Zum Inhalt springen

Datenschutz

Datenschutz aktuell: spannende Herausforderungen der DSGVO

Was ändert sich aktuell im Datenschutz? Erfahren Sie hier, welche Herausforderungen Sie in diesem Jahr meistern müssen.

Zum Blog Wissen kompakt
Nahaufnahme von Händen, die auf einer Tastatur tippen, mit Code auf einem Laptopbildschirm.
18. März 2024

DSGVO, TDDDG und HinSchG: aktuelle Herausforderungen im Datenschutz

Seit die DSGVO im Mai 2018 in Kraft trat, ist einiges passiert. Regelungen wurden konkretisiert, erste Urteile gesprochen und die Datenschutzlandschaft durch zusätzliche Gesetze ergänzt. Auch im kommenden Jahr gibt es für Unternehmen und Behörden in Deutschland und Europa datenschutzrechtliche Herausforderungen. Wir haben mit dem als externer Datenschutzbeauftragter tätigen Rechtsanwalt Frank Henkel über die aktuellen Themen im Datenschutz gesprochen.  

Datenschutz aktuell: Was hat sich getan in fünf Jahren DSGVO?

Die Datenschutzgrundverordnung (DSGVO) hat den Datenschutz in Deutschland nachhaltig verändert. Ihre Einführung erzeugte eine enorme mediale Wirkung und ein nie da gewesenes Bewusstsein für die Bedeutung des Datenschutzes. In den Aufsichtsbehörden zeigt sich dies etwa in einer enorm gestiegenen Anzahl an Beschwerden von Betroffenen. 

Auch die Sanktionen erregen Aufsehen: „Die DSGVO erlaubt einen deutlich höheren Rahmen für Bußgelder als das Bundesdatenschutzgesetz. Bußgelder in Millionenhöhe sind nicht nur theoretisch möglich, sondern kommen auch tatsächlich immer wieder vor“, erklärt Frank Henkel. Ein Fall, der im Datenschutz aktuell wieder die Gemüter erregt hat, ist der Meta-Konzern, zu dem Plattformen wie Facebook und Instagram zählen. Die irische Datenschutzbehörde verhängte wegen der unzulässigen Verarbeitung personenbezogener Daten für die Ausgabe personalisierter Werbung ein Bußgeld in Höhe von 390 Millionen Euro. 

Wissen kompakt - Der Podcast für berufliche Weiterbildung

Datenschutz oder Datenverlust

Hast du die Kontrolle? Wie schützen wir unsere persönlichen Daten in einer digitalen Welt?

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Aktuelle Themen im Datenschutz: Herausforderungen im neuen Jahr

Die deutsche und die EU-Gesetzgebung justieren den Datenschutz aktuell immer wieder nach. Die folgenden Themen beschäftigen uns in einem Zeitrahmen von ein bis zwei Jahren. 

Datenschutz & künstliche Intelligenz: Verarbeitung riesiger Datenmengen

Die künstliche Intelligenz (KI) verarbeitet enorme Mengen an Daten – mitunter auch personenbezogener Natur. Das allein bietet bereits ausreichend Zündstoff für die Einhaltung des Datenschutzes bei künstlicher Intelligenz. 

Die Herausforderung liegt in der selbstständigen Weiterentwicklung der künstlichen Intelligenz. Um personenbezogene Daten nach DSGVO verarbeiten zu dürfen, muss der Grundsatz der Datenminimierung eingehalten werden. Dies widerspricht jedoch schon im Ansatz dem Vorgehen der KI, die große Datenmengen zur Weiterentwicklung des Algorithmus benötigt. Henkel führt aus: „Schwerer wiegt jedoch, dass die Verarbeitung personenbezogener Daten nur für einen zuvor definierten Zweck zulässig ist. KI versucht, aus der großen Menge an Daten neue Erkenntnisse zu generieren. Im Vorfeld ist jedoch unklar, welche Erkenntnisse das sein werden und zu welchem Zweck diese eingesetzt werden können.“ 

Auf EU-Ebene konnte man sich im Dezember 2023 auf eine EU-Verordnung zur KI verständigen. Besonderer Fokus liegt dabei auf hochriskanten KI-Anwendungen, etwa im Personalmanagement oder in der kritischen Infrastruktur. Auf dieser Risikoebene müssen umfassende Qualitäts- und Risikomanagementsysteme eingeführt werden. Die KI-Verordnung ist am 01. August 2024 in Kraft getreten. In der Verordnung sind unterschiedliche Übergangsfristen enthalten, sodass eine vollständige Anwendbarkeit der KI-Verordnung erst grundsätzlich nach zwei Jahren und für Hochrisiko-KI nach drei Jahren eintreten wird. Teile der KI-Verordnung treten allerdings schon deutlich früher in Kraft, weshalb Unternehmen sich schon jetzt mit der neuen KI-Verordnung befassen sollten.

