KPMG Klardenker Logo

Datenschutz: Was wichtig war und wichtig wird

Die Umsetzung von Datenschutz-Bestimmungen bedeutet für Unternehmen oftmals großen Aufwand

Keyfacts

  • Der europäische Datenschutztag soll verdeutlichen, welch hohen Stellenwert der Datenschutz in der Europäischen Union genießt und Bürgerinnen und Bürger für das Thema Datenschutz sensibilisieren.
  • Unternehmen in Deutschland sahen sich im vergangenen Jahr insbesondere im Zusammenhang mit der Corona-Pandemie, dem Schrems-II-Urteil des Europäischen Gerichtshofes sowie den Neuerungen des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) mit neuen datenschutzrechtlichen Herausforderungen konfrontiert.
  • In diesem Jahr rückt das Thema Drittlandübermittlung weiter in den Fokus. Data Transfer Impact Assessments sind kurzfristig durchzuführen und erfordern hohen (Dokumentations-) Aufwand.
Barbara Scheben
  • Partner, Head of Forensic, Head of Data Protection
Mehr über meine Themen Nachricht schreiben

Man möchte meinen, das Thema Datenschutz sei europäischen Unternehmen mittlerweile in Fleisch und Blut übergangen und große Überraschungen sind nicht mehr zu erwarten. Doch seit im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) unmittelbar zur Anwendung kam, ist kein Jahr vergangen, in dem Unternehmen nicht mit neuen datenschutzrechtlichen Herausforderungen konfrontiert wurden. Wir werfen am europäischen Datenschutztag einen Blick zurück auf das vergangene Jahr: Was hat Unternehmen bewegt? Mit welchen neuen datenschutzrechtlichen Herausforderungen mussten sie sich auseinandersetzen? Und wir blicken nach vorne: Was wird in diesem Jahr relevant und erforderlich beim wichtigen Thema Datenschutz?

Europäischer Datenschutztag: Warum gibt es ihn?

Der europäische Datenschutztag wurde am 28. Januar 2006 auf Initiative des Europarats ins Leben gerufen. Zurückzuführen ist dieser Tag auf das Übereinkommen Nr. 108 „zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“, das am 28. Januar 1981 vom Europarat angenommen wurde. Hierbei handelt es sich um das erste rechtsverbindliche zwischenstaatliche Datenschutzabkommen und internationale Instrument zum Schutz personenbezogener Daten. Der europäische Datenschutztag soll den hohen Stellenwert des Themas Datenschutz in der Europäischen Union verdeutlichen und Bürgerinnen und Bürger hinsichtlich ihrer Rechte bei der Verarbeitung ihrer personenbezogenen Daten sensibilisieren.

Ein Blick zurück: Was Unternehmen im vergangenen Jahr bewegt hat

Auch im vergangenen Jahr verging kein Tag, an dem die Corona-Pandemie nicht die Medien, aber auch die berufliche und private Welt bestimmt hat. Die anhaltende Pandemie sorgte dafür, dass Unternehmen weiterhin hauptsächlich aus dem Homeoffice heraus funktionieren mussten und neue technologische Lösungen zur virtuellen Zusammenarbeit entwickelt und umgesetzt wurden. Für die unternehmensinternen Datenschutzverantwortlichen bedeutete dies neue datenschutzrechtliche Fragestellungen hinsichtlich der Zulässigkeit der neuen Technologien und Verarbeitungen.

Insbesondere mit Blick auf das Schrems-II-Urteil des Europäischen Gerichtshofes aus dem Jahr 2020 führt der Einsatz von (neuen) Technologien, die mit der Übermittlung personenbezogener Daten in Drittländer außerhalb der EU beziehungsweise des europäischen Wirtschaftsraums (EWR) einhergehen, zu hoher Verunsicherung auf Seiten der Unternehmen. Zwar wurden am 4. Juni 2021 die der Europäischen Union veröffentlicht, die als Rechtsgrundlage für Drittlandübermittlungen verwendet werden können, gleichwohl reicht der Abschluss der Vertragsklauseln nicht aus. Daran hat auch die im Juni 2021 erschienene Orientierungshilfe des Europäischen Datenschutzausschusses zum Umgang mit dem Schrems II-Urteil nicht viel geändert. Vielmehr muss weiterhin geprüft werden, ob unter Anbetracht der Rechtslage im Drittland weitere technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten erforderlich sind.

Auch in regulatorischer Hinsicht hatte das Jahr 2021 eine Neuerung zu bieten: Am 01. Dezember 2021 ist das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“, kurz , in Kraft getreten. Dieses regelt unter anderem das Fernmeldegeheimnis, die technischen und organisatorischen Vorkehrungen, die von Telemedien-Anbietern zu beachten sind, und den Schutz der Privatsphäre bei der Speicherung von Informationen in Endeinrichtungen der Endnutzer:innen sowie den Zugriff auf Informationen, die bereits in Endeinrichtungen der Endnutzer:innen gespeichert sind. Unternehmen sahen sich damit konfrontiert, die Auswirkungen zu prüfen und erforderliche Maßnahmen umzusetzen.

Ein Blick nach vorne: Was in diesem Jahr wichtig wird

Ein Dauerbrenner-Thema bleibt wohl das Thema Schrems II und Drittlandübermittlungen. Insbesondere mit Blick auf die Nutzung von Standardvertragsklauseln als Rechtsgrundlage für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU beziehungsweise des EWR stehen Unternehmen vielfach erst am Startpunkt. Zwar sind die neuen Standardvertragsklauseln bei neuen Verträgen bereits seit 27. September 2021 verpflichtend zu verwenden und entsprechende Prüfungen hinsichtlich weiterer technischer und organisatorischer Maßnahmen – sogenannte Data Transfer Impact Assessments – durchzuführen. Aktuelle Bußgelder und Prüfaktionen der Datenschutzaufsichtsbehörden zeigen allerdings, dass Unternehmen hier noch nicht alle notwendigen Schritte tätigen. Die Analyse der Rechtslage im Drittland und der technischen und organisatorischen Maßnahmen steht vielfach noch aus. Unternehmen sind deshalb gut beraten, schnellstmöglich alle erforderlichen Schritte zu ergreifen: Drittlandübermittlungen müssen identifiziert, Rechtsgrundlagen für die Übermittlungen eruiert, die Rechtslage im Drittland bewertet und angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten getroffen werden.

Doch dieses Thema wird nicht das einzige bleiben: Es werden wohl weitere regulatorische und organisatorische Herausforderungen auf Unternehmen zukommen. Sei es durch geänderte Rahmenbedingungen, die weiter voranschreitende Digitalisierung oder verhängte Bußgelder und neue Gerichtsurteile.

 

 

Barbara Scheben
  • Partner, Head of Forensic, Head of Data Protection
Mehr über meine Themen Nachricht schreiben