Datenschutz aktuell: spannende Herausforderungen der DSGVO

Seit die DSGVO im Mai 2018 in Kraft trat, ist einiges passiert. Regelungen wurden konkretisiert, erste Urteile gesprochen und die Datenschutzlandschaft durch zusätzliche Gesetze ergänzt. Auch im kommenden Jahr gibt es für Unternehmen und Behörden in Deutschland und Europa datenschutzrechtliche Herausforderungen. Wir haben mit dem als externer Datenschutzbeauftragter tätigen Rechtsanwalt Frank Henkel über die aktuellen Themen im Datenschutz gesprochen.  

Die Datenschutzgrundverordnung (DSGVO) hat den Datenschutz in Deutschland nachhaltig verändert. Ihre Einführung erzeugte eine enorme mediale Wirkung und ein nie da gewesenes Bewusstsein für die Bedeutung des Datenschutzes. In den Aufsichtsbehörden zeigt sich dies etwa in einer enorm gestiegenen Anzahl an Beschwerden von Betroffenen. 

Auch die Sanktionen erregen Aufsehen: „Die DSGVO erlaubt einen deutlich höheren Rahmen für Bußgelder als das Bundesdatenschutzgesetz. Bußgelder in Millionenhöhe sind nicht nur theoretisch möglich, sondern kommen auch tatsächlich immer wieder vor“, erklärt Frank Henkel. Ein Fall, der im Datenschutz aktuell wieder die Gemüter erregt hat, ist der Meta-Konzern, zu dem Plattformen wie Facebook und Instagram zählen. Die irische Datenschutzbehörde verhängte wegen der unzulässigen Verarbeitung personenbezogener Daten für die Ausgabe personalisierter Werbung ein Bußgeld in Höhe von 390 Millionen Euro. 

Die deutsche und die EU-Gesetzgebung justieren den Datenschutz aktuell immer wieder nach. Die folgenden Themen beschäftigen uns in einem Zeitrahmen von ein bis zwei Jahren. 

Die künstliche Intelligenz (KI) verarbeitet enorme Mengen an Daten – mitunter auch personenbezogener Natur. Das allein bietet bereits ausreichend Zündstoff für die Einhaltung des Datenschutzes bei künstlicher Intelligenz. 

Die Herausforderung liegt in der selbstständigen Weiterentwicklung der künstlichen Intelligenz. Um personenbezogene Daten nach DSGVO verarbeiten zu dürfen, muss der Grundsatz der Datenminimierung eingehalten werden. Dies widerspricht jedoch schon im Ansatz dem Vorgehen der KI, die große Datenmengen zur Weiterentwicklung des Algorithmus benötigt. Henkel führt aus: „Schwerer wiegt jedoch, dass die Verarbeitung personenbezogener Daten nur für einen zuvor definierten Zweck zulässig ist. KI versucht, aus der großen Menge an Daten neue Erkenntnisse zu generieren. Im Vorfeld ist jedoch unklar, welche Erkenntnisse das sein werden und zu welchem Zweck diese eingesetzt werden können.“ 

Auf EU-Ebene konnte man sich im Dezember 2023 auf eine EU-Verordnung zur KI verständigen. Besonderer Fokus liegt dabei auf hochriskanten KI-Anwendungen, etwa im Personalmanagement oder in der kritischen Infrastruktur. Es sollen umfassende Qualitäts- und Risikomanagementsysteme eingeführt werden. Die KI-Verordnung wird voraussichtlich noch im ersten Halbjahr 2024 in Kraft treten. In der Verordnung sind unterschiedliche Übergangsfristen enthalten, sodass eine vollständige Anwendbarkeit der KI-Verordnung erst nach zwei Jahren eintreten wird. Teile der KI-Verordnung treten allerdings schon deutlich früher in Kraft, weshalb Unternehmen sich schon jetzt mit der neuen KI-Verordnung befassen sollten.

