2022: DSGVO Neuerungen und Änderungen im Datenschutz zusammengefasst

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Das Jahr 2022 bringt viele Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2022 zusammen.

Zusammenfassung Neuerungen und Änderungen DSGVO und Datenschutz in 2022

  • Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist in Kraft getreten.
  • Erhöhte Aufmerksamkeit zum Thema Datenverarbeitung in den USA nach Schrems II.
  • Datenexporte nach Großbritannien sind durch einen Angemessenheitsbeschluss nun auf solidem Fundament.
  • Neues Datenschutzgesetz in der Schweiz tritt bald in Kraft und ähnelt sehr der EU-DSGVO.
  • EU-Whistleblower-Richtlinie wird wahrscheinlich erst nach dem 17.12.2021 durch das Hinweisgeberschutzgesetz umgesetzt.
  • Beschwerden von Max Schrems und NOYB könnten zu Änderungen bzgl. der Gestaltung von Cookie Bannern führen.
  • Erhöhte Aufmerksamkeit der Datenschutzbehörden zu den Themen Einwilligung, Videoüberwachung und Auskunftsrechte.

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in 2022

Seit dem 01.12.2021 gilt das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Im Grunde bleibt hier allerdings alles beim Alten. Zwar gibt es nun eine Regelung zum Thema Cookies und Einwilligung, diese orientiert sich allerdings weitestgehend an den bereits bestehenden Regelungen und Rechtsprechungen. Nicht essentielle bzw. technisch nicht notwendige Cookies benötigen also nach wie vor zum Setzen eine Einwilligung des Nutzers.

Cookie Banner werden im TTDSG nicht grundsätzlich neu geregelt.

Neu ist allerdings die Regelung zum Thema Dienste zur Einwilligungsverwaltung bzw. „Personal Information Management Services“ (PIMS) oder auch Single-Sign-on-Lösungen. Hier können die Nutzer an zentraler Stelle bestimmen, ob Sie eine Einwilligung zum Tracking geben wollen. Hier bedarf es allerdings noch einiger Umsetzungsarbeit in 2022.

Erhöhte Aufmerksamkeit zum Thema Datenverarbeitung in den USA

Das Schrems II Urteil schlug große Wellen in 2021, kippte es doch das bis dahin gültige „Privacy Shield“ Abkommen mit den USA. Noch gab es allerdings dazu wenig konkretes, außer einigen Leitlinien und Orientierungshilfen z.B. vom LfDI Baden Württemberg.

Nun trudeln langsam die ersten Urteile ein, z.B. das vom VG Wiesbaden, welches den Einsatz des Dienstes Cookie-Bot verbot. Hier wird es spannend, welche Urteile noch in 2022 auf uns zu kommen.

Datenexporte nach Großbritannien stehen nun auf festem Fundament

Großbritannien ist nun sicherer Drittstaat.

Schon Mitte 2021 hat die EU-Kommission verabschiedet, dass Großbritannien als sog “sicherer Drittstaat” einzustufen ist und dort somit ein ähnliches Datenschutzniveau wie in der EU gilt. Diese Entscheidung gibt Planungssicherheit für 2022, da hier somit kein Daten-Brexit zu befürchten ist und sich beim Thema Datenschutz nichts durch den Brexit verändert.

Neues Datenschutzgesetz (DSG) in der Schweiz

Nach langem Verhandeln konnte sich das Parlament der Schweiz auf einen Gesetzesentwurf zum DSG, dem Bundesgesetz über den Datenschutz, einigen. Mit Inkrafttreten ist aber nach Expertenmeinung nicht vor Mitte 2022 zu rechnen. Außerdem muss die EU-Kommission noch einen Angemessenheitsbeschluss verfassen, welcher den Schweizern bescheinigt, ein ähnliches Datenschutzniveau wie in der EU zu haben.

Das neue DSG in der Schweiz.

Für viele Schweizer Unternehmen wird sich nicht viel ändern, da sie bereits die Regeln der DSGVO einzuhalten haben, wenn sie in der EU tätig sind. Einen guten Überblick, über die Änderungen finden Sie hier und hier.

Hinweisgeberschutzgesetz und EU-Whistleblower-Richtlinie

Eigentlich sollte das Hinweisgeberschutzgesetz (HinSchG) bereits am 17.12.2021 in Kraft treten und damit die sog “Whistleblower-Richtlinie” der EU in nationales Recht überführen. Da allerdings bis jetzt noch keine Einigung auf einen finalen Entwurf zustande gekommen ist, wird sich das Inkrafttreten noch bis 2022 verschieben.

