Datenschutz Rückblick 2022
Wieder ist ein turbulentes Jahr 2022 vergangen. Schon zu seinem Beginn, am 24. Februar 2022 hält die Welt, wie es scheint, kurz den Atem an. Mehrheitlich sorgenvoll blicken Unternehmen in die Zukunft und auf die kommenden Entwicklungen in der Wirtschaft. Sie legen im Laufe des Jahres Strategien fest, schmieden Notfallpläne und richten sich in der Zeitenwende womöglich wirtschaftlich völlig neu aus.
Aus der allgemeinen Verunsicherung heraus stellen sich Unternehmen die Frage nach der eigenen Widerstandsfähigkeit, Verwundbarkeit und Resilienz und ergreifen optimalerweise die Chance, auch die eigene Compliance-Situation zu hinterfragen.
Und das aus gutem Grund. Wir berichteten bereits über Bußgeldfälle aus der Immobilienbranche, dem Finanzsektor und gegen einen Automobilhersteller, die aufgrund von gravierenden Verstößen gegen datenschutzrechtliche Vorschriften verhängt wurden. Aufsichtsbehörden, so z.B. die Aufsichtsbehörde Hamburg, kündigen verstärkt Kontrollen an. Nach diesem Jahresrückblick ist abzusehen, dass auch gegen kleinere Unternehmen verstärkt Bußgelder verhängt werden.
Es ist noch gar nicht so lange her, dass die Corona-Pandemie uns in Atem hielt. Wir erinnern uns an Maßnahmen, die aus der Verarbeitung von sensiblen personenbezogenen Daten ergriffen wurden und zu Beginn 2022 weitestgehend entfallen sind. Völlig vernachlässigbar ist das Thema nicht, denn die Pandemie brachte eine Wende in der Arbeitswelt mit sich. So haben wir, um exemplarisch einige im Überblick zu nennen, die Vorzüge von Home-Office, effizienten Videokonferenzen oder dem Arbeitseinsatz privater Technik erfahren dürfen und profitieren gegebenenfalls noch immer davon. Nicht in Vergessenheit geraten sollte, dass diese Vorzüge Datenschutzrelevanz haben und entsprechende Regelungen zwischen Arbeitgeber und Arbeitnehmer getroffen werden sollten und dass Informationspflichten umzusetzen sind.
Seit etwas über einem Jahr gilt in Deutschland schon das Gesetz zum Datenschutz und Schutz der Privatsphäre in der Telekommunikation und Telemedien (TTDSG). Damit wurde die zuvor geltende ePrivacy-Richtlinie in nationales Recht überführt. Die Rechtslage im Online-Marketing blieb jedoch weitestgehend wie gehabt: Der Zugriff auf Informationen die auf dem Endgerät der Webseitenbesucher gespeichert sind, ist nach § 25 TTDSG einwilligungspflichtig. Darunter fallen neben klassischen Tracking-Cookies (wie bspw. von Google Analytics eingesetzt) oder Zählpixeln (z.B. vom Facebook Pixel) auch vermeintliche harmlose Tools, bei denen das Tracking nicht im Vordergrund steht, die aber trotzdem zahlreiche Daten erheben (z.B. die Einbindung von YouTube-Videos oder Google Fonts). Das TTDSG sieht diesbezüglich einen Ausnahmetatbestand vor, wenn es sich bei dem eingesetzten Tool um einen vom Nutzer „ausdrücklich gewünschten“ Dienst handelt. Weder im Gesetz noch in einer Orientierungshilfe der Aufsichtsbehörden wird diese Formulierung klar definiert, dafür ist die Materie zu komplex. Klar ist nun jedoch, dass das zuvor oft diskutierte berechtigte Interesse für die Datenerhebung auf der Website stark eingeschränkt ist.
