Internationale Datenübermittlungen
Seit der EuGH in seiner berühmten „Schrems II“-Entscheidung am 16. Juli 2020 das damalige Privacy Shield gekippt hat, ist das Thema „internationaler Datentransfer“ ein Dauergast auf der Agenda der Datenschutzbeauftragten und in den Stellungnahmen der europäischen Aufsichtsbehörden. Im Jahr 2022 hat das Thema in mehrfacher Hinsicht besonders an Dynamik gewonnen.
Im März 2022 gaben die EU-Kommission und die Biden-Administration bekannt, dass sie eine „grundsätzliche Einigung“ über einen neuen Ersatz für das ungültige Privacy Shield erzielt haben.
Am 7. Oktober schließlich veröffentlichte das Weiße Haus Informationen über die entsprechende Exekutivverordnung, mit der die angekündigte Grundsatzvereinbarung über Datenübertragungen zwischen den USA und der EU in US-Recht umgesetzt werden soll.
Die Executive Order greift die Anforderungen von Schrems II auf, indem sie unter anderem den weitreichenden Zugang zu Daten im Kontext der nationalen Sicherheit und das Beschwerde- und Rechtsbehelfsverfahren anpasst.
Die rechtskonforme Gestaltung von Datenübermittlungen aus Europa in die USA war eines der häufigsten, komplexesten und zeitaufwändigsten Themen, mit denen sich Datenschutzbeauftragte in Unternehmen in den letzten zwei Jahren beschäftigen mussten.
Die rechtskonforme Gestaltung von Datenüber- mittlungen aus Europa in die USA war eines der häufigsten, komplexesten und zeitaufwändigsten Themen, mit denen sich Datenschutzbeauftragte in Unternehmen in den letzten zwei Jahren beschäftigen mussten.
Nun kommt Bewegung in die Sache, denn die Kommission hat Mitte Dezember 2022 als vorgezogenes Weihnachtsgeschenk ihren Entwurf für den anstehenden Angemessenheitsbeschluss veröffentlicht, und die Arbeiten am neuen EU-US Data Privacy Framework laufen auf Hochtouren. Aus datenschutzrechtlicher Sicht ist dieser Beschluss also zunächst zu begrüßen.
Bis zum Erlass eines Angemessenheitsbeschlusses durch die EU- Kommission, der in der ersten Jahreshälfte 2023 erwartet wird, bleibt es jedoch bei der derzeitigen Rechtslage.
Bis dahin werden die anderen möglichen Übermittlungs- instrumente des Art. 46 DSGVO (insbesondere Standardvertragsklauseln (SCC) und Binding Corporate Rules (BCR)) sowie die Ausnahmetatbestände des Art. 49 DSGVO (ins- besondere die Einwilligung der betroffenen Personen) genutzt werden - mit allen bekannten Herausforderungen und Nachteilen.
Umstellung auf neue Standardvertragsklauseln (SCC)
Im Juni 2021 erließ die Europäische Kommission neue Standardvertragsklauseln, die seit dem 27. September 2021 für alle neuen Verträge verbindlich sind.
Diese neuen SCC sind modular aufgebaut und decken nun alle praktisch relevanten Varianten des Datentransfers ab, ohne wie bisher auf komplizierte und teilweise unpraktische Vertragskonstellationen zurückzugreifen.
In diesem Zusammenhang mussten Unternehmen bis zum 27. Dezember 2022 alle Altverträge auf die neuen Standardvertragsklauseln umstellen. In persönlichen Gesprächen haben uns die Leiter verschiedener deutscher Datenschutzbehörden unabhängig voneinander ver sichert, dass es keine weitere Fristverlängerung oder ein „Auge zudrücken“ ihrerseits geben
wird.
Vielmehr müssen Unternehmen, die bis Ende Dezember 2022 alte Verträge nicht auf die neuen SCCs angepasst haben, mit Sanktionen der Aufsichtsbehörden rechnen – immerhin hatten sie mit eineinhalb Jahren ausreichend Zeit für die Umstellung.
Regulierungs- und Aufsichtsinitiativen
Auch im Jahr 2022 gab es wieder eine Vielzahl von Regulierungs- und Aufsichtsmaßnahmen. Nachdem Ende 2021 das Personal Information Protection Law (PIPL) und das Data Security Law (DSL) in China in Kraft getreten sind, gibt es nun erste Erfahrungswerte zur praktischen Umsetzung, insbesondere zur Datenlokalisierung und zur Einschränkung bestimmter Datentransfers.
