbeitet werden. Das bedeutet einen sehr viel größeren – auch bürokratischen – Aufwand als mit Angemessenheitsbeschlüssen. Im Gegensatz zur Beendigung der Beschlüsse lässt sich das nicht von heute auf morgen umsetzen. Wer langfristigere Planungssicherheit wünscht, wird sich nach Alternativen innerhalb der EU umschauen müssen. 

Microsoft 365

Auch bei dem Thema Microsoft 365 und Datenschutz gab es großes Hin und Her. Bereits seit geraumer Zeit tauschen sich Microsoft und die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) aus – bisher ohne abschließende Lösung. Zwischenzeitlich hatte die DSK das Fazit gezogen, dass ein datenschutz-konformer Einsatz von Microsoft 365 nicht möglich sei. Diese Entscheidung wurde allerdings von acht Landesbehörden kritisiert. 

Das zeigt, dass Datenschutzprobleme in Verbindung mit dem Microsoft-Service nicht eindeutig sind. Die Empfehlung der DSK, Microsoft 365 nicht zu nutzen, richtet sich daher bisher nur an Behörden und öffentliche Einrichtungen, wie z. B. Schulen. Mittlerweile gibt es zudem aktuelle Unterlagen, die die Aufsichten prüfen und bewerten müssen.

Organisationen, die MS365 einsetzen oder einsetzen möchten, sollten daher abwägen, wie hoch das Risiko für die eigene Datenverarbeitung ist. Welche Daten welcher Kategorien werden wo und wie verarbeitet? Wie sensibel sind die Daten? Wie wird MS365 eingesetzt? Wenn Sie Microsoft 365 nutzen und die Verarbeitung nicht datenschutzkonform ist, müssen Sie im Zweifel mit Bußgeldern rechnen.

Zumal sich die Mehrheit der deutschen Datenschutzbehörden an einer Task Force unter der Leitung von Hamburg und Berlin beteiligen, um zu kontrollieren, ob die Anforderungen aus dem Schrems-II-Urteil umgesetzt werden. Die Behörden überprüfen dabei bundesweit stichprobenartig Unternehmen, bei denen Grund zu der Annahme besteht, dass ein Datentransfer in Drittstaaten erfolgt. 

TTDSG

Das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz) wurde neben einer Anpassung des Telekommunikationsgesetztes (TKG) erlassen, um der ePrivacy-Richtlinie gerecht zu werden. Somit bestehen jetzt DSGVO, TKG, Telemediengesetz (TMG) und das TTDSG nebeneinander. Dadurch ergeben sich Unsicherheiten bei Verbraucher:innen, Anbieter:innen und den Aufsichtsbehörden.

Das TTDSG ist eine Übergangsregelung bis zur ePrivacy-Verordnung und tritt am 01. Dezember 2021 in Kraft. Bis dahin müssen einige Organisationen Anpassungen vornehmen, um datenschutzkonform zu arbeiten. Die TKG-Novelle ist bereits in Kraft getreten. Das bedeutet teilweise größeren Aufwand für die betroffenen Organisationen – zumal der Geltungsbereich erweitert wurde. U. a. diese Maßnahmen stehen an:

  • Anpassung der Internetseiten und Cookies
  • Klärung der Meldepflicht (Änderungen in TKG-neu)
  • Anpassungen der Abläufe und Zuständigkeiten für die Meldepflicht von Datenschutzvorfällen
  • Anpassung der Rechtsgrundlage von Verarbeitungen
  • Anpassung von Unterlagen 

ePrivacy-Verordnung

Ursprünglich sollte die ePrivacy-Verordnung gleichzeitig mit der DSGVO in Kraft treten. Doch selbst in fünf Jahren seit dem Beschluss der DSGVO konnten sich die EU-Mitgliedsstaaten bisher auf keine gemeinsame Linie einigen. Zuletzt wurde im November 2020 ein Kompromissvorschlag abgelehnt.

Die ePrivacy-Verordnung soll die ePrivacy-Richtlinie ersetzen sowie die DSGVO flankieren und im Bereich der digitalen Kommunikation konkretisieren. Zudem soll die Privatsphäre der Nutzer:innen im Internet gestärkt werden, sie sollen genauer über die Datenverarbeitung, wie z.B. Tracking, informiert werden und sie sollen mehr Kontrolle erhalten.

Eine Pflicht zur Anwendung der Verordnung besteht erst zwei Jahre ab Inkrafttreten. Die Umsetzungspflicht für die ePrivacy-Verordnung ist also frühestens gegen Ende 2023 zu erwarten.  

Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Und Sie sind konstant auf dem Laufenden!

Newsletter Anmeldung

Quellen

Mühlauer, Alexander (2021): „Goodbye, verhasste Cookie-Banner“, Süddeutsche Zeitung, 26. August 2021, https://www.sueddeutsche.de/wirtschaft/brexit-dsgvo-1.5393086, letzter Zugriff am 07.Oktober 2021.

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies