Man möchte meinen, das Thema Datenschutz sei europäischen Unternehmen mittlerweile in Fleisch und Blut übergangen und große Überraschungen sind nicht mehr zu erwarten. Doch seit im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) unmittelbar zur Anwendung kam, ist kein Jahr vergangen, in dem Unternehmen nicht mit neuen datenschutzrechtlichen Herausforderungen konfrontiert wurden. In diesem Artikel fassen wir für Sie zusammen, mit welchen neuen datenschutzrechtlichen Herausforderungen sich Unternehmen auseinandersetzen müssen und Sie erfahren, was in diesem Jahr zum Thema relevant und erforderlich wird.
Das Jahr 2022 hatte datenschutzrechtlich einiges an neuen Beschlüssen zu bieten
Im März 2022 einigten sich EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden auf einen neuen transatlantischen Datenschutzrahmen. Im Zusammenhang mit der Umsetzung dieses Rahmens wagte Joe Biden am 7. Oktober 2022 den ersten Schritt und unterzeichnete eine „Executive Order“ zur Umsetzung des EU-US Data Privacy Frameworks. Damit zeichnet sich eine neue rechtssichere Lösung für den Transfer persönlicher Daten über den Atlantik ab. Die Durchführungsverordnung soll die Antwort auf die Anforderungen aus dem Schrems II-Urteil des Europäischen Gerichtshofes sein und die bemängelten Punkte beseitigen. Die neue Durchführungsverordnung enthält eine Reihe neuer bzw. angepasster „Safeguards“ und Rechte für von Überwachungsmaßnahmen betroffene EU-Bürger:innen.
Die Europäische Kommission veröffentlichte daraufhin im Dezember 2022 einen Entwurf für einen Angemessenheitsbeschluss als Grundlage für die Übermittlung personenbezogener Daten in die USA. Dieser muss nun zunächst das Annahmeverfahren bestehen, macht aber Hoffnung auf eine schnelle Vereinfachung in Sachen Drittlandübermittlungen in die USA. Es bleibt dahingehend also auch in 2023 spannend.
Weiteres Schwerpunktthema für Unternehmen in 2022 war das noch Ende 2021 in Kraft getretene „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“, kurz TTDSG. Dieses regelt unter anderem das Fernmeldegeheimnis, die technischen und organisatorischen Vorkehrungen, die von Telemedien-Anbietern zu beachten sind, und den Schutz der Privatsphäre bei der Speicherung von Informationen in Endeinrichtungen sowie den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind. Unternehmen waren in 2022 mit der kurzfristigen Identifizierung der Betroffenheit und der anschließenden Umsetzung der Maßnahmen beschäftigt.
Am 5. Juli 2022 hat das Europäische Parlament dem EU-Paket zu digitalen Diensten zugestimmt. Das Paket besteht aus zwei Gesetzen – dem Digital Markets Act (DMA) und dem Digital Services Act (DSA). Beide werden nach ihrem Inkrafttreten im Jahr 2024 unmittelbare Geltung in der gesamten EU entfalten. Mit den beiden Gesetzen will die EU den digitalen Raum regulieren. In diesem haben sich innerhalb der letzten beiden Jahrzehnte beispiellose Entwicklungen hinsichtlich digitaler Technologien, Geschäftsmodelle und Dienste vollzogen. Währenddessen blieb der hierfür bestehende Rechtsrahmen seit Annahme der Richtlinie über den elektronischen Geschäftsverkehr (2000/31/EG) im Jahr 2000 im Grunde unverändert. Mit dem DMA und dem DSA soll nun ein neuer rechtlicher Rahmen festgelegt werden, der den wirtschafts- und demokratiebezogenen Auswirkungen digitaler Großkonzerne hinreichend Rechnung trägt, Nutzer:innen schützt und Innovationen in der digitalen Wirtschaft fördert. Für Unternehmen gilt es frühzeitig zu prüfen, inwieweit die neuen Regelungen auf sie anwendbar sind, und mögliche Anpassungsbedarfe anhand einer Gap-Analyse zu ermitteln.
Und auch kurz vor dem Jahreswechsel hat sich noch etwas getan: Der Europäische Rat hat eine Verschärfung der Rechtsvorschriften zur Sicherung eines hohen EU-weiten Cybersicherheitsniveaus in der gesamten Union angenommen. Die sog. „NIS 2-Richtlinie“, die die derzeit geltende Richtlinie zur Netz- und Informationssicherheit ersetzen soll, fordert von Unternehmen bspw. umfangreiche Risikomanagementmaßnahmen und etabliert Meldepflichten bei Vorfällen im Bereich Cybersicherheit. Die Richtlinie umfasst neben „Sektoren mit hoher Kritikalität“ wie bspw. Energieversorger, Verkehrsunternehmen, Cloud-Anbieter, Banken und Gesundheitsdienstleister auch „sonstige kritische Sektoren“ wie Post- und Kurierdienste, Unternehmen der Abfallwirtschaft oder Lebensmittelproduktion. Insbesondere mit Blick auf die strengen Meldepflichten bei Vorfällen, erforderliche technische und organisatorische Maßnahmen und auch bezogen auf die hohen drohenden Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes bei Verstößen gegen die Anforderungen, lassen sich Parallelen zur DSGVO erkennen. Auch wenn die Umsetzung der Richtlinie in nationales Recht erst zum 17.10.2024 erfolgen muss, sollten Unternehmen sich bereits heute mit der Betroffenheit und den Anforderungen auseinandersetzen und eine Analyse der erforderlichen Umsetzungsbedarfe durchführen.
Ein Blick nach vorne: Was in diesem Jahr wichtig wird
Auch wird für Unternehmen mit Blick auf den Datenschutz wieder spannend, denn eines ist klar: Auf Unternehmen kommen wohl weitere regulatorische und organisatorische Herausforderungen zu. Sei es durch die Analyse der Betroffenheit und Umsetzungsanforderungen mit Blick auf den Digital Markets Act, den Digital Service Act oder die NIS 2-Richtlinie oder durch andere geänderte Rahmenbedingungen, die weiter voranschreitende Digitalisierung sowie verhängte Bußgelder und neue Gerichtsurteile. Und insbesondere auch die Entwicklungen mit Blick auf einen Angemessenheitsbeschluss für die USA gilt es im Blick zu behalten, um kurzfristige von den potenziellen Erleichterungen Gebrauch machen zu können.
