Europäischer Datenschutztag: Datenschutz in 2021 & wichtige Neuerungen 2022
Das Datenschutz-Jahr 2021 – ein Rückblick
Neue EU-Standardvertragsklauseln für Datenübermittlungen in Drittländer
Am 04.06.2021 verabschiedete die EU-Kommission neue, an die DSGVO angepasste Standardvertragsklauseln, um die Weitergabe personenbezogener Informationen aus der EU in Drittstaaten, wie zum Beispiel die USA, rechtssicherer zu gestalten.
Hintergrund dafür war das sogenannte Schrems ll-Urteil, in dem der Europäische Gerichtshof (EuGH) das transatlantische „Privacy Shield“ – und damit eine der bis dato wichtigsten Grundlagen für den Transfer von Kundendaten – für ungültig erklärte.
Seit Ende September 2021 müssen die neuen Standardvertragsklauseln in Bezug auf Neuverträge umgesetzt werden. Für Altverträge besteht aktuell noch eine 18-monatige Übergangsfrist, sodass eine Umstellung sämtlicher Altverträge bis zum 27.12.2022 erfolgt sein muss. Weitere Informationen zu der Umsetzung der neuen DSGVO-Standardvertragsklauseln finden Sie in unserer kostenfreien Übersicht.
Datenschutzzertifizierung nach Artikel 42/43 DSGVO auf dem Vormarsch
Spätestens die Überarbeitung der Anlage 31b zum Bundesmantelvertrag-Ärzte (BMV-Ä) hat dem Thema Datenschutzzertifizierung einen weiteren Schub gegeben. Denn die aktualisierte Verordnung fordert für die Zertifizierung von Videosprechstunden neben dem Nachweis über eine angemessene Informationstechniksicherheit auch eine Zertifizierung gemäß Artikel 42 DS-GVO. Diese wird von zahlreichen Unternehmen bereits sehnsüchtig erwartet. Bietet ein entsprechendes Zertifikat schließlich die Möglichkeit, objektiv zu belegen, dass IT-Produkte oder -Dienstleistungen die Anforderungen der DSGVO angemessen umsetzen. TÜViT befindet sich aktuell im Akkreditierungsverfahren.
Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)
Im Dezember 2021 ist das Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, in Kraft getreten. Das Gesetz vereint die bisherigen Datenschutzvorschriften aus dem Telekommunikationsgesetz („TKG“) und dem Telemediengesetz („TMG“) miteinander.
Das neue TTDSG zielt darauf ab, unerwünschte Zugriffe auf Informationen und Daten zu verhindern, die auf Computern, Tablets oder Mobiltelefonen gespeichert sind. In Bezug auf den Einsatz von Cookies bedeutet das, dass grundsätzlich die Einwilligung der Nutzer:innen einzuholen ist, sobald Cookies, Cloudspeicher oder Browser-Fingerprinting zum Einsatz kommen. Demnach ist die „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, […] nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“ Zudem muss eine DSGVO-gerechte Zustimmung vorliegen.
Die elektronische Patientenakte & das Patientendaten-Schutz-Gesetz
Seit dem 1. Januar 2021 stellen Krankenkassen die elektronische Patientenakte (ePA) zur Verfügung, deren Nutzung für Versicherte freiwillig ist. Seit dem 1. Juli 2021 sind zudem Ärzte, Fachärzte und Zahnärzte zur Anbindung an die ePA verpflichtet.
Zum Schutz der sensiblen Gesundheitsdaten, die in der ePA gespeichert werden, wurde das Patientendaten-Schutz-Gesetz (PDSG) beschlossen und ist bereits Ende 2020 in Kraft getreten. Darin wird vor allem die Patientensouveränität in den Mittelpunkt gestellt, sodass die ePA als eine versichertengeführte elektronische Akte verstanden wird, über die allein der oder die Versicherte entscheidet.
Seit Beginn 2022 lassen sich neben Befunden, Arztberichten oder Röntgenbildern in der ePA auch der Impfausweis, der Mutterpass, das gelbe U-Heft für Kinder und das Zahn-Bonusheft speichern.
Über eine Milliarde Euro DSGVO-Bußgelder
Das Jahr 2021 stellte in Sachen DSGVO-Bußgelder einen neuen Rekord auf. Rund 1 Milliarde Euro mussten Unternehmen aufgrund von Verstößen gegen die DSGVO zahlen. Im Vergleich zu knapp 170 Millionen Euro im Vorjahr eine erhebliche Steigerung, die vor allem eines deutlich macht: Knapp 4 Jahre nach Inkrafttreten der EU-DSGVO gehört die anfängliche Schonfrist endgültig der Vergangenheit an. Der Ton der Datenschutzbehörden wird rauer.
