In unserem zweiten Teil zum Europäischen Datenschutztag 2022 möchten wir diesen Termin zum Anlass nehmen, um auf datenschutzrelevante Themen hinzuweisen, die uns in diesem Jahr erwarten. Der Europäische Datenschutztag findet seit 2007 jährlich am 28. Januar auf Initiative des Europarats in den Mitgliedstaaten der Europäischen Union statt. Ziel des Aktionstages ist es, die Bürgerinnen, Bürger und Organisationen in Europa, auf den besonderen Schutz persönlicher Daten aufmerksam zu machen.
Ausblick auf 2022 zum Europäischen Datenschutztag
Wie auch im vergangenen Jahr möchten wir im Rahmen des Europäischen Datenschutztages einen kleinen Ausblick auf die Themen werfen, die für den betrieblichen Datenschutz wichtig werden können. Daher haben wir uns zu diesem Anlass drei Themen ausgesucht, die schon heute ihre Schatten voraus werfen.
TTDSG und PIMS
Am 1. Dezember 2021 trat das neue TTDSG – im vollen Wortlaut das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ – in Kraft. Ziel des neu eingeführten TTDSG ist es einerseits, die Datenschutzbestimmungen des bereits geltenden Telekommunikation- (TKG) und Telemediengesetzes (TMD) in einem Gesetz zu vereinheitlichen und im gleichen Schritt an die Datenschutz-Grundverordnung (DSGVO) anzupassen. Darüber hinaus wird mit dem TTDSG die ePrivacy-Richtlinie, die seit 2002 Datenschutzrichtlinien für elektronische Kommunikation regelt, in weiten Teilen in deutsches Recht umgesetzt.
Mit dem Inkrafttreten der TTDSG rückt nun auch das Thema der „Personal Information Management Services“ – oder kurz PIMS – in den Vordergrund. Doch was verstehen wir nun eigentlich unter PIMS und was macht diese Einführung so revolutionär? Jeder Betreiber von Websites und Online-Shops – und somit auch fast jedes Unternehmen in Deutschland – speichert mit Hilfe von Cookies, Tracking-Pixeln oder Tags Informationen auf den Endgeräten der Nutzerinnen und Nutzer. Dieser Zugriff beziehungsweise die Speicherung von Daten ist nur dann zulässig, wenn die User zuvor ausdrücklich auf „Grundlage von klaren und umfassenden Informationen“ dieser Nutzung zugestimmt haben. Häufig geschieht diese ausdrückliche Zustimmung vor dem Besuch einer Website, eines Online-Shops oder einer App über das Consent-Banner.
Die Bereitstellung von PIMS soll den Usern nun mehr Kontrolle über ihre eigenen personenbezogenen Daten geben. Über ein zentrales Einwilligungssystem können Zustimmungen global verwaltet werden. Ein User kann so auf einer vor- oder zwischengeschalteten Website nur einmal das Einverständnis geben, wo und unter welchen Voraussetzungen er oder sie dem Einsatz von Cookies zustimmt oder ablehnt. Dies würde das Surfen im Internet sehr viel angenehmer gestalten. Die Rechtsgrundlage für die Verwendung von PIMS findet sich in § 26 TTDSG.
Die für die Antragsstellung für Anbieter von PIMS benötigte Verordnung muss derzeit noch erarbeitet werden. Ein erster Referentenentwurf ist für das erste Quartal 2022 geplant. Es wird daher spannend zu sehen sein, inwiefern sich die Idee eines zentralen Einwilligungsmanagements realisieren lässt.
DSGVO-Zertifizierung
Viele Unternehmen werben damit, DSGVO-konform zu agieren. Doch ein rechtssicherer Nachweis, ob diese Behauptung auch wirklich für alle Kriterien der Datenschutz-Grundverordnung zutrifft, fehlt bislang. Eine Zertifizierung kann einen solchen Nachweis liefern. Aber auch im nun mittlerweile sechsten Jahr nach Einführung der DSGVO fehlt eine akkreditierte Zertifizierungsstelle, obwohl der Rahmen für ein einheitliches, europäisches Verfahren in Artikel 42 und 43 DSGVO eindeutig geregelt ist.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, stellte bereits im Jahresbericht 2020 mit dem „Startschuss für die Zertifizierung“ (siehe Punkt 1.5, Seite 54 ff.) die Weichen und stellte hervor, dass eine entsprechende Qualifizierung und Organisation der Zertifizierungsstellen gewährleistet sein müsse. „So müssen Zertifizierungen nicht unbedingt durch die Datenschutz-Aufsichtsbehörden selbst erfolgen. Nach dem in Deutschland gewählten Modell obliegt den Aufsichtsbehörden vielmehr die Aufgabe, in Kooperation mit der Deutschen Akkreditierungsstelle (DAkkS) Zertifizierungsstellen zu akkreditieren, die dann ihrerseits Zertifikate verleihen dürfen.“
Und genau hier liegt vermutlich auch der Grund für die lange Vorlaufzeit einer einheitlichen und europaweiten DSGVO-Zertifizierung. Im Vorfeld musste zunächst festgelegt werden, welche Anforderungen eine Zertifizierungsstelle überhaupt erfüllen muss. Es ist damit zu rechnen, dass im ersten Halbjahr 2022 die ersten Zertifizierungsstellen am Markt auftreten werden. Wir werden das Thema und die Entwicklung weiterhin genau verfolgen und auch im Laufe des Jahres dazu berichten.
Datenschutz Summit von ecoprotec
Im vergangenen Jahr starteten wir mit unserer ersten komplett digitalen Veranstaltungsreihe – dem Datenschutz Summit von ecoprotec. Und auch in diesem Jahr möchten wir an diese Erfolgsgeschichte anknüpfen. Zunächst reifte Anfang 2021 pandemiebedingt die Idee, unser beliebtes Datenschutz Business-Frühstück von einer Präsenz- zu einer Digitalveranstaltung zu machen. Gesagt, geplant, getan. Am 29. Juni hatten wir die erste Folge im Kasten. Die Themen unserer ersten Ausgabe waren der Datenschutz im Homeoffice, Datenschutz-Sensibilisierung Ihrer Mitarbeiterinnen und Mitarbeiter und ein „Best-Of“ der Datenschutz-Pannen aus 2020.
Da wir sehr viel Spaß bei der Ausstrahlung dieses Formats hatten, trafen wir den Entschluss, eine regelmäßige Veranstaltungsreihe zu organisieren, um mit Ihnen gemeinsam über die aktuellen datenschutzrelevanten Themen zu sprechen. Geboren war der ecoprotec Datenschutz Summit. In einem dreimonatigen Rhythmus laden wir Sie ab sofort zu unserer kostenfreien Live-Veranstaltung ein. Die Themen für die nächste Ausgabe am 15. März werden wir schon in Kürze bekannt geben. Anmeldungen für das nächste Datenschutz Summit nehmen wir bereits jetzt entgegen.
Weitere Termine unseres Datenschutz-Summits werden im Juni, September und Dezember 2022 folgen. Denn auch über den Europäischen Datenschutztag hinaus sind wir für Sie da, beraten Sie hinsichtlich des betrieblichen Datenschutzes und sensibilisieren ihre Mitarbeiterinnen und Mitarbeiter, um auch in diesem Jahr ein gemeinsames Ziel zu verfolgen und zu erreichen: Einfach. Sicher. Arbeiten.
Haben Sie den ersten Teil unseres Beitrags zum Europäischen Datenschutztag 2022 verpasst? Kein Problem! Über den folgenden Button gelangen Sie direkt dorthin.
