Neue datenschutzrechtliche Rahmenbedingungen Datenschutz 2022 – Worauf Unternehmen jetzt achten müssen

Von Alexander Ingelheim

Unsere Welt ist spürbar digitaler geworden: Wir arbeiten vermehrt im Home-Office, erledigen unsere Einkäufe online und schließen Verträge häufig nur noch digital ab. Das hat unter anderem zur Folge, dass unsere Daten – ihre Erfassung, Verwaltung und Speicherung – immer wichtiger werden. Auch 2022 ist damit zu rechnen, dass dieser Trend weiter anhalten und sich gar ausweiten wird.

Firmen zum Thema

Das Thema Datenschutz wird 2022 für Unternehmen in vielen verschiedenen Bereichen, Facetten und Aspekten wichtiger denn je werden.
Das Thema Datenschutz wird 2022 für Unternehmen in vielen verschiedenen Bereichen, Facetten und Aspekten wichtiger denn je werden.
(© ipopba - stock.adobe.com)

Was bei der rasch voranschreitenden Digitalisierung sehr oft auf der Strecke bleibt, ist die Sicherheit dieser Daten. Das haben auch Kriminelle erkannt: So ist die Gefahr für Unternehmen durch Cyberangriffe im vergangenen Jahr deutlich gestiegen. Umso wichtiger, dass sich Unternehmen jetzt mehr denn je detailliert mit dem Thema Datenschutz und Datensicherheit befassen – egal ob im Hinblick auf mögliche Hackerangriffe oder neue gesetzliche Vorhaben der politischen Entscheidungsträger.

Das Thema Datenschutz dürfte den meisten insbesondere in Form der DSGVO ein Begriff sein. Allerdings deckt dies nur einen Bruchteil der gesamten Thematik ab – denn Datenschutz reicht noch weit darüber hinaus und betrifft eine Vielzahl verschiedener Bereiche. Somit ergeben sich auch für die Unternehmen einige Gesetze und Richtlinien aber auch Gefahrenfelder, die sie in diesem Jahr im Blick behalten müssen.

Gefahr durch Hackerangriffe & Cybersecurity-Schwachstellen nehmen weiter zu

Die Zahl der Cyberattacken erreichte im vergangenen Jahr neue Höchststände. Die Art und Weise der Angriffe war dabei breit gefächert, und reichte von DDoS-Attacken bis hin zu Ransomware-Angriffen. Gemein hatten die meisten dieser Cyberangriffe jedoch, dass – egal ob gezielt oder als Kollateralschaden – personenbezogene Daten offengelegt wurden. Der „Erfolg“ dieser Attacken zeigt, dass viele Unternehmen hier noch massiven Nachholbedarf haben. Auch Cybersecurity-Schwachstellen, wie die kürzlich aufgedeckte Log4j-Sicherheitslücke, verdeutlichen, dass die Einfallstore für Cyberkriminelle in Zukunft eher zahlreicher, größer und vielfältiger werden. Um dieser Entwicklung standhalten zu können, müssen Unternehmen ihre Cybersicherheitsstrategie jetzt maßgeblich überarbeiten und gleichzeitig sicherstellen, dass ihre Daten in einem sicheren Netzwerksystem und auf besonders sicheren Servern nach höchsten Standards gespeichert werden. Dazu kommt: Trotz aller Sicherheitsvorkehrungen müssen die Unternehmen umfassend im Bilde sein, wie im Falle eines Cyberangriffs und einer damit verbundenen Datenschutzverletzung zu reagieren ist – gegenüber den Behörden und auch den Betroffenen.

Ampelkoalition setzt Datenschutz weit oben auf die Agenda

Denn auch auf gesetzlicher Seite wird das Thema Datenschutz aus vielen verschiedenen Richtungen angegangen und beleuchtet. Neben der Gefahr durch Cyberangriffe rückt für die neue Bundesregierung dabei insbesondere auch allgemein die Ausweitung von Maßnahmen zum Datenschutz in den Fokus. So setzt der Koalitionsvertrag der Ampel-Parteien unter anderem beim Schutz der Privatsphäre des Einzelnen – beispielsweise durch die Förderung von Anonymisierungs­techniken sowie durch die Strafbarkeit der rechtswidrigen De-Anonymisierung –, neue Impulse. Aber auch die geplante Verabschiedung einer ambitionierten europarechtlichen ePrivacy-Verordnung zur elektronischen Kommunikation zählt zu den Schwerpunkten der politischen Entscheidungsträger. Insbesondere Letzteres ist für Unternehmen von besonderem Interesse: So soll durch die ePrivacy-Verordnung die Erfassung personenbezogener Daten maßgeblich neu geregelt werden. Dies betrifft unter anderem auch die wichtigen Unternehmens-Themen Cookies und Tracking – und könnte so die erst vor Kurzem in Form des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) in deutsches Recht übertragene europarechtliche Datenschutzrichtlinie für elektronische Kommunikation („ePrivacy-Richtlinie“) als gesetzliche Grundlage ablösen.