Das mit 746 Millionen Euro höchste Bußgeld in 2021 wurde gegen einen US-amerikanischen Onlineversandhändler verhängt. Die zweithöchste Strafe mit 225 Millionen Euro traf einen aus Kalifornien stammenden Instant-Messaging-Dienst.
In Deutschland wurden im vergangenen Jahr insgesamt Bußgelder in Höhe von etwa 50 Millionen Euro ausgesprochen.
Wie Unternehmen sich vor DSGVO-Verstößen schützen können
Auch fast 4 Jahre nach Inkrafttreten der neuen EU-DSGVO herrscht bei vielen Unternehmen weiterhin große Unsicherheit. Immer höhere Bußgeldbescheide, mangelnde Expertise oder Ressourcen sowie Interessenskonflikte verstärken diese zusätzlich. Hier ist es ratsam, auf Unterstützung von außen zu setzen und dadurch eine neutrale Einschätzung der aktuellen Datenschutz-Situation innerhalb eines Unternehmens zu erhalten.
- Externen Datenschutzbeauftragten (eDSB) bestellen:
Besteht die Kerntätigkeit eines Unternehmens aus Tätigkeiten, die eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen ermöglicht (z. B. Marktforschungsunternehmen), dann ist die Benennung eines DSB Pflicht. Darüber hinaus muss ein DSB bestellt werden, wenn in großem Umfang besondere Kategorien personenbezogener Daten gem. Art. 9 und 10 DSGVO verarbeitet werden. Der deutsche Gesetzgeber hat dies im Rahmen der Neufassung des BDSG konkretisiert: Wenn in einem Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein DSB zu bestellen.
Aber auch Unternehmen, die von diesen gesetzlichen Regelungen nicht betroffen sind, profitieren vom fachlichen Know-how eines eDSBs. Mit den notwendigen Qualifikationen ausgestattet, übernimmt dieser die nachhaltige Datenschutzorganisation innerhalb des Unternehmens.
- DSGVO-Workshop durchführen:
Insbesondere für Unternehmen, die in Sachen Datenschutz und DSGVO-Umsetzung noch ganz am Anfang stehen, ist ein entsprechender DSGVO-Workshop empfehlenswert. Auf Basis des ermittelten Status quo des Unternehmens lassen sich dann zukünftige Maßnahmen ableiten.
- DSGVO-Umsetzung durch GAP-Analyse oder Datenschutz-Audit überprüfen:
Hat ein Unternehmen bereits Datenschutzmaßnahmen implementiert, stellen GAP-Analysen oder Datenschutz-Audits wirksame Instrumente dar, um den aktuellen Umsetzungsstand der DSGVO zu ermitteln. Diese decken potenzielle Sicherheitslücken auf und sorgen dafür, dass der Datenschutz eines Unternehmens stetig weiter optimiert wird.
Das bringt das Jahr 2022 – ein Ausblick:
DSGVO-Zertifizierung kommt 2022
Zum aktuellen Zeitpunkt gibt es noch keine einzige akkreditierte Zertifizierungsstelle, die ein echtes DSGVO-Zertifikat ausstellen kann. Im ersten Halbjahr 2022 soll sich das laut nordrhein-westfälischer Landesdatenschutzaufsicht allerdings ändern, sodass erste Zertifizierungsstellen eine Akkreditierung erhalten werden und entsprechende Zertifizierungen durchführen können. Damit biegt der laufende Akkreditierungsprozess auf die Zielgerade ein.
Datentransfer in die USA wird kritischer
Das im vergangenen Jahr gefällte Schrems ll-Urteil wird auch das Jahr 2022 weiter prägen. Zum einen müssen bestehende Altverträge bis spätestens zum 27. Dezember 2022 auf die neuen Standardvertragsklauseln (SCC) umgestellt werden. Erfolgt dies nicht innerhalb der gesetzten Übergangsfrist, drohen erhebliche Bußgelder.
Zum anderen steht vor allem der Datentransfer in die USA verstärkt im Fokus. Denn hier reicht der alleinige Abschluss der SCC nicht aus, um ein angemessenes Datenschutzniveau sicherzustellen. Darüber hinaus müssen weitere Maßnahmen, wie beispielsweise ein „Transfer Impact Assessment“, durchgeführt werden, um zu überprüfen, ob die Voraussetzungen für einen zulässigen Drittlandtransfer erfüllt sind.
Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
Erst Ende letzten Jahres in Kraft getreten, wird das TTDSG sowohl Telekommunikationsdiensteanbieter als auch Anbieter einer Website oder App weiter durch 2022 begleiten. Im Fokus steht dabei insbesondere die von dem Gesetz geforderte ordnungsgemäße Umsetzung von Cookies.
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.
TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen
Telefon: +49 (201) 8999-9
Telefax: +49 (201) 8999-888
http://www.tuvit.de
Redakteurin
Telefon: +49 (201) 8999-658
E-Mail: v.lingemann@tuvit.de