Auch das Jahr 2022 bleibt vor den stetigen Wellen des Datenstroms nicht verschont. Denn es gibt in diesem Jahr neue Regelungen und Umsetzungen, über die man als Datenschutzbeauftragter Bescheid wissen sollte.
Datenexporte an Drittländer
2021 hat das das bis dahin gültige EU-US-Privacy Shield umgestürzt. Mit diesem Urteil hat der Europäische Gerichtshof klargestellt, dass die personenbezogenen Daten von EU-Bürgern nur an Drittländer weitergegeben werden dürfen, wenn diese Daten dort gleichwertigen Schutz genießen wie in der EU.
Bei so genannten „Drittländern“, soll ein der Datenschutz-Grundverordnung („DSGVO“) ein angemessenes Datenschutzniveau anders sichergestellt werden. Üblicherweise geschieht dies durch den Abschluss so genannter Standardvertragsklauseln („Standard Contractual Clauses“ oder „SCC“), die von der Europäischen Kommission als Vertragsmuster bereitgestellt und im Durchführungsbeschluss 2021/914 vom 4. Juni 2021 veröffentlicht wurden.
Mitte 2021 wurde Großbritannien als „sicherer Drittstaat“ eingestuft, und, nachdem sich das Schweizer Parlament zu einem Entwurf zum Bundesgesetz über den Datenschutz einigen konnte, könnte dies auch bald für die Schweiz der Fall sein. Experten erwarten jedoch, dass dieses nicht vor Mitte 2022 in Kraft treten wird.
Datentransfer in die USA
Anders jedoch beim Datentransfer in die USA: nach dem Schrems II Urteil reicht der Abschluss von SCCs allein nicht mehr, um ein angemessenes Datenschutzniveau in den USA zu garantieren. Hierfür müssen mit „Transfer Impact Assessments“ Zusatzmaßnahmen ergriffen werden. Beim Einsatz von US-Dienstleistern soll deswegen stärker geprüft werden, ob die Zusammenarbeit mit diesen tatsächlich notwendig ist, oder ob es nicht doch europäische Alternativen gibt. Ist dies nicht der Fall, ist darauf zu achten, dass die Voraussetzungen zu einem zulässigen Drittlandtransfers auch erfüllt und erfasst sind.
In diesem Zusammenhang steht auch das Tool Google Analytics, welches ebenfalls in der Diskussion stand. Die österreichische Datenschutzbehörde (DSB) hat so erklärt, dass der Einsatz von Google Analytics auf EU-Webseiten gegen die DSGVO verstößt. Persönliche Nutzerdaten werden an die Google-Zentrale in den USA weitergeleitet und US-Sicherheitsbehörden dürfen theoretisch auf diese Daten zugreifen.
Weitere EU-Länder könnten diesem Beschluss folgen. Die niederländische Behörde für persönliche Daten (AP) ist gerade dabei, zwei Beschwerden zu prüfen, eine Entscheidung soll es noch „Anfang 2022“ geben. Es ist also gut möglich, dass die Verwendung von Google Analytics bald auch in den Niederlanden nicht mehr erlaubt sein könnte.
Hinweisgeberschutzgesetz und EU-Whistleblower-Richtlinie
Das Hinweisgeberschutzgesetz (HinSchG) sollte eigentlich schon am 17. Dezember 2021 in Kraft treten, und die „Whistleblower-Richtlinie“ der EU in nationales Recht überführen. Jedoch gibt es bis jetzt noch keine Einigung über den finalen Entwurf, das Inkrafttreten verschiebt sich also noch bis 2022.
Dieses neue Gesetz soll Hinweisgeber, also „Whistleblower“ vor negativen Effekten, wie einer Kündigung schützen. Unternehmen sollten hierfür, ab einer bestimmten Größe, ein Hinweisgebersystem aufbauen, über das Tipps oder Hinweise sicher geben werden können müssen. Hier handelt es sich um besonders schützenswerte Daten von Beschäftigten und ist ein entsprechend großes Datenschutzthema. Es bleibt abzuwarten, wie die Richtlinie genau umgesetzt wird.
TTDSG und ePrivacy-Verordnung
Das neue gilt seit Dezember 2021 und fasst die Datenschutzvorschriften aus den jetzt alten Fassungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) zusammen. Es überträgt die europäische Datenschutzrichtlinie für elektronische Kommunikation in das deutsche Recht.
Wichtig ist dabei der Paragraph 23, laut dem Webseiten-Betreiber Cookies nur setzen dürfen, „wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat“ – gemäß der DSGVO. Ausgenommen sind dabei „unbedingt erforderliche“ Cookies, wobei nicht definiert ist, was einen Cookie unbedingt erforderlich macht.
Das TTDSG könnte „bald“ allerdings schon wieder durch die ePrivacy-Verordnung (ePVO) abgelöst werden. Die Ampelkoalition möchte sich für eine schnelle Verabschiedung einsetzen, die Verhandlungen ziehen sich jedoch. Das Ziel dessen ist, personenbezogene Daten zu schützen. Die Regeln der elektronischen Kommunikation sollen demnach an die DSGVO angenähert werden. Bis zu einer Verabschiedung könnte es jedoch noch bis 2025 dauern.