Ein „Evergreen“ im Jahr 2022 ist und bleibt wohl auch in 2023 die Datenübermittlung in Drittländer. Hintergrund ist das Schrems II Urteil von Juli 2020, wobei der Europäische Gerichtshof entschied, dass personenbezogene Daten von EU-Bürgern nur an Drittländer übermittelt werden dürfen, die ein gleichwertiges Schutzniveau in der EU/im EWR vorweisen können. Gleichzeitig wurde dies für die USA verneint. Als Beispiel ist hier das Website-Analysetool „Google Analytics“ zu nennen, welches nach Meinung zahlreicher europäischer Aufsichtsbehörden als unzulässig gilt. Für erhebliche Aufmerksamkeit sorgte mitunter das Urteil des LG München vom März 2022, wonach eine dynamische Einbindung von US-Webdiensten (speziell Google Fonts) ohne Einwilligung des Nutzers für datenschutzwidrig erklärt wurde. Das Persönlichkeitsrecht würde in dem Maße verletzt, dass beim Aufruf der Webseite eine Verbindung zu den Google-Servern in den USA hergestellt und die IP-Adresse, also Informationen und Daten des Nutzers an die Google-Server übertragen wird. Dreh- und Angelpunkt lag im Zuspruch des immateriellen Schadensersatzes an den User. Darauf folgte eine Abmahnwelle von Rechtsanwaltskanzleien und Privatpersonen wegen des Einsatzes von Google Fonts.
Thematisch reiht sich hier die Verwendung von Microsoft 365 ein, der seit dem Schrems II Urteil vielfach im Diskussionsfokus steht. In einer Stellungnahme befand die Konferzenz der Datenschutzbehörden (DSK) MS 365 für rechtswidrig, weil Microsoft-Kunden den rechtmäßigen Einsatz der Onlinedienste nicht nachweisen können. Im Fokus der Überpüfungen standen die Vertragswerke von Microsoft, konkret die Online Service Terms (OST) und der Auftragsverarbeitungsvertrag (DPA). Eine datenschutzrechtliche Einordnung der Stellungnahme haben wir hier für Sie vorgenommen, Nutzer sollten nun zunächst einige Einstellungen vornehmen, um die Nutzung von MS 365 so datenschutzkonform wie möglich zu gestalten. Ferner hat Microsoft angekündigt, auf die Forderungen der DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) einzugehen und bereits im Januar 2023 Vertragswerke für Kunden anzupassen.
Einen kleinen Hoffnungsschimmer am Horizont bietet die Aussicht auf das Trans-Atlantic Data Privacy Framework im 1. Halbjahr 2023, welches als Grundsatzvereinbarung zum Datentransfer zwischen den USA und EU/EWR dienen soll, also die Datenflüsse in die USA erleichtern sollte. Zuvor galt die Umsetzungsfrist 26.12.2022 für Altverträge mit US-Dienstleistern. Optimalerweise sind alle eingesetzten Dienstleister aus den Drittländern zu inventarisieren und die Verträge ggf. zu aktualisieren, nebst Dokumentation für den Fall einer Prüfung, um Abmahnungen und Datenschutzverstöße zu verhindern. Der Datenschutzbeauftragte Ihres Unternehmens kann Sie als Ansprechpartner dabei unterstützen.
Wir bleiben thematisch in Deutschland und werfen einen vorausschauenden Blick auf das Hinweisgeberschutzgesetz. Es findet seinen Ursprung in der Whistleblowing-Richtlinie vom Dezember 2019 und soll planmäßig bis Mitte Dezember 2023 in nationales Recht überführt und unter bestimmten Voraussetzungen von Unternehmen umgesetzt werden. Schon beim ersten genauen Blick wird deutlich, warum das Whistleblowing auch zum Datenschutzthema wird. Zum einen kann der Datenschutzbeauftragte mit einer zusätzlichen, möglichen neuen Funktion eine Rolle spielen, wenn eine unabhängige, fachkundige Person zur Meldestelle ernannt wird. Es ist anzunehmen, dass aus rechtlicher Sicht die Doppelfunktion zulässig sein wird und der Datenschutzbeauftragte diese Rolle übernehmen kann. Zum anderen sind Hinweisgeberschutzsysteme an sich der Vertraulichkeit unterworfen und erfordern eine datenschutzrechtliche Risikobewertung (Datenschutz-Folgeabschätzung, kurz DSFA).
Im Jahr 2023 werden im Bereich von datenschutzspezifischen Zertifizierungsverfahren im Sinne des Artikels 42 der DSGVO Fortschritte zu erwarten sein. In Deutschland befinden sich derzeit Zertifizierungsverfahren im Erarbeitungs- und Genehmigungsstatus.