Neue datenschutzrechtliche Rahmenbedingungen für Unternehmen

Das im Dezember des vergangenen Jahres verabschiedete TTDSG besagt zum Beispiel, dass sowohl beim Zugriff auf Informationen, die auf einer Endeinrichtung eines Endnutzers gespeichert sind, als auch bei der Speicherung von Informationen auf einer Endeinrichtung, eine Einwilligung des Nutzers von Nöten ist. Somit bietet es Unternehmen – unter anderem beim Thema Cookies – eine gesetzliche Grundlage für Entscheidungen und Maßnahmen, die bislang teilweise nur auf einzelnen Rechtssprüchen fußten. Mit dem geplanten Inkrafttreten der ePrivacy-Verordnung könnte sich diese Grundlage jedoch erneut ändern. Eindeutiger sieht es hingegen bei der Whistleblowing-Richtlinie aus: Hierdurch werden Unternehmen ab 50 MitarbeiterInnen dazu verpflichtet, datenschutzkonforme Meldekanäle einzurichten. Nachdem das Thema Whistleblowing zuletzt verstärkt in den Fokus der Öffentlichkeit gerückt ist, sorgt die Richtlinie dafür, dass solche Meldekanäle unter höchster Datensicherheit und Vertraulichkeit auch hierzulande in Unternehmen etabliert werden müssen.

Auch die 3G-Nachweispflicht am Arbeitsplatz wird aufgrund der andauernden Corona-Pandemie für Beschäftigte und Unternehmen in diesem Jahr weiterhin ein wichtiges, aber auch sehr sensibles Thema bleiben. Die im November beschlossenen Änderungen des Infektionsschutzgesetzes schaffen hinsichtlich der Verarbeitung dieser personenbezogenen Daten nun mehr gesetzliche Klarheit. So dürfen Unternehmen lediglich speichern, ob einer der drei Nachweise – geimpft, getestet oder genesen – erfüllt wurde und wie lange der Nachweis gültig ist. Die erhobenen Daten sind dabei spätestens nach sechs Monaten oder sobald der G-Status nicht mehr zur Überprüfung der Zugangsvoraussetzungen erforderlich ist zu löschen. Um den Grundsatz der Vertraulichkeit nicht zu verletzen, dürfen Beschäftigte nur von dafür bestimmtem Personal und unter Ausschluss von Beisein anderer Arbeitnehmer kontrolliert werden.

Fazit

Es zeigt sich, dass das Thema Datenschutz in diesem Jahr in vielen verschiedenen Bereichen, Facetten und Aspekten für Unternehmen wichtiger denn je werden wird. Potenzielle Gefahrenherde wie die steigende Anzahl an Cyberattacken, aber auch neue und geplante gesetzliche Grundlagen sorgen dafür, dass Unternehmen und Ihre Datenschutzbeauftragten ein breites Spektrum an datenschutzrechtlich relevanten Prozessen und Bereichen abdecken und überblicken müssen. Damit dies gelingt, müssen Datenschutzbeauftragte bereits jetzt den Status-quo im eigenen Unternehmen analysieren, mögliche Schwachstellen und Problemfelder identifizieren und schnellstmöglich Lösungen bereitstellen. Auch die Integration neuer Prozesse – wie die eines Whistleblowing-Systems – muss vorbereitet und umgesetzt werden. Unterstützen können dabei Softwarelösungen, die es den jeweiligen Verantwortlichen ermöglichen, den Datenschutz und alle dazugehörigen Vorgänge im eigenen Unternehmen schnell, einfach und flexibel zu überblicken, zu managen und neu zu integrieren. Auch das Hinzuziehen externer Experten kann helfen und beispielsweise im Falle eines Cyberangriffes empfindliche Bußgelder und Strafen verhindern.

Über den Autor: Alexander Ingelheim ist CEO und Gründer von Proliance. Über die Plattform datenschutzexperte.de befähigt er über 1.500 Kunden zur Datenschutzkonformität.

(ID:47923796)