Auskunftsrechte der Betroffenen, Dokumentationspflichten, Informationspflichten – die DSGVO ist für KMU schwierig umzusetzen. Die vielfältigen Rechtsvorschriften sind ohnehin schwer zu überschauen. Hinzu kommt der hohe Aufwand, für den in kleineren und mittleren Unternehmen häufig die Ressourcen fehlen. 

Damit KMU die DSGVO rechtssicher umsetzen können, muss auf Expertenwissen zurückgegriffen werden können. Häufig fehlen intern Beschäftigte mit solchen Spezialkenntnissen. Es bleibt dann nichts anderes übrig, als auf externe Berater:innen zurückzugreifen. Auch kleinere Betriebe, die nicht zur Bestellung eines:r Datenschutzbeauftragten verpflichtet sind, profitieren in solchen Fällen von der externen Unterstützung durch eine:n Berater:in, ist sich Henkel sicher. Diese:r kann die Aufgabe übernehmen, die Mitarbeiter:innen zu schulen und bei der Umsetzung der DSGVO anzuleiten.  

In Hinblick auf den Datenschutz sollten sich KMU nicht in falscher Sicherheit wiegen: Zwar ist die Wahrscheinlichkeit relativ gering, dass sie ohne Anlass in den Fokus einer Datenschutz-Aufsichtsbehörde geraten. Beschwert sich allerdings jemand über einen Datenschutzverstoß, sind die Aufsichtsbehörden verpflichtet, der Beschwerde nachzugehen – und dann sind KMU ebenso wenig wie große Konzerne vor Bußgeldern gefeit. 

Wertvolle Informationen und große Datenbestände für die Gesellschaft und die Forschung nutzbar zu machen, darum geht es im EU Data Governance Act. Der Data Governance Act trat im Juni 2022 in Kraft und ist in den EU-Mitgliedstaaten seit dem 24. September 2023 unmittelbar anwendbar. Allerdings betrifft die Neuerung vor allem große Konzerne wie etwa Google oder Meta, die über sehr große Datenmengen verfügen, ohne diese bislang teilen zu müssen.  

Der EU Data Governance Act setzt einen Rahmen auf hoher Meta-Ebene und schafft die erforderlichen Infrastrukturen, um den Zugang zu Daten sicherzustellen. Für die meisten Unternehmen hat er in der Praxis keine direkten Auswirkungen.

Die EU-Whistleblower-Richtlinie wurde mittlerweile mit der Verabschiedung des Hinweisgeberschutzgesetzes (HinSchG) in deutsches Recht umgesetzt.  

Meldet ein:e Hinweisgeber:in einen vermeintlichen Verstoß gegen bestimmte Rechtsvorschriften bei der einzurichtenden internen Meldestelle, werden personenbezogene Daten verarbeitet. Betroffen sind nicht nur die eigenen Daten, sondern auch die der beschuldigten Person. Entsprechend wichtig ist die Einhaltung der speziellen Datenschutzbestimmungen des HinSchG und der DSGVO. Henkel weiß: „Der Hinweisgeberschutz ist ein brandaktuelles Thema im Datenschutz. Unternehmen müssen die Vertraulichkeit gewährleisten können, Informationspflichten nachkommen und interne Meldestellen einrichten. Allein schon die notwendige IT-Infrastruktur zu schaffen, um die sensiblen Daten in einer hochsicheren Umgebung verarbeiten zu können, und die Klärung interner Zuständigkeiten sind große Herausforderungen.“  

Bereits im Dezember 2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten, das insbesondere Vorschriften zum Fernmeldegeheimnis und zum Einsatz von Cookies beim Betrieb von Webseiten enthält. Cookies, die für den Betrieb von Webseiten nicht zwingend benötigt werden, erfordern in der Regel eine Einwilligung der Person, die die Webseite besucht. 