Ausblick auf Neuerungen und Gesetzesvorhaben im Datenschutz 2023
Trans-Atlantic Data Privacy Framework
Im Oktober 2022 stellte US-Präsident Joe Biden mit der Unterzeichnung einer Verordnung die Weichen für das Trans-Atlantic Data Privacy Framework, ein Abkommen, das den Datenaustausch zwischen der EU und den USA regeln soll. Diese Durchführungsverordnung soll die Zugriffsrechte der US-Geheimdienste auf die exportierten personenbezogenen Daten unter dem Aspekt der Verhältnismäßigkeit begrenzen und deren Verarbeitung bis hin zur Löschung reglementieren. Im zweiten Schritt werden für EU-Bürger Rechtsschutzmöglichkeiten geschaffen, mit denen sie ihre Betroffenenrechte gemäß DS-GVO (unter anderem das Beschwerderecht) auch in den USA geltend machen können.
Es handelt sich nach „Safe Harbour“ und „US-Privacy Shield“ um den dritten Anlauf, einen Rahmen für den rechtssicheren EU-USA-Datenaustausch zu schaffen. Obwohl die Maßnahmen von der EU-Kommission als deutliche Verbesserung zur Vorläuferregelung „US-Privacy-Shield“ gesehen werden, äußerte sich Jurist und Datenschützer Max Schrems heute kritisch zum jüngsten Abkommen. Es bleibt abzuwarten, ob es dem Europäischen Datenschutzniveau zureichend entsprechen wird.
Die Benennung und die Stellung des Datenschutzbeauftragten
An erster Stelle seien hier gemeinsame Verfahren mit anderen EU-Aufsichtsbehörden genannt. Der EDSA (der Europäische Datenschutzausschuss) hat laut eigener Veröffentlichung um 14. September 2022 „[...] das Thema seiner zweiten abgestimmten Durchsetzungsmaßnahme festgelegt: die Benennung und die Stellung des Datenschutzbeauftragten. Zur Präzisierung der Einzelheiten werden in den kommenden Monaten weitere Arbeiten durchgeführt. Bei einer abgestimmten Maßnahme legt der EDSA jeweils den Schwerpunkt auf ein bestimmtes Thema, an dem die Datenschutzbehörden sodann auf nationaler Ebene Lösungen erarbeiten. Die Ergebnisse dieser nationalen Maßnahmen werden anschließend gebündelt und analysiert, um einen tieferen Einblick in das Thema zu gewinnen und gezielte Folgemaßnahmen sowohl auf nationaler Ebene als auch auf EU-Ebene zu ermöglichen.“
Hinweisgeberschutzgesetz
Die Umsetzung der EU-Whistleblower-Richtline ist in vollem Gange. Vor weniger Zeit haben Abgeordnete des Bundestags „einen besseren Schutz hinweisgebender Personen“ im beruflichen Umfeld beschlossen. Der vorliegende Gesetzesentwurf bedarf noch der Zustimmung des Bundesrats. Whistleblowing wird dann aus dem Compliance-Gefüge nicht mehr wegzudenken sein. Ziel ist es, innerhalb des Unternehmen auf noch unbekannte oder bisher nicht angegangene Missstände hinzuweisen. Gleichzeitig sollen diese diskret abgestellt werden. Für zahlreiche Unternehmen stellt sich die Herausforderung, Meldestellen und ein praktikables Verfahren einzurichten. Hier finden Sie Ideen zur Einführung eines Hinweisgebersystem in Ihrer Organisation.
Beschäftigtendatenschutzgesetz
Nachdem die DSK in ihrer Entschließung über ein Beschäftigtendatenschutzgesetz vom April 2022 den dringenden Bedarf eines Beschäftigtendatenschutzgesetzes betont hatte, wird es immer wahrscheinlicher, dass das Thema wieder Fahrt aufnimmt. Als einer der seitens der DSK genannten Gründe für eine vollumfängliche Regelung wurde die Tatsache aufgeführt, dass die voranschreitende Entwicklung eine immer weitergehende Überwachung von Beschäftigten möglich macht. Der Gesetzgeber wurde aufgefordert, Vorkehrungen für mindestens nachfolgende Punkte zu treffen:
Auch wenn die Ausgestaltung der spezifischen nationalen Regelung noch nicht vorhersehbar ist, eröffnet sie beiden Seiten eine Chance, davon zu profitieren – ob durch mehr Rechtssicherheit für Arbeitgeber oder durch die Stärkung der Arbeitnehmer-(Grund)rechte.
