“Ein verantwortungsvoller Umgang mit Daten muss die Norm werden. Mit unseren Lösungen befähigen wir Unternehmen schon heute dazu.”
Kathrin Schürmann
Geschäftsführerin caralegal GmbH
Das Jahr 2023 wartet mit einer Vielzahl an Entwicklungen auf für Datenschützer:innen in Deutschland, Europa und der Welt. Und auch wir werden nicht stillstehen, sondern den Schwung aus 2022 mitnehmen, um uns und unsere Produkte weiterhin rasant weiterzuentwickeln. Damit ihr dabei nicht den Überblick verliert, fassen wir in diesem Artikel zusammen, was im Datenschutz in 2023 passieren wird.
Datenschutzrecht ist die Grundlage, auf der Unternehmen und ihre Mitarbeiter:innen mit personenbezogenen Daten umgehen. Daher sind Entwicklungen in diesem Bereich immer besonders zu beachten.
Mit seinem Schrems II-Urteil befand der Europäische Gerichtshof (EuGH) 2020, dass der Datenschutz in den USA nicht den Standards der DSGVO entspreche und Datentransfers über den Atlantik daher nicht ohne besondere Schutzmaßnahmen geschehen dürfen. Die Folge: Unternehmen mussten für die datenschutzkonforme Zusammenarbeit mit ihren US-Partnern Standard Contract Clauses (SCCs) und Transfer Impact Assessments (TIAs) abschließen, um Daten verwerten zu dürfen. Drei Jahre nach dem Urteil zeichnet sich ein neuer Angemessenheitsbeschluss für die USA durch die EU bis Mitte 2023 ab. Aber ersetzt dieser wirklich die getroffenen Maßnahmen? Datenschützer:innen warnen, dass der Beschluss wie seine beiden Vorgänger nicht vor dem EuGH standhalten wird, wenn die zu erwartenden Klagen dagegen eingereicht werden. Unsere Empfehlung: Unternehmen sollten weiterhin auf SCCs und TIAs setzen, um datenschutzrechtlich auf der sicheren Seite zu sein!
Das neue Datenschutzgesetz (DSG) in der Schweiz weist zahlreiche Ähnlichkeiten zur DSGVO auf und möchte einen gleichwertigen Schutzstandard bieten. Dies ist vor allem für Unternehmen mit Sitz oder Tätigkeit in der Schweiz relevant. So ist nämlich für die Anwendung des DSG in der Schweiz, analog zur DSGVO, nicht der Ort der Datenverarbeitung von Bedeutung, sondern die Ausrichtung des Angebots auf den Schweizer Markt. Im Datenschutzrecht wird dies als Marktortprinzip bezeichnet. Aber aufgepasst: Statt Verarbeitungstätigkeiten sprechen Schweizer Datenschützer:innen von Bearbeitungstätigkeiten! ????
Die Unterschiede zur DSGVO und die Neuerungen des DSG hat unser Partner lawpilots hier für Sie zusammengefasst.
Die Einsatzmöglichkeiten von Künstlicher Intelligenz (KI) sind unglaublich vielfältig und werden die Digitalisierung der Welt maßgeblich beeinflussen. Damit dies nur zum Guten geschieht, plant die EU eine Verordnung zu Künstlicher Intelligenz. Eine solche KI-Verordnung (KI-VO) wäre eine globale Neuheit und würde wichtige Standards setzen, um die Forschung an KI in die richtigen gesellschaftspolitischen Bahnen zu lenken. Nachdem die Europäische Kommission bereits 2021 einen ersten Vorschlag für die KI-VO vorlegte, könnte sie 2023 in Kraft treten.
Aufgepasst: Selbst wenn die KI-VO erst später in Kraft tritt, wird sie auch für bereits jetzt entwickelte KI gelten. Für mehr Informationen zum rechtlichen Hintergrund der KI-VO empfehlen wir den Blog der Partnerschaft von Rechtsanwälten mbB SCHÜRMANN ROSENTHAL DREYER.
Die EU hat im Rahmen ihrer Datenstrategie zwei Säulen definiert, die den fairen Zugang zu Daten ermöglichen sollen.
Die erste Säule ist der Data Governance Act (DGA), der im Juni 2022 in Kraft trat und ab dem 24. September 2023 unmittelbar anwendbar ist. Dies betrifft vor allem Behörden.
Als zweite Säule arbeitet die EU an einem Data Act (DA) für die freie Wirtschaft, der möglicherweise dieses Jahr beschlossen wird.
Für den Data Governance Act sowie den Data Act gilt: Die EU strebt nach einem starken Binnen- Datenmarkt, also dazu, mehr bzw. bessere Daten zu erheben, zu nutzen und sogar auszutauschen. Diese Vision benötigt aus heutiger Sicht vor allem mehr Rechtssicherheit für den internationalen Datentransfer. Die beiden Verordnungen sollen genau diese Rechtssicherheit bieten. Expert:innen befürchten allerdings das Gegenteil, da Detailfragen noch ungeklärt sind: So sollen DA und DGA als Ergänzung zur DSGVO verstanden werden, also supplementierende Rechtsgrundlagen für konkrete Verarbeitungstätigkeiten schaffen. In der Praxis ist jedoch unklar, wie der dadurch ermöglichte Datenaustausch mit dem Prinzip der Zweckmäßigkeit der DSGVO in Einklang gebracht werden soll.
Für 2023 bedeutet das faktisch, dass betroffene Unternehmen bzw. öffentliche Einrichtungen die ergänzenden Rechtsgrundlagen sowie die damit verbundenen zusätzlichen Vorgaben in ihr Datenschutzmanagement übertragen sollten.
