caralegal logo

Datenschutz 2023: Das erwartet Unternehmen

Das Jahr 2023 wartet mit einer Vielzahl an Entwicklungen auf für Datenschützer:innen in Deutschland, Europa und der Welt. Und auch wir werden nicht stillstehen, sondern den Schwung aus 2022 mitnehmen, um uns und unsere Produkte weiterhin rasant weiterzuentwickeln. Damit ihr dabei nicht den Überblick verliert, fassen wir in diesem Artikel zusammen, was im Datenschutz in 2023 passieren wird.

von Dennis Kurpierz, Co-Founder & COO
09. Februar 2023
 | 

Die wichtigsten Entwicklungen im Datenschutzrecht

Datenschutzrecht ist die Grundlage, auf der Unternehmen und ihre Mitarbeiter:innen mit personenbezogenen Daten umgehen. Daher sind Entwicklungen in diesem Bereich immer besonders zu beachten.

Angemessenheitsbeschluss für die USA: Datenschutz auf EU-Niveau?

Mit seinem Schrems II-Urteil befand der Europäische Gerichtshof (EuGH) 2020, dass der Datenschutz in den USA nicht den Standards der DSGVO entspreche und Datentransfers über den Atlantik daher nicht ohne besondere Schutzmaßnahmen geschehen dürfen. Die Folge: Unternehmen mussten für die datenschutzkonforme Zusammenarbeit mit ihren US-Partnern Standard Contract Clauses (SCCs) und Transfer Impact Assessments (TIAs) abschließen, um Daten verwerten zu dürfen. Drei Jahre nach dem Urteil zeichnet sich ein neuer Angemessenheitsbeschluss für die USA durch die EU bis Mitte 2023 ab. Aber ersetzt dieser wirklich die getroffenen Maßnahmen? Datenschützer:innen warnen, dass der Beschluss wie seine beiden Vorgänger nicht vor dem EuGH standhalten wird, wenn die zu erwartenden Klagen dagegen eingereicht werden. Unsere Empfehlung: Unternehmen sollten weiterhin auf SCCs und TIAs setzen, um datenschutzrechtlich auf der sicheren Seite zu sein!

Ein neues DSG in der Schweiz

Das neue Datenschutzgesetz (DSG) in der Schweiz weist zahlreiche Ähnlichkeiten zur DSGVO auf und möchte einen gleichwertigen Schutzstandard bieten. Dies ist vor allem für Unternehmen mit Sitz oder Tätigkeit in der Schweiz relevant. So ist nämlich für die Anwendung des DSG in der Schweiz, analog zur DSGVO, nicht der Ort der Datenverarbeitung von Bedeutung, sondern die Ausrichtung des Angebots auf den Schweizer Markt. Im Datenschutzrecht wird dies als Marktortprinzip bezeichnet. Aber aufgepasst: Statt Verarbeitungstätigkeiten sprechen Schweizer Datenschützer:innen von Bearbeitungstätigkeiten! ????

Die Unterschiede zur DSGVO und die Neuerungen des DSG hat unser Partner lawpilots hier für Sie zusammengefasst.

KI-VO für gesellschafts- und rechtskonforme Künstliche Intelligenz

Die Einsatzmöglichkeiten von Künstlicher Intelligenz (KI) sind unglaublich vielfältig und werden die Digitalisierung der Welt maßgeblich beeinflussen. Damit dies nur zum Guten geschieht, plant die EU eine Verordnung zu Künstlicher Intelligenz. Eine solche KI-Verordnung (KI-VO) wäre eine globale Neuheit und würde wichtige Standards setzen, um die Forschung an KI in die richtigen gesellschaftspolitischen Bahnen zu lenken. Nachdem die Europäische Kommission bereits 2021 einen ersten Vorschlag für die KI-VO vorlegte, könnte sie 2023 in Kraft treten.

Aufgepasst: Selbst wenn die KI-VO erst später in Kraft tritt, wird sie auch für bereits jetzt entwickelte KI gelten. Für mehr Informationen zum rechtlichen Hintergrund der KI-VO empfehlen wir den Blog der Partnerschaft von Rechtsanwälten mbB SCHÜRMANN ROSENTHAL DREYER.

Neue Verarbeitungs­möglichkeiten durch Data Act und Data Governance Act?