Arbeitszeiterfassung
Im Mai 2019 entschied der Europäische Gerichtshof (EuGH), dass die Aufzeichnung der tatsächlich geleisteten Arbeitszeit der Mitarbeiter für Arbeitgeber in der EU künftig zur Pflicht werden soll. Dies erfordert die Einführung eines Systems zur objektiven Erfassung der Arbeitszeit. Eine Umsetzung in nationales Recht fand bisher nicht statt. Das Thema nahm allerdings wieder Fahrt auf, als das Bundesarbeitsgericht mit Beschluss vom 13.09.2022 (Az. 1 ABR 22/21) feststellte: Der Unternehmer ist verpflichtet, ein System einzuführen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann. Laut Gesetzentwurf des Bundesarbeitsministeriums vom Februar 2022 ist ein manipulationssicheres, digitales System bereitzustellen, mit welchem alle Arbeitszeiten dokumentiert werden. Äußerungen des Bundesarbeitsministers Hubertus Heil lassen auf eine zeitnahe Umsetzung in Deutschland schließen. Ein Datenschutzbeauftragter kann Sie bei der Einführung eines solchen DS-GVO-konformen Systems unterstützen.
Zusammenfassend bringen die Ereignisse im Jahr 2022 und der Ausblick auf das Jahr 2023 einigen Handlungsbedarf mit sich.
Der Datenschutz-Reiseplan 2023 für Ihr Unternehmen
Mehr Rechtssicherheit gewinnen Sie, wenn Sie nachfolgende sieben Punkte angehen:
1. Funktioniert mein Datenschutz-Management-System?
Stellen Sie sich die Frage: Wird es „gelebt“? Laufen essenzielle Prozesse richtig? Werden alle Bestimmungen der Gesetze des Datenschutzes eingehalten? Gibt es Reibungspunkte in der Kommunikation und/oder Dokumentation? Profitiere ich von meinem Datenschutz-Management-System? Was kann ich automatisieren?
Die Experten des Datenschutzes bei der exkulpa unterstützen Sie gerne bei diesem „Review“ und stehen Ihnen „mit Mensch und Software“ gern zur Seite. Wir etablieren für Sie eine alltagstaugliche Lösung für ein softwarebasiertes Datenschutz-Management-System und begleiten Sie bei der Umsetzung und dem Umgang mit dem System.
2. Interne Regelungen und Transparenz
Die Corona-Pandemie hatte für viele Unternehmen auch positive Mitnahmeeffekte: Ob Mitarbeiter, die nun auch von zu Hause aus produktiv arbeiten können oder blitzschnelle Distanzüberwindung mit Kunden per Videokonferenz-Tools: Denken Sie daran, die Datenschutzrelevanz dieser Maßnahmen zu prüfen und Regelungen zu treffen, die Sie als Geschäftsführer enthaften, z.B. zu Home-Office oder BYOD (Bring Your Own Device).
Transparenz ist und bleibt das A und O: Informationspflichten zu Datenverarbeitungen, ob bei Videokonferenzen oder bei der Einführung neuer Anwendungen sind unentbehrlich. Gerne geben wir Ihnen als externer Datenschutzbeauftragter Hilfestellung.
3. TTDSG – alles rechtskonform auf Ihrer Webseite?
Auch wenn das TTDSG nicht viel Neues gebracht hat und viele Unternehmen in Deutschland sich bereits vor längerer Zeit kontinuierlich Änderungen mitgetragen haben, empfiehlt es sich, die eigenen
Internet-Präsenzen und Webseiten weiterhin regelmäßig auf Online-Datenschutzkonformität zu prüfen, um Abmahnungen wegen nicht erfüllten Datenschutzanforderungen zu verhindern.
Das ist Ihnen zu mühsam? Mit dem Websitecheck erledigt das Team der exkulpa das zuverlässig für Sie. Mehr Informationen zum Websitecheck und darüber, wie wir Sie als Datenschutzbeauftragter online absichern, finden Sie hier.
4. Drittland-Transfers
Am 26.12.2022 endet die Übergangsfrist für bereits bestehende Datenübermittlungen ins Drittland. Danach dürfen die Datenströme z.B. in die USA nur noch auf die neuen SCC (Standardvertragsklauseln) gestützt werden.
Die wichtigsten Schritte für Sie als Unternehmen sind nun, falls noch nicht erledigt:
- die Inventarisierung der betroffenen Dienstleister, bei denen eine Datenübertragung stattfindet,
- die Aktualisierung und Umstellung der Altverträge sowie
- die Dokumentation der neuen SCC.
- Auch eine Überprüfung, ob zusätzliche technische Sicherheitsmaßnahmen im Zusammenhang mit dem Transfer erforderlich sind, sollte vorgenommen werden. Ein Datenschutzbeauftragter kann Ihnen bei dieser Prüfung helfen.