Datenschutz in KMU: vielfältige Vorgaben als Herausforderung

Auskunftsrechte der Betroffenen, Dokumentationspflichten, Informationspflichten – die DSGVO ist für KMU schwierig umzusetzen. Die vielfältigen Rechtsvorschriften sind ohnehin schwer zu überschauen. Hinzu kommt der hohe Aufwand, für den in kleineren und mittleren Unternehmen häufig die Ressourcen fehlen. 

Damit KMU die DSGVO rechtssicher umsetzen können, muss auf Expertenwissen zurückgegriffen werden können. Häufig fehlen intern Beschäftigte mit solchen Spezialkenntnissen. Es bleibt dann nichts anderes übrig, als auf externe Berater:innen zurückzugreifen. Auch kleinere Betriebe, die nicht zur Bestellung eines:r Datenschutzbeauftragten verpflichtet sind, profitieren in solchen Fällen von der externen Unterstützung durch eine:n Berater:in, ist sich Henkel sicher. Diese:r kann die Aufgabe übernehmen, die Mitarbeiter:innen zu schulen und bei der Umsetzung der DSGVO anzuleiten.  

In Hinblick auf den Datenschutz sollten sich KMU nicht in falscher Sicherheit wiegen: Zwar ist die Wahrscheinlichkeit relativ gering, dass sie ohne Anlass in den Fokus einer Datenschutz-Aufsichtsbehörde geraten. Beschwert sich allerdings jemand über einen Datenschutzverstoß, sind die Aufsichtsbehörden verpflichtet, der Beschwerde nachzugehen – und dann sind KMU ebenso wenig wie große Konzerne vor Bußgeldern gefeit. 

Der EU Data Governance Act: Zugang zu großen Datenmengen

Wertvolle Informationen und große Datenbestände für die Gesellschaft und die Forschung nutzbar zu machen, darum geht es im EU Data Governance Act. Der Data Governance Act trat im Juni 2022 in Kraft und ist in den EU-Mitgliedstaaten seit dem 24. September 2023 unmittelbar anwendbar. Allerdings betrifft die Neuerung vor allem große Konzerne wie etwa Google oder Meta, die über sehr große Datenmengen verfügen, ohne diese bislang teilen zu müssen.  

Der EU Data Governance Act setzt einen Rahmen auf hoher Meta-Ebene und schafft die erforderlichen Infrastrukturen, um den Zugang zu Daten sicherzustellen. Für die meisten Unternehmen hat er in der Praxis keine direkten Auswirkungen.

Unsere Empfehlungen für Sie

Seminar & Webinar

Update zum Datenschutz

Lernen Sie die neuen Gesetzesvorhaben und Behördenbeschlüsse kennen und informieren Sie sich über Änderungen in DSGVO und dem BDSG. Mit uns bleibt Ihr Wissen stets "up to date".
Zu den Veranstaltungen
Seminar & Webinar

Datenschutz in Verträgen

Damit Sie im Umgang mit Verträgen und anderen rechtlichen Erklärungen sicher handeln, lernen Sie, Datenschutzkriterien zu erkennen und Datenschutzklauseln richtig umzusetzen. Dazu geben wir Ihnen Muster für Aufbau, Inhalt und Formulierung von datenschutzrelevanten Vertragsklauseln und sonstigen Erklärungen an die Hand.
Zu den Veranstaltungen
Seminar

Datenschutz im Marketing

Das Datenschutz im Marketing vermittelt Ihnen aktuelle Pflichten, Trends und Entwicklungen.
Zu der Veranstaltung

Hinweisgeberschutzgesetz: Anpassung des Datenschutzkonzeptes erforderlich

Die EU-Whistleblower-Richtlinie wurde mittlerweile mit der Verabschiedung des Hinweisgeberschutzgesetzes (HinSchG) in deutsches Recht umgesetzt.  

Meldet ein:e Hinweisgeber:in einen vermeintlichen Verstoß gegen bestimmte Rechtsvorschriften bei der einzurichtenden internen Meldestelle, werden personenbezogene Daten verarbeitet. Betroffen sind nicht nur die eigenen Daten, sondern auch die der beschuldigten Person. Entsprechend wichtig ist die Einhaltung der speziellen Datenschutzbestimmungen des HinSchG und der DSGVO. Henkel weiß: „Der Hinweisgeberschutz ist ein brandaktuelles Thema im Datenschutz. Unternehmen müssen die Vertraulichkeit gewährleisten können, Informationspflichten nachkommen und interne Meldestellen einrichten. Allein schon die notwendige IT-Infrastruktur zu schaffen, um die sensiblen Daten in einer hochsicheren Umgebung verarbeiten zu können, und die Klärung interner Zuständigkeiten sind große Herausforderungen.“  

PIMS & TDDDG: Auswirkungen auf den Onlinebereich

Bereits im Dezember 2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten, das insbesondere Vorschriften zum Fernmeldegeheimnis und zum Einsatz von Cookies beim Betrieb von Webseiten enthält. Cookies, die für den Betrieb von Webseiten nicht zwingend benötigt werden, erfordern in der Regel eine Einwilligung der Person, die die Webseite besucht. Das TTDSG wurde am 13. Mai 2024 zum TDDDG.