Die EU hat im Rahmen ihrer Datenstrategie zwei Säulen definiert, die den fairen Zugang zu Daten ermöglichen sollen.

Die erste Säule ist der Data Governance Act (DGA), der im Juni 2022 in Kraft trat und ab dem 24. September 2023 unmittelbar anwendbar ist. Dies betrifft vor allem Behörden.

Als zweite Säule arbeitet die EU an einem Data Act (DA) für die freie Wirtschaft, der möglicherweise dieses Jahr beschlossen wird.

Für den Data Governance Act sowie den Data Act gilt: Die EU strebt nach einem starken Binnen- Datenmarkt, also dazu, mehr bzw. bessere Daten zu erheben, zu nutzen und sogar auszutauschen. Diese Vision benötigt aus heutiger Sicht vor allem mehr Rechtssicherheit für den internationalen Datentransfer. Die beiden Verordnungen sollen genau diese Rechtssicherheit bieten. Expert:innen befürchten allerdings das Gegenteil, da Detailfragen noch ungeklärt sind: So sollen DA und DGA als Ergänzung zur DSGVO verstanden werden, also supplementierende Rechtsgrundlagen für konkrete Verarbeitungstätigkeiten schaffen. In der Praxis ist jedoch unklar, wie der dadurch ermöglichte Datenaustausch mit dem Prinzip der Zweckmäßigkeit der DSGVO in Einklang gebracht werden soll.

Für 2023 bedeutet das faktisch, dass betroffene Unternehmen bzw. öffentliche Einrichtungen die ergänzenden Rechtsgrundlagen sowie die damit verbundenen zusätzlichen Vorgaben in ihr Datenschutzmanagement übertragen sollten.

Branchen-Bericht: Das passiert 2023 auf dem Datenschutzmarkt

Wir haben 2022 an zahlreichen Konferenzen teilgenommen und uns mit vielen Expert:innen im Datenschutzbereich ausgetauscht. Daraus zeichneten sich diverse Entwicklungen und Themen ab, die Datenschützer:innen nun, im Jahr 2023, auf dem Schirm haben sollten.

VVT war gestern – Datenschutz­behörden prüfen vermehrt DSFAs

In den letzten Jahren haben Datenschutzbehörden vor allem Verzeichnisse von Verarbeitungstätigkeiten (VVTs) von Unternehmen in den Blick genommen. Aktuell deutet es sich an, dass sie vermehrt Datenschutz-Folgenabschätzungen (DSFAs) unter die Lupe nehmen werden.

Gut zu wissen:

Die Notwendigkeit einer DSFA ergibt sich aus einer Schwellwertanalyse, welche für jede Verarbeitungstätigkeit durchgeführt werden muss (DSGVO Art. 35). caralegal inkludiert die Fragen daher automatisch am Ende einer Verarbeitungstätigkeit und assistiert beispielsweise bei der Interpretation, was eine sogenannte systematische Überwachung ist.

Mehr Praxisnähe durch Standard­datenschutzmodell 3.0

Die Datenschutzaufsichtsbehörden von Bund und Ländern haben im November 2022 das Standarddatenschutzmodell (SDM) Version 3.0 verabschiedet. Dadurch sollen die normativen Anforderungen der DSGVO in funktionale Anforderungen für Unternehmen übertragen werden. Das heißt, dass das SDM eine Brücke zwischen Gesetzgebung und Praxis darstellen möchte. Das SDM 3.0 bringt zahlreiche praxisorientierte Verbesserungen wie beispielsweise den SDM-Würfel: Diese in ihrer Anschaulichkeit als Zauberwürfel für den Datenschutz zu bezeichnende Grafik bietet die vollständige Übersicht über alle Risiken bei einer Verarbeitungstätigkeit.

Den aktuellen Stand können Sie auf der Internetseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern einsehen.

