Datenschutz ist ein ein Grundrecht. Es ist in Artikel 8 der Europäischen Grundrechtecharta verankert. Das deutsche Grundgesetz (GG) nennt Datenschutz zwar nicht explizit. Im „Volkszählungsurteil“ von 1983 gesteht das Bundesverfassungsgericht jedoch jedem einzelnen Bürger ein Grundrecht auf informationelle Selbstbestimmung im Sinne des Artikel 2, Absatz 1, in Verbindung mit Artikel 1, Absatz 1 GG zu. Daraus ergeben sich zahlreiche Vorschriften. So verfügt etwa jedes Bundesland über eigene Datenrechtsbestimmungen.
Grundsätzlich gilt: Europäisches Recht bricht nationales Recht.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) gilt also unmittelbar für alle Mitgliedsländer. Ausnahmen beim Geltungsvorrang des EU-Rechts gibt es bei Richtlinien.
Darüber hinaus enthält die DSGVO zahlreiche Öffnungsklauseln. Mit ihnen sollen nationale Ausprägungen bestimmter Vorschriften ermöglicht werden. Unter anderem erfüllt das seit 2018 gültige Bundesdatenschutzgesetz („BDSG-neu“) diese Aufgabe. Ferner finden sich in zahlreichen speziellen Anwendungsgebieten Gesetze, die den Datenschutz regeln, beispielsweise das Telekommunikationsgesetz und das Telemediengesetz. Sie gehen wiederum dem BDSG-neu vor.
Das neue Telekommunikations-Telemedien-Datenschutzgesetz
Zunächst wird 2022 ein Gesetz an Bedeutung gewinnen, das bereits in Kraft ist: Das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG). Es gilt seit dem 1. Dezember 2021. Das TTDSG ist eine zusammengefügte, abgespeckte Version des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG). Es richtet sich an Service Provider sowie Anbieter einer Website oder App.
Die 2009 novellierte e-privacy-Richtlinie der EU aus dem Jahr 2002 hatte bisher keine unmittelbare Wirkung. Durch das TTDSG ist dieser Mangel behoben. Die Vorschrift regelt den Einsatz von Cookies im Internet jetzt auch für Deutschland eindeutig: Textbausteine, die nicht notwendigerweise für das Betreiben einer Website erforderlich sind, dürfen nur mit Zustimmung des Besuchers dieser Webseite gesetzt werden.
Zwar ist das für die allermeisten Internet-Nutzer keine Neuigkeit. Doch Verstöße können durch das TTDSG in Deutschland jetzt auch geahndet werden. So enthält das Gesetz eigene Bußgeldvorschriften. Ein Verstoß gegen die Einwilligungsregel (§ 25 TTDSG) beispielsweise kostet bis zu 300.000 Euro.
Allerdings geht es im TTDSG im Gegensatz zur DSGVO hauptsächlich um den Schutz des Endgerätes, nicht um den Nutzer. Personenbezogene Daten bei betroffenen Informationen müssen also nicht zwangsläufig im Spiel sein.
Dennoch ist § 19 TTDSG unmissverständlich: „Anbieter von Telemedien haben durch technische und organisatorische Vorkehrungen sicherzustellen, dass der Nutzer… Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann“, heißt es etwa in der Vorschrift.
Leider beantwortet das Telekommunikations-Telemedien-Datenschutzgesetz nicht die Frage, wann es sich genau um unbedingt erforderliche Cookies handelt.
Die „Whistleblower“-Richtlinie
Ähnlich wie mit der e-privacy-Richtline verhält es sich auch mit der Whistleblower-Richtlinie der EU aus dem Jahr 2019. Ihre Umsetzung in nationales Recht lässt auf sich warten.
Die „Whistleblower“-Richtlinie gibt vor, dass Unternehmen ein Hinweisgebersystem im Betrieb einrichten müssen, in dem auch anonymisierte Hinweise auf Rechtsverstöße in den Firmen möglich sind. Das soll zunächst nur Arbeitsstätten mit mehr als 249 Beschäftigten betreffen, ab 17. Dezember 2023 dann alle Unternehmen mit mehr als 50 Mitarbeitern.
Bis zum 17. Dezember 2021 hätte die Richtlinie eigentlich ins deutsche Recht integriert sein sollen. Doch die scheidende Regierung konnte sich nicht auf einen Gesetzesentwurf einigen. Die neue Regierung hatte bis dato nicht genügend Zeit.
Daher bleibt vorerst offen, welche Anforderungen ein Hinweisgebersystem in Deutschland erfüllen muss.
Im Koalitionsvertrag der Ampel-Koalition wird die „rechtssichere und praktikable“ Umsetzung der Richtlinie in deutsches Recht angekündigt, ein Zeitpunkt dafür jedoch nicht. Da es schon ausgearbeitete Gesetzesvorlagen der Regierungs-Parteien gibt, ist davon auszugehen, dass die Regierung die EU-Richtlinie noch im ersten Halbjahr 2022 durch ein „Hinweisgeberschutzgesetz“ umsetzen wird.
Kein Ende neuer Corona-Regelungen in Sicht
Schon seit November 2021 muss ein Arbeitgeber den Impf- oder Genesenenstatus sowie einen Testnachweis der Beschäftigten kontrollieren. Bis zum 15. März 2022 wird es für Mitarbeiter in Gesundheits- und Pflegeeinrichtungen Pflicht sein, eine Corona-Impfung nachzuweisen. Rechtsgrundlage dafür ist das Infektionsschutzgesetz (IFSG), das hinsichtlich der Verarbeitung der Daten den Anforderungen des Artikels 6, Absatz 1 der Datenschutz-Grundverordnung entspricht.