Wir haben 2022 an zahlreichen Konferenzen teilgenommen und uns mit vielen Expert:innen im Datenschutzbereich ausgetauscht. Daraus zeichneten sich diverse Entwicklungen und Themen ab, die Datenschützer:innen nun, im Jahr 2023, auf dem Schirm haben sollten.
In den letzten Jahren haben Datenschutzbehörden vor allem Verzeichnisse von Verarbeitungstätigkeiten (VVTs) von Unternehmen in den Blick genommen. Aktuell deutet es sich an, dass sie vermehrt Datenschutz-Folgenabschätzungen (DSFAs) unter die Lupe nehmen werden.
Gut zu wissen:
Die Notwendigkeit einer DSFA ergibt sich aus einer Schwellwertanalyse, welche für jede Verarbeitungstätigkeit durchgeführt werden muss (DSGVO Art. 35). caralegal inkludiert die Fragen daher automatisch am Ende einer Verarbeitungstätigkeit und assistiert beispielsweise bei der Interpretation, was eine sogenannte systematische Überwachung ist.
Die Datenschutzaufsichtsbehörden von Bund und Ländern haben im November 2022 das Standarddatenschutzmodell (SDM) Version 3.0 verabschiedet. Dadurch sollen die normativen Anforderungen der DSGVO in funktionale Anforderungen für Unternehmen übertragen werden. Das heißt, dass das SDM eine Brücke zwischen Gesetzgebung und Praxis darstellen möchte. Das SDM 3.0 bringt zahlreiche praxisorientierte Verbesserungen wie beispielsweise den SDM-Würfel: Diese in ihrer Anschaulichkeit als Zauberwürfel für den Datenschutz zu bezeichnende Grafik bietet die vollständige Übersicht über alle Risiken bei einer Verarbeitungstätigkeit.
Den aktuellen Stand können Sie auf der Internetseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern einsehen.
Die Mitgliedstaaten der EU und ihre Aufsichtsbehörden fördern spezielle Zertifizierungsverfahren, mit denen Datenschutzsiegel entwickelt werden sollen – so besagt es Artikel 42 der DSGVO. Momentan sind lediglich drei Programme bei der Deutschen Akkreditierungsstelle eingetragen. Auf Unionsebene stehen sich die European co-operation for Accreditation (EA) und der Europäische Datenschutzausschuss (EDSA) ein Stück weit im Weg, was die Akkreditierungsverfahren angeht. Eine Lösung ist noch nicht abzusehen, sodass aus heutiger Sicht Unternehmen weiterhin auf eine umfassende DSGVO-Zertifizierung warten müssen.
Auch bei uns selbst steht für 2023 einiges auf der Agenda. Wir haben diverse Ziele definiert, die wir in diesem Jahr erreichen wollen. Sie dienen dazu, unsere Produkte zu verbessern und unser Leistungsspektrum zu erweitern. So arbeiten wir weiter daran, Datenschutz im Unternehmen zu vereinfachen und zu einem Erfolgsfaktor auszubauen.
Wir befassen uns intensiv damit, euch Datenschutz-Audits anzubieten. Dabei denken wir wie gewohnt einen Schritt weiter und legen großen Wert darauf, die manuellen Prüfschritte so klein wie möglich zu halten. Stattdessen wollen wir Auditor:innen durch intelligente Verknüpfungen in der Software unterstützen.
Informationssicherheitsmanagementsysteme (ISMS) und Datenschutzmanagementsysteme (DSMS) liegen offensichtlich eng beieinander. Einen ersten Schritt, um beide Bereiche in unsere Software zu integrieren, haben wir bereits getan: Ein umfassendes Asset Management ist in caralegal bereits abbildbar. 2023 wird nun auch ein vollständiges ISMS nach dem One-Workflow-Prinzip Teil von caralegal sein. Und das Beste: Wir verstehen, dass Datenschutzrisiken nicht gleichzusetzen sind mit IT-Risiken, und dennoch wird es gewohnt einfach!
Seitdem wir letztes Jahr unsere KI-basierte Prüfung von Auftragsverarbeitungsverträgen (AVVs) veröffentlicht haben, ist einiges geschehen: Mittlerweile wurden mehrere tausend Auftragsverarbeitungsverträge geprüft, sodass unsere KI fleißig lernen und sich weiterentwickeln konnte. In diesem Jahr wollen wir die Doppelarbeit von Datenschutzberater:innen reduzieren – aktuell wird derselbe AVV nämlich meist von mehreren Unternehmen (beziehungsweise ihren Datenschutzberater:innen) und somit doppelt und dreifach geprüft. Hier werden wir Abhilfe schaffen.
Wir starten 2023, indem wir unser Angebot für kleinere Unternehmen ausweiten, die gerade erst mit dem Datenschutzmanagement starten. Ihnen stehen inzwischen 1.000 Templates zur Verfügung, um Verarbeitungstätigkeiten zu erfassen. Diese müssen natürlich von Fall zu Fall angepasst werden, dienen aber als gute Orientierung, um ein rechtssicheres Datenschutzmanagement einzuführen.
2023 verspricht ein gutes Jahr für uns und für den Datenschutz zu werden. Es stehen einige Entwicklungen an, die mehr Klarheit in der Praxis versprechen und die Integration von Datenschutz in den Arbeitsalltag verbessern werden. So wollen wir auch in diesem Jahr Unternehmen dazu ermächtigen, betroffene Personendaten zu schützen.
Entdecke weitere Beiträge zu diesem Thema:
en_US