Im Falle von Microsoft 365 bleiben nach wie vor etliche Punkte offen. Verantwortliche können aber Maßnahmen in puncto mehr Datenschutzkonformität treffen und das Produktpaket mit zusätzlichen technischen Datenschutzeinstellungen nutzen. Als externer Datenschutzbeauftragter unterstützen wir Sie gerne bei Fragen.
5. Whistleblowing – Sind Sie bereit für das Hinweisgeberschutzgesetz?
Was zunächst nicht nach einem Datenschutzthema klingt, weist jedoch einige Schnittstellen auf. Allem voran wird in Ihrer Organisation die Fragestellung nach dem Etablieren einer Meldestelle aufkommen, d.h. wer sich konkret als Person um die Hinweise zu Missständen kümmern wird. Seitens des Gesetzgebers ist es durchaus zulässig, diese Zusatzfunktion an den Datenschutzbeauftragten zu beantragen, da er eine unabhängige fachkundige Person ist, die bereits eine Vertrauensstellung genießt.
Des Weiteren würden Sie im Zuge der Umsetzung der Verordnung in Ihrer Organisation aller Voraussicht nach ein Hinweisgeberschutz-System nutzen, das für die Verarbeitung von Daten sehr sensitiver Natur zum Einsatz kommen wird und damit höchste Vertraulichkeit tangiert. Bevor das System an den Start geht, wird die Durchführung einer Datenschutz-Folgenabschätzung unentbehrlich sein, bei der gemäß Art. 35 DSGVO der Rat des Datenschutzbeauftragten eingeholt wird.
Sie sind noch auf der Suche nach einem geeigneten Hinweisgeber System?
Oder wünschen sich schnelle und unbürokratische Hilfestellung? Wir von exkulpa sind als Compliance-Experten bestens auf das Thema auf „Whistleblowing– Umsetzung in der Praxis“ vorbereitet.
6. Arbeitszeiterfassung
Es ist zu erwarten, dass mit dem neuen Gesetz eine Regelung und/oder Möglichkeit zur digitalen Zeiterfassung etabliert werden wird. Die grundsätzliche Verpflichtung zur Erfassung von Arbeitszeiten besteht unberührt davon schon heute.
Gerne unterstützen wir als Datenschutzbeauftragter von exkulpa bei der datenschutzkonformen Einführung Ihres Systems zur Erfassung der Arbeitszeit.
7. Datensicherheit / Informationssicherheit
Im Jahr 2022 hat der Angriffskrieg auf die Ukraine die Cybersicherheitslage in Deutschland verschärft und damit den Themen Datensicherheit und Informationssicherheit eine besondere Stellung beschert. Diese haben zum Datenschutz etliche Schnittstellen, wie etwa die technisch-organisatorischen Maßnahmen (TOM), die dabei helfen, (personenbezogene) Daten zu schützen: Bei einem physischen Abgriff wie dem Diebstahl eines Mobilgerätes oder online wie bei einem Cyberangriff mit Erpressungsfolge. Auch besteht meist ein Zusammenhang zwischen einem Datenschutzvorfall („Datenpanne“) und einem IT-Sicherheitsvorfall – meist handelt es sich dabei um eine meldepflichtige Datenschutzverletzung. So legen wir jeder Organisation, auch kleinen und mittelständischen Unternehmen, nahe, den Fokus im kommenden Jahr auf die IT-Sicherheit im Unternehmen zu legen und sich bewusst auf neue Phänomene einzustellen, mit Fragen wie:
- Funktioniert mein Betrieb nach einem Angriff noch?
- Habe ich einen IT-Sicherheitsbeauftragten?
- Kenne ich meine Schwachstellen und wie behandele ich diese?
Sie sind noch auf der Suche nach einem kompetenten Partner in puncto IT-Sicherheit? Gerne stehen wir Ihnen als Experten der IT-Sicherheit mit Erfahrungen und Lösungen zur Seite.
Dies sind nur einige Punkte in der Zusammenfassung des Jahres, die Sie anstoßen oder gänzlich umsetzen können. Es ist fest damit zu rechnen, dass das neue Jahr noch einige weitere Überraschungen und Neuigkeiten mit sich bringen wird.
Wir würden uns freuen, Sie auf Ihrer Datenschutz-Reise 2023 zu begleiten und stehen Ihnen bei Fragen gerne über unser Kontaktformular zu Verfügung!
Inga Reifenrath