Große Wirtschaftsmächte wie die USA oder Indien diskutieren über neue landesweite, umfassende Datenschutzbestimmungen, während Großbritannien über wesentliche Änderungen des derzeitigen Rechtsrahmens debattiert. Zum anderen waren die europäischen Aufsichtsbehörden auch im Jahr 2022 wieder sehr aktiv, was Bußgelder angeht.
Von Januar bis Oktober verhängten sie Bußgelder in Höhe von mehr als 550 Millionen Euro, wobei die irische Datenschutzbehörde mit ihrer 405-Millionen-Euro-Geldbuße gegen Meta im September den Spitzenplatz 2022 einnahm – die zweithöchste Geldbuße, die seit der Einführung der DSGVO verhängt wurde.
Darüber hinaus sorgten große Datenskandale wie die massive Datenpanne bei Uber weltweit für Schlagzeilen und erschütterten das Vertrauen der Verbraucher in den sicheren und rechtmäßigen Umgang mit ihren Daten.
Mit dem Vormarsch der sozialen Medien und Online-Plattformen können Unternehmen nun mit Kunden und Nutzern auf der ganzen Welt in Kontakt treten. Dadurch wurden sie aber auch anfälliger für Datenschutzverletzungen, die ihre Marke, ihren Ruf und ihre Einnahmen gefährden können.
Datenskandale können dein Unternehmen auf verschiedene Weise nachhaltig schädigen – übrigens ganz unabhängig von seiner Größe. Denn sie können…
- den Ruf Ihrer Marke schädigen,
- Ihre Mitarbeiter gefährden,
- und viel Geld kosten – in Form von Anwaltskosten, geplatzten Geschäften und potenziellen Bußgeldern und Schadenersatzforderungen.
Vertrauen als hohes Gut – Datenschutz als Menschenrecht
Apropos Vertrauen – verschiedene Studien haben im Jahr 2022 einmal mehr gezeigt, was auch wir bei DataGuard in unserer täglichen Arbeit seit langem beobachten: Transparenz ist ein wesentliches vertrauensbildendes Element und wird von Verbrauchern besonders geschätzt.
Laut dem Consumer Privacy Survey 2022 von Cisco halten 89% der Verbraucher den Datenschutz für wichtig, sie wollen andere schützen und wünschen sich mehr Kontrolle. Darüber hinaus gaben 82 % an, dass dieser Aspekt für sie ein Kaufkriterium darstellt.
In dieser Hinsicht können Tools für das Einwilligungs- und Präferenzmanagement eine entscheidende Rolle bei der Vertrauensbildung spielen, da sie den Nutzern die Möglichkeit geben selbst zu entscheiden, welche Art der Datenverarbeitung sie zulassen wollen – mehr Transparenz und Kontrolle über die eigenen Daten ist kaum möglich.
Auf den ersten Blick sieht es so aus, als ob die Verwaltung von Einwilligungen und Präferenzen nicht viel bewirken würde, aber sie kann einen großen Effekt auf die Geschäftsentwicklung eines Unternehmens haben.
„Wir haben die Plattform implementiert und innerhalb von sechs Wochen die Einwilligungen von mehr als 100.000 Fahrgästen mit einer 68%igen Opt-in-Rate per E-Mail erfasst.“ Duncan Waugh, Leiter der IT-Abteilung für Schienenverkehr bei FirstGroup
Unsere Erfahrung zeigt, dass viele Unternehmen einen großer Teil des IT- oder Software- budgets ausschließlich in ihre internen Strukturen stecken, z. B. in ein elegantes und starkes CRM-Tool. Zwar sind dies stets relevante Investitionen, es ist jedoch ebenfalls zu empfehlen, einen Teil dieser wertvollen Ressourcen in Innovationen zu investieren, z. B. in eine gute Lösung für das Einwilligungs- und Präferenzmanagement. Dieses hat schließlich direkten Ein- fluss auf das Kundenerlebnis und die Kundenbindung.
Nicht zuletzt hoben die Vereinten Nationen die Bedeutung des Datenschutzes als Menschenrecht in einem Bericht an die Generalversammlung im Oktober hervor.
Privatsphäre und Datenschutz werden als „zunehmend hohes Gut im digitalen Zeitalter“ beschrieben [Übersetzung durch die Redaktion]… ein weiterer Grund dafür, dass Unternehmen in Datenschutz- und Compliance Lösungen investieren sollten.