DSGVO-Zertifizierung bleibt in der Schwebe

Die Mitgliedstaaten der EU und ihre Aufsichtsbehörden fördern spezielle Zertifizierungsverfahren, mit denen Datenschutzsiegel entwickelt werden sollen – so besagt es Artikel 42 der DSGVO. Momentan sind lediglich drei Programme bei der Deutschen Akkreditierungsstelle eingetragen. Auf Unionsebene stehen sich die European co-operation for Accreditation (EA) und der Europäische Datenschutzausschuss (EDSA) ein Stück weit im Weg, was die Akkreditierungsverfahren angeht. Eine Lösung ist noch nicht abzusehen, sodass aus heutiger Sicht Unternehmen weiterhin auf eine umfassende DSGVO-Zertifizierung warten müssen.


caralegal 2023: So wollen wir uns entwickeln

Auch bei uns selbst steht für 2023 einiges auf der Agenda. Wir haben diverse Ziele definiert, die wir in diesem Jahr erreichen wollen. Sie dienen dazu, unsere Produkte zu verbessern und unser Leistungsspektrum zu erweitern. So arbeiten wir weiter daran, Datenschutz im Unternehmen zu vereinfachen und zu einem Erfolgsfaktor auszubauen.

Intelligente Audits

Wir befassen uns intensiv damit, euch Datenschutz-Audits anzubieten. Dabei denken wir wie gewohnt einen Schritt weiter und legen großen Wert darauf, die manuellen Prüfschritte so klein wie möglich zu halten. Stattdessen wollen wir Auditor:innen durch intelligente Verknüpfungen in der Software unterstützen.

ISMS und DSMS gehören zusammen

Informationssicherheits­managementsysteme (ISMS) und Datenschutzmanagementsysteme (DSMS) liegen offensichtlich eng beieinander. Einen ersten Schritt, um beide Bereiche in unsere Software zu integrieren, haben wir bereits getan: Ein umfassendes Asset Management ist in caralegal bereits abbildbar. 2023 wird nun auch ein vollständiges ISMS nach dem One-Workflow-Prinzip Teil von caralegal sein. Und das Beste: Wir verstehen, dass Datenschutzrisiken nicht gleichzusetzen sind mit IT-Risiken, und dennoch wird es gewohnt einfach!

Update von unserer KI-basierten AVV-Prüfung

Seitdem wir letztes Jahr unsere KI-basierte Prüfung von Auftragsverarbeitungsverträgen (AVVs) veröffentlicht haben, ist einiges geschehen: Mittlerweile wurden mehrere tausend Auftragsverarbeitungsverträge geprüft, sodass unsere KI fleißig lernen und sich weiterentwickeln konnte. In diesem Jahr wollen wir die Doppelarbeit von Datenschutzberater:innen reduzieren – aktuell wird derselbe AVV nämlich meist von mehreren Unternehmen (beziehungsweise ihren Datenschutzberater:innen) und somit doppelt und dreifach geprüft. Hier werden wir Abhilfe schaffen.

1.000 neue Templates

Wir starten 2023, indem wir unser Angebot für kleinere Unternehmen ausweiten, die gerade erst mit dem Datenschutzmanagement starten. Ihnen stehen inzwischen 1.000 Templates zur Verfügung, um Verarbeitungstätigkeiten zu erfassen. Diese müssen natürlich von Fall zu Fall angepasst werden, dienen aber als gute Orientierung, um ein rechtssicheres Datenschutzmanagement einzuführen.

Wir freuen uns auf 2023

2023 verspricht ein gutes Jahr für uns und für den Datenschutz zu werden. Es stehen einige Entwicklungen an, die mehr Klarheit in der Praxis versprechen und die Integration von Datenschutz in den Arbeitsalltag verbessern werden. So wollen wir auch in diesem Jahr Unternehmen dazu ermächtigen, betroffene Personendaten zu schützen.

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Checkliste für Datenschutzmanagement-Software: eine übersichtliche Checkliste, die dir hilft Datenschutzmanagement erfolgreich in deinem Unternehmen umzusetzen.

Checkliste: 101 Kriterien für die Einführung einer Datenschutzmanagement-Software (2023)

Mehr erfahren
nDSG

Schweizer nDSG: Was du über das Gesetz wissen musst

Mehr erfahren

ChatGPT: Chancen und Limits der Anwendung beim Datenschutz

Mehr erfahren

Jetzt zum caralegal-Newsletter anmelden

Wir informieren monatlich zu den Best Practices aus der Welt des Datenschutzmanagements und mehr.

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Vielen Dank für das Interesse an unserem Newsletter. Bitte bestätigen Sie Ihre Anmeldung in Ihrem E-Mail-Postfach.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Datenschutzthemen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.