Damit Webseitenbesucher:innen bei dem Besuch einer Webseite nicht immer wieder zur Abgabe einer Einwilligung aufgefordert werden müssen, sollen sogenannte PIMS genutzt werden können. PIMS steht für „Personal Information Management System“. In diesem Software-Dashboard können Internetnutzer:innen ihre gegebenen oder verweigerten Einwilligungen verwalten. Ein Entwurf der Verordnung (Einwilligungsverwaltungsverordnung) liegt bereits vor und befindet sich in der Abstimmung. Ob und wann die Verordnung in Kraft treten könnte, ist noch nicht abzuschätzen.

Aus Sicht des Experten lässt der Entwurf für die PIMS-Verordnung derzeit noch zu viele Fragen offen. Aktuell sei noch unklar, inwieweit diese Möglichkeit von den Verbraucher:innen angenommen werde. Es gebe noch keinen Markt für Anbieter:innen der erforderlichen Softwarelösung. Ebenso sei unklar, inwieweit die Betreiber:innen von Websites an die im PIMS hinterlegten Einstellungen gebunden seien, zumal diese nur auf bestimmte (Cookie-)Einwilligungen gerichtet sind. Henkel bleibt vorerst skeptisch, zumal die bevorstehende Einführung der E-Privacy-Verordnung der EU die Rechtslage erneut verändern könnte. Mit Inkrafttreten der Verordnung müssen jedoch von den Webseitenbetreiber:innen die technischen Voraussetzungen geschaffen werden, um mit den PIMS Informationen austauschen zu können. 

Spätestens seit Einführung der DSGVO stellt die Übermittlung von Daten in Drittländer ein enormes Risiko dar. Und doch kommt kaum ein Unternehmen darum herum – und sei es nur, weil es in den USA gehostete Softwarelösungen einsetzt (z. B. Cloudanbieter, Microsoft-Software, Meta-Dienste). Ein angemessenes Datenschutzniveau sicherzustellen, ist infolge unterschiedlicher Rechtsvorschriften schwierig. 

Das Data Privacy Framework (DPF) soll diese Datentransfers in Drittländer auf eine sichere Basis stellen. Dazu haben sich die EU und die USA auf einen Nachfolger zum früheren Privacy Shield geeinigt. „Arbeiten in der EU ansässige Unternehmen mit Geschäftspartner:innen aus den USA zusammen und findet dabei eine Übermittlung personenbezogener Daten statt, können Letztere durch eine Zertifizierung nach den Vorgaben des DPF ein den Vorgaben der EU entsprechendes Datenschutzniveau nachweisen. Dies dürfte die grenzüberschreitende Zusammenarbeit mit Dienstleister:innen aus Drittländern zukünftig deutlich erleichtern“, so Henkel. Unklar ist allerdings, ob dieses Framework dauerhaft von Bestand sein wird. Aufgrund verschiedener Kritikpunkte ist zu erwarten, dass auch dieses Abkommen vor den EuGH getragen wird.  

Neben diesen topaktuellen Themen haben deutsche Unternehmen natürlich noch viele weitere Herausforderungen auf ihrer Agenda. Etwa die datenschutzkonforme Gestaltung der Digitalisierung, die mit der zunehmenden Verbreitung von Clouddiensten erhöhte Anforderungen an die Datensicherheit mitbringt. Auch die Nutzung von Messengerdiensten und Kollaborationstools wie Trello, Slack, MS Teams oder WhatsApp bereitet dem Datenschutz aktuell oft Kopfzerbrechen. 

In jedem Fall tun Unternehmen und Behörden gut daran, sich bereits im Vorfeld auf anstehende rechtliche Änderungen vorzubereiten. Mit einem:r erfahrenen Datenschutzbeauftragten an ihrer Seite können sie sich optimal auf anstehende Veränderungen vorbereiten und so der Verhängung enormer Bußgelder im Fall von Verstößen vorbeugen.