Ziel des neuen Gesetzes sollte es sein, Hinweisgeber, also sog. “Whistleblower”, besser zu schützen, z.B. vor Kündigung oder sonstigen negativen Effekten. Hierfür sollten Unternehmen ab einer bestimmten Größe ein Hinweisgebersystem aufbauen, über das Beschäftigte Tipps oder Hinweise sicher geben können müssen.

Roter Feuerlöscher als Anspielung auf das HinwSChG.

Dies ist natürlich auch ein großes Datenschutzthema, da es hier um besonders schützenswerte Daten von Beschäftigten geht. Es bleibt abzuwarten, wie die Richtlinie genau umgesetzt wird.

Folgen der Beschwerden von noyb bzgl. Cookie Banner Lösungen

Im August 2021 sorgte “NOYB – Europäisches Zentrum für digitale Rechte” für Schlagzeilen, in dem es über 400 formelle Beschwerden gegen Cookie Banner bei verschiedenen Datenschutzbehörden einreichte. Die Organisation von Max Schrems, der unter anderem mit seinen Beschwerden dafür sorgte, dass Drittstaatentransfers in die USA nicht mehr so einfach möglich sind, ist auch hier beteiligt.

NOYB ist gegen die Überwachung von Nutzern.

Es geht konkret um die Ausgestaltung von Cookie-Bannern zu Einholung von Einwilligungen zum Tracking bzw. Werbung. Viele Webseitenbetreiber heben z.B. den “Zustimmen” Button besonders hervor (Stichwort Dark Patterns) oder verlangen Geld für Pur-Abos ohne Werbung.

Hier sind in 2022 unter Umständen wegweisende Urteile zu erwarten, die Bewegung in das Thema Einwilligungen nach DSGVO und Cookies bzw. Tracking im Allgemeinen bringen werden.

Neue Verarbeitungstätigkeiten durch Änderung des Infektionsschutzgesetzes (IfSG)

Seit Ende 2021 muss der Impfstatus, Genesenenstatus bzw. ein Testnachweis vom Arbeitgeber kontrolliert werden. Da es hier regelmäßig zu datenschutzrelevanten Vorgängen kommt, müssen diese auch im Verzeichnis von Verarbeitungstätigkeiten und im Löschkonzept erfasst werden.

Darüber hinaus ist die Kontaktverfolgung, welche ja schon länger benötigt wird, ein Verfahren, welches im Verarbeitungsverzeichnis hinterlegt werden sollte.

Rechtsgrundlage der Verarbeitung ist hier Art 6 (1) Buchst. c) DSGVO, also eine rechtliche Verpflichtung gem. IfSG. In unserem Vorlagensystem werden 3 konkrete Verarbeitungstätigkeiten schon vorausgefüllt geliefert: 3G am Arbeitsplatz, Erfassung von G-Daten zur Zutrittskontrolle und Kontaktverfolgung von Gästen und Besuchern.

Denkbar ist, dass in 2022 auch eine Impfpflicht für bestimmt Berufe eingeführt wird. Diese Verarbeitungstätigkeit würde dann allerdings eher in das allgemeine Personalwesen implementiert werden.

Mehr Informationen zum Thema G-Status und Datenschutz finden Sie hier.

Bußgelder und Aufsichtsbehörden in 2022

Auch in 2022 werden die Behörden wieder vermehrt kontrollieren und Bußgelder verhängen. Besonderer Fokus wird dabei auf den Themen Einwilligung (siehe weiter oben Cookie-Banner), Videoüberwachung (Stichwort: berechtigtes Interesse) und Auskunftsersuchen liegen.

Auch die Übermittlung in unsichere Drittstaaten z.B. im Rahmen der Nutzung von Office 365 könnte in den Fokus rücken.

Nicht zuletzt ist die Datenerhebung zur Pandemiebekämpfung ein Thema. Anwesenheitslisten, Testnachweise uvm. müssen ggf. vernichtet werden, wenn die pandemische Lage beendet wurde.

Bußgelder werden auch in 2022 ein Thema bleiben.

Besonders positiv zu bewerten sind bei einer Prüfung durch die Aufsichtsbehörden vollständig vorliegende Dokumentationen zum Thema Verzeichnis von Verarbeitungstätigkeiten, Risikoanalyse oder auch technische und organisatorische Maßnahmen.

Fazit: Neuerungen in 2022

In 2022 ist nicht mit extrem vielen Neuerungen zu rechnen. Es bleiben die bekannten Regeln zum Umgang mit personenbezogenen Daten. Durch neue Gesetze und Urteile ist nach wie vor mit Dynamik zu rechnen, auf die man sich allerdings heute noch nicht wirklich vorbereiten kann.

Nach wie vor sollten die Dokumentationspflichten eingehalten werden und der Datenschutz eingehalten werden, um Bußgelder zu verhindern.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto