Welche Themen werden Datenschützer und Informationssicherheits-Verantwortliche im Jahr 2024 besonders beschäftigen? Was sind die größten technischen, rechtlichen und organisatorischen Herausforderungen? Wo werden die Aufsichtsbehörden besonders hinschauen?
Experten von activeMind geben ihre Einschätzungen ab und wagen ihre persönliche Prognose für den Datenschutz und die Informationssicherheit im Jahr 2024.
Künstliche Intelligenz (KI) ist in aller Munde. Datenschutzexperten werden im Jahr 2024 noch mehr als bisher damit beschäftigt sein, KI-Tools zu bewerten und deren Nutzung derart (mit) zu gestalten, dass diese den datenschutzrechtlichen Anforderungen genügen. Der kommende AI Act der EU wird hier maßgeblichen Einfluss haben. Spannend werden aber auch die Sichtweisen der einzelnen Datenschutz-Aufsichtsbehörden auf das Thema – wie z.B. die des BfDI.
KI bietet für den Datenschutz aber auch Chancen. Mithilfe von KI ließen sich bspw. Auftragsverarbeitungs-Verträge prüfen, Regelungsdokumente automatisiert sichten oder gar Entwürfe solcher Dokumente erstellen. Außerdem könnte KI Datenschutzexperten bei der Erstellung von Verzeichnissen von Verarbeitungstätigkeiten und bei der Gewährleistung ausreichender technischer und organisatorischer Maßnahmen unter die Arme greifen. Davon werden wir im neuen Jahr sicherlich noch mehr sehen.
Seit dem 10. Juli 2023 gilt der neue Angemessenheitsbeschluss EU-U.S. Data Privacy Framework (DPF), welcher den Datentransfer in die USA neu regelt. Datentransfers aus der EU an US-Unternehmen, die den DPF-Zertifizierungsprozess durchlaufen haben, sind ohne weitere Datenschutz-Maßnahmen möglich.
Allerdings sind die Zweifel groß, dass sich das Datenschutzniveau für EU-Bürger in den USA grundsätzlich verbessert hat. Somit steht der Beschluss steht auf wackligen Füßen. Es ist somit nicht auszuschließen, dass auch das aktuelle DPF vom Europäischen Gerichtshof in naher Zukunft für ungültig erklärt wird.
Spannend dürften im kommenden Jahr die direkten und indirekten Auswirkungen der NIS2-Richtlinie und der dazugehörigen nationalen Umsetzung werden. Die Zahl der Stellen, die direkt verpflichtet werden, sich intensiver um die Cybersicherheit zu kümmern, steigt. Unbequem wird hierbei, dass dies nachgewiesen werden muss und teils recht kurzfristig zu erfüllende Meldepflichten bestehen. Da empfindliche Sanktionen vorgesehen sind und das Management persönlich in Verantwortung und Haftung genommen wird, dürfte das Thema ernst genommen werden.
Tatsächlich dürften noch weit mehr Unternehmen als von der Richtlinie vorgeschrieben gezwungen sein, sich auf die Vorgaben einzustellen, denn die Sicherheit der Lieferkette ist ausdrücklich vorgeschrieben. Es wäre nicht überraschend, wenn Auftraggeber künftig erwarten, dass auch Dienstleister und Lieferanten einen gleichwertigen Nachweis erbringen, um aufwändige eigene Prüfungen zu vermeiden.
Unternehmen mit 50 oder mehr Beschäftigten sind spätestens seit dem 17. Dezember 2024 verpflichtet, eine interne Meldestelle einzurichten, an die sich Arbeitnehmer wenden können, die rechtliche Verstöße im Betrieb melden wollen. Dafür bietet sich ein sogenanntes Hinweisgebersystem an, um nicht nur wirksam, sondern auch rechtsicher Meldungen annehmen und verarbeiten zu können. Da bei einer Meldung regelmäßig personenbezogene Daten verarbeitet werden, ist der Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO) eröffnet.
Um den Hinweisgeberschutz in Einklang mit dem Datenschutzrecht zu bringen, müssen neben den Vorgaben des Hinweisgeberschutzgesetztes (HinSchG) auch gleichermaßen die Vorgaben der DSGVO berücksichtigt werden. Hierzu gehören u.a. die Durchführung einer Datenschutz-Folgenabschätzung (DSFA), die Erfüllung entsprechender Informationspflichten sowie angemessene Maßnahmen zur Datensicherheit.
Am 14. Dezember 2023 fand die zweite und dritte Lesung des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) im Bundestag statt. Das GDNG soll voraussichtlich in der ersten Jahreshälfte 2024 in Kraft treten. Ziel des Gesetzes ist es die Nutzung der vorhandenen medizinischen und pseudonymisierten Daten im Sinne des Allgemeinwohls (Versorgung der Bevölkerung) zu erleichtern. Für den Zugriff der forschenden Industrie auf die gespeicherten Daten beim Forschungsdatenzentrum Gesundheit (FDZ) soll eine federführende Datenschutzaufsichtsbehörde zuständig sein.
Eine wesentliche Änderung für Patienten ergibt sich in der vorherigen Einwilligung. Zukünftig soll die Widerspruchslösung (Opt-out) für eine erhebliche Vergrößerung der Datenbasis sorgen. Es bleibt somit abzuwarten, ob ein Gleichgewicht zwischen dem Grundrecht auf informationelle Selbstbestimmung und dem Grundrecht auf Forschungsfreiheit erreicht werden kann.
Das durch die Bundesregierung noch für 2023 angekündigte, bereichsspezifische Beschäftigtendatenschutzgesetz lässt noch auf sich warten. Derzeit gibt es noch keinen Referentenentwurf, der konkretere Details aus dem geplanten Vorhaben preisgibt.
Die Latte liegt sehr hoch, insbesondere seit der Entscheidung des Europäischen Gerichtshofs, dass ein nationales, den Beschäftigtendatenschutz regelndes Gesetz, eine Datenverarbeitung abweichend von Art. 88 DSGVO nur dann enthalten darf, wenn speziellere Anforderungen auch formuliert wurden. Dagegen ist eine bloße Wiederholung einer Abwägungsvoraussetzung keine speziellere Norm und damit unanwendbar.
Ein eigenes bereichspezifisches Beschäftigtendatenschutz würde im Gegensatz zu der Generalklausel des § 26 BDSG diese Vorgabe erfüllen. Es bleibt mit Spannung zu erwarten, ob das Gesetz in der Lage ist, das vielerorts existierende rechtliche Vakuum zu schließen. Zu denken wäre beispielsweise an die Problematik des Fernmeldegeheimnisses im Rahmen des Arbeitgeber-Arbeitnehmer-Verhältnisses, die rechtliche Ausgestaltung von Telearbeit, Voraussetzungen für BYOD oder konkretisierende Regelungen zur Einwilligung im Bewerbungs- bzw. Beschäftigungskontext.