Völlig unklar bleibt der Datenschutz hinsichtlich der diskutierten Einführung einer allgemeinen Impfpflicht. Problematisch gestaltet sich insbesondere das Aufstellen eines Impfregisters. Wer letztendlich als unabhängige Instanz die sensiblen Daten zusammenfassen darf und welche Daten auf welcher rechtlichen Grundlage zu welchen Zwecken an das Register weitergeleitet werden dürfen, weiß bis dato niemand. Ob eine Änderung des Infektionsschutzgesetzes ausreichen würde oder gar das BDSG-neu geändert werden muss, bleibt undurchsichtig. Zwar dürfen Daten von Geimpften zur Abwehr von Gesundheitsgefahren durch die Länder verarbeitet werden. Doch wie nutzbar sind diese Landesregelungen für ein bundesweites Register?
Strengere Anforderungen an den Datentransfer
Unternehmen, die regelmäßig personenbezogene Daten mit Staaten außerhalb der EU oder des Europäischen Wirtschaftraumes („Drittländer“) austauschen müssen, werden 2022 mit zusätzlicher Arbeit umzugehen haben. Denn die EU-Kommission hat für diesen Datenaustausch modernisierte Standardvertragsklauseln (SCC) im Sinne des Artikels 46 DSGVO beschlossen. Diese ersetzen die drei Gruppen von Klauseln, die unter der vorherigen Datenschutzrichtlinie 95/46 angenommen wurden. Seit dem 27. September 2021 ist es nicht mehr möglich, Verträge mit den obsoleten SCC-Sätzen abzuschließen.
Nur noch bis zum 27. Dezember 2022 können sich Vertragspartner auf die früheren SCC berufen. Danach sind sie ungültig und zeitgleich die mit ihnen verknüpften Verträge. Daher sollten Unternehmen unbedingt bis zu dem Stichtag bestehende Abkommen mit den neuen Standardvertragsklauseln aktualisiert haben. Wer letztere ignoriert, muss mit hohen Bußgeldern rechnen.
Zu beachten ist auch ein Urteil des Verwaltungsgerichtes Wiesbaden vom 1. Dezember 2021. Das Gericht untersagt die Nutzung von US-Cloud-Diensten, die auf EU-Servern betrieben werden, grundsätzlich. Speziell ist die Überlassung von personenbezogenen Daten an Unternehmen dann gesetzeswidrig, wenn die Daten auf Servern in der EU gespeichert werden, auf die beispielsweise US-Mutterunternehmen Zugriff haben.
Die Rechtmäßigkeit aller Cloud-Dienste von US-Providern wie Google, Microsoft oder Amazon wird damit in Frage gestellt.
Grund für das Urteil war ein Rechtsstreit um die Plattform „Cookiebot“. Dabei handelt es sich um eine Consent-Management-Plattform, die für ihre Kunden notwendige Einwilligungen für die Cookie-Setzung durch die sogenannten Cookie-Banner sammelt. Nach diesem Urteil darf die Plattform in Deutschland nicht mehr genutzt werden.
Da viele deutsche Unternehmen bisher „Cookiebot“ einsetzten, bleibt abzuwarten, ob die Entscheidung des Verwaltungsgerichtes (VG) 2022 Bestand hat und inwieweit sie durchgesetzt wird.
Zuvor schon hatte der Europäische Gerichtshof (EuGH) das „Privacy-Shield-Abkommen“ mit den USA für ungültig erklärt und in die gleiche Richtung wie das VG Wiesbaden gewiesen. Laut EuGH reichte das Abkommen der Europäischen Union mit den USA nicht aus, europäische Anforderungen an den Datenschutz zu erfüllen. Der Knackpunkt war, dass sich beim Datenaustausch zwischen den Kontinenten Geheimdienste wie das FBI ohne juristische Hürde ebenfalls Zugang zu den Übermittlungen verschaffen konnten.
Serviceanbieter wie Zoom, Google oder Facebook haben ihre Vorgehensweisen seitdem aber kaum geändert.
Auch dazu wird die Ampelkoalition zeitnah eine juristische Lösung finden müssen, ob nun national oder gemeinsam mit den anderen Staaten auf EU-Ebene, zumal sich die EU-Standardvertragsklauseln 2022 verschärfen und dann noch weniger in Einzelverträgen auf US-Serviceanbieter anwendbar sind als zuvor. Unternehmer sollten sich derweil nach alternativen Anbietern mit Rechenzentren umschauen. Denn im schlimmsten Fall drohen Bußgelder nach der Datenschutz-Grundverordnung in sechs- oder gar siebenstelliger Höhe.
Zertifizierungen nach DSGVO ab 2022
Nach Expertenmeinungen wird es Akkreditierungs- und Zertifizierungsverfahren für digitale Angebote und Dienstleistungen nach der DSGVO schon 2022 geben. Damit würden die Grundlagen für ein einheitliches europäisches Datenschutzrecht gelegt. Dazu wird in Deutschland die Akkreditierungsstelle GmbH mit den unabhängigen Datenschutzbehörden zusammenarbeiten. Neben dem Datenschutzrecht sollen für die Akkreditierung die Vorgaben nach ISO 17065 (Standard für Zertifizierungsstellen) und ISO 1767 (Standard für Produktzertifizierungen) geprüft werden.