Damit Webseitenbesucher:innen bei dem Besuch einer Webseite nicht immer wieder zur Abgabe einer Einwilligung aufgefordert werden müssen, sollen sogenannte PIMS genutzt werden können. PIMS steht für „Personal Information Management System“. In diesem Software-Dashboard können Internetnutzer:innen ihre gegebenen oder verweigerten Einwilligungen verwalten. Näheres regelt die Einwilligungsverwaltungsverordnung. Diese wurde noch im Jahr 2024 verabschiedet und trat am 1. April 2025 in Kraft.

Aus Sicht des Experten lässt die Einwilligungsverordnung noch zu viele Fragen offen. Aktuell sei noch unklar, inwieweit diese Möglichkeit von den Internetnutzern angenommen werde. Es gebe noch keinen Markt für Anbieter:innen der erforderlichen Softwarelösung. Die Betreiber:innen von Websites sind zudem an die im PIMS hinterlegten Einstellungen nicht gebunden. Das PIMS ist auch nur auf bestimmte (Cookie-)Einwilligungen gerichtet und entfaltet keine Wirkung für das Einholen anderweitiger Einwilligungen. Mit Inkrafttreten der Verordnung müssen jedoch von den Webseitenbetreiber:innen die technischen Voraussetzungen geschaffen werden, um mit den PIMS Informationen austauschen zu können.

Data Privacy Framework: Übermittlung von Daten in Drittländer

Spätestens seit Einführung der DSGVO stellt die Übermittlung von Daten in Drittländer ein enormes Risiko dar. Und doch kommt kaum ein Unternehmen darum herum – und sei es nur, weil es in den USA gehostete Softwarelösungen einsetzt (z. B. Cloudanbieter, Microsoft-Software, Meta-Dienste). Ein angemessenes Datenschutzniveau sicherzustellen, ist infolge unterschiedlicher Rechtsvorschriften schwierig. 

Das Data Privacy Framework (DPF) soll Datenübermittlungen in die USA auf eine sichere Basis stellen. Dazu haben sich die EU und die USA auf einen Nachfolger zum früheren Privacy Shield geeinigt. Der hierzu ergangene Angemessenheitsbeschluss der Eu-Kommission ist am 10. Juli 2023 veröffentlicht worden. „Arbeiten in der EU ansässige Unternehmen mit Geschäftspartner:innen aus den USA zusammen und findet dabei eine Übermittlung personenbezogener Daten statt, können Letztere durch eine Zertifizierung nach den Vorgaben des DPF ein den Vorgaben der EU entsprechendes Datenschutzniveau nachweisen. Dies dürfte die grenzüberschreitende Zusammenarbeit mit Dienstleister:innen aus den USA zukünftig deutlich erleichtern“, so Henkel. Unklar ist allerdings, ob dieses Framework dauerhaft von Bestand sein wird. Zum stark umstrittenen DPF wird der EuGH aufgrund bereits vorliegender Klagen wieder Gelegenheit haben, über die 3 Angemessenheit des Datenschutzniveaus auf dieser Grundlage zu befinden.

Aktuelle Datenschutzanforderungen und Dauerbrenner im Blick behalten

Neben diesen topaktuellen Themen haben deutsche Unternehmen natürlich noch viele weitere Herausforderungen auf ihrer Agenda. Etwa die datenschutzkonforme Gestaltung der Digitalisierung, die mit der zunehmenden Verbreitung von Clouddiensten erhöhte Anforderungen an die Datensicherheit mitbringt. Auch die Nutzung von Messengerdiensten und Kollaborationstools wie Trello, Slack, MS Teams oder WhatsApp bereitet dem Datenschutz aktuell oft Kopfzerbrechen. 

In jedem Fall tun Unternehmen und Behörden gut daran, sich bereits im Vorfeld auf anstehende rechtliche Änderungen vorzubereiten. Mit einem:r erfahrenen Datenschutzbeauftragten an ihrer Seite können sie sich optimal auf anstehende Veränderungen vorbereiten und so der Verhängung enormer Bußgelder im Fall von Verstößen vorbeugen. 

Weitere Artikel lesen

Techniker arbeitet mit Laptop an Servern in einem Rechenzentrum.
EU-Datenschutz-Grundverordnung
Laptop mit Datenschutzsymbolen auf dem Bildschirm und Person mit Dokument am Schreibtisch.
DSGVO-Strafe
Zwei IT-Fachkräfte arbeiten gemeinsam an Code auf mehreren Monitoren in einem modernen Büro
Datenschutzfolgenabschätzung
Person programmiert auf einem Laptop, bunte Codezeilen sind auf dem Bildschirm sichtbar.
Datenschutz und Websites
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Melanie Braunschweig, Mitarbeiterin der TÜV NORD Akademie

Melanie Braunschweig

Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42 / mbraunschweig@tuev-nord.de