Jahresrückblick: Datenschutz in 2022

Jahresrückblick: Datenschutz in 2022

Tl;dr 2022 war ein großes Jahr für den Datenschutz! Zu den vier wichtigsten Ereignissen
gehören: der 10. Jahrestag der Datenschutz-Grundverordnung (DSGVO), die Ausarbeitung
des Privacy Shield 2.0 (auch bekannt als Trans-Atlantic Data Privacy Framework (TADPF)),
die Verabschiedung des Gesetzes über digitale Dienste und die Verurteilung von Meta zu
einer Geldstrafe in Höhe von 265 Millionen Euro, bezüglich unsachgemäßer
Datenverarbeitung in Irland.

Januar: 10-jähriges Bestehen des DSGVO-Vorschlags

Am 25. Januar 2012 schlug die Europäische Kommission eine Reform der EU-
Datenschutzvorschriften aus dem Jahr 1995 vor, wobei der Schwerpunkt auf den Rechten
der Privatsphäre im Internet lag. An diesem Tag stimmte die Kommission der Annahme
einer Richtlinie über die Datenverarbeitung zu Strafverfolgungszwecken zu.

10 Jahre später sind die Auswirkungen dieses Vorschlags deutlich zu erkennen. Die
Allgemeine Datenschutzverordnung (DSGVO) wurde 2018 formell verabschiedet und ist
seither in vollem Gange. Weitere Informationen über die DSGVO und ihre Auswirkungen auf
Unternehmen finden Sie in unseren  Blogbeiträgen, Crash Course Part 1: Data Subject
Requests, Crash Course Part 2: Data Mapping und Crash Course Part 3: Data Privacy
Automation in 3 Steps.

März: Internationaler Datenfluss zwischen den USA und der EU

Das Trans-Atlantic Data Privacy Framework (TADPF) wurde im März 2022 angekündigt. Dies  
ist der dritte Versuch der EU, ein Abkommen mit den USA zu schließen, was den
internationalen Datenaustausch ermöglichen soll. Die ersten beiden Abkommen wurden
durch Schrems I und II blockiert, zwei Klagen von Max Schrems gegen die EU, in denen er
argumentierte, dass die Übermittlung an die USA nach der Datenschutz-Grundverordnung
rechtswidrig sei. Schrems II wurde vom Gerichtshof der Europäischen Union im Jahr 2020
entschieden und blockierte vorübergehend die Übermittlung von EU-Bürger Daten  an die
USA.

Der neue transatlantische Datenschutzrahmen wurde im März von den USA und der EU als
"Grundsatzvereinbarung" angekündigt. US-Präsident Joe Biden kündigte daraufhin eine
Exekutivanordnung zur Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der
US-Nachrichtendienste an, um das Engagement der USA für das Abkommen zu bekräftigen.
Die Anordnung verbietet es, den US-Geheimdiensten, elektronische Daten von
Einzelpersonen zu sammeln, indem sie diese aus Europa zu anderen Zwecken als der
nationalen Sicherheit übermitteln. Außerdem muss eine solche Sammlung notwendig und
verhältnismäßig sein. Dazu gehören auch E-Mails und Textnachrichten.

Wenn das TADPF formell angenommen wird, würde es einen verstärkten Datenfluss
zwischen der EU und den USA ermöglichen. Datenschutzaktivisten wie Max Schrems wollen
jedoch sicherstellen, dass der TADPF die strengen Datenschutzstandards der Datenschutz-
Grundverordnung einhält.

Juli: Data Service Act (DSA) verabschiedet

Am 5. Juli 2022 billigte das Europäische Parlament das Gesetz über digitale Dienstleistungen
Dienste (DSA) zusammen mit dem Gesetz über digitales Marketing. Der DSA wurde
ursprünglich von Ursula von der Leyen als Teil ihrer Kandidatur für das Amt des Präsidenten
der Europäischen Kommission vorgeschlagen. Der Hauptzweck des DSA besteht darin, die
verschiedenen nationalen Gesetze in Bezug auf illegale Inhalte zu harmonisieren und so
einen kohärenten Rahmen in der gesamten EU für den Umgang mit dem Hosting und der
Verbreitung illegaler Inhalte (einschließlich Werbung und Desinformation) zu schaffen.

Dieser Zeitraum soll es den Unternehmen ermöglichen, sich anzupassen und sich auf die
neue Situation einzustellen. Zu den wichtigsten Anforderungen der DSA gehören:

• ein obligatorischer Meldemechanismus,
• Regeln für die Rückverfolgbarkeit von gewerblichen Nutzern,
• ein wirksamer Beschwerdemechanismus,
• mehr Transparenz bei Online-Plattformen,
• Risikomanagement,
• Zugang zu Schlüsseldaten für Forscher und Durchsetzungsbestimmungen, die der
  Komplexität des Online-Raums Rechnung tragen.

Die DSA richtet sich in erster Linie an VLOPs (sehr große Online-Plattformen) und VLOSEs
(sehr große Online-Suchmaschinen). Für Organisationen dieser Art wird die Verordnung im
nächsten Jahr in Kraft treten. Für alle anderen Organisationen, die unter den DSA fallen, ist
der eigentliche Starttermin am 1. Januar 2024.

September: 265 Mio. € - Geldstrafe gegen Meta

Im September wurde Meta wegen unsachgemäßer Datenverarbeitung in Irland zu einer
Geldstrafe von 265 Millionen Euro verurteilt. Die Datenschutzkommission leitete eine
Untersuchung ein, bei der festgestellt wurde, dass die Daten von 353 Mio. Nutzern online
entsorgt wurden. Die Daten waren von Meta in den Jahren 2018 und 2019 mit einem
Verfahren namens Scrapping gesammelt worden. Die Daten enthielten Standorte, E-Mail-
Adressen, Telefonnummern, Namen, Facebook-IDs und Geburtsdaten von Personen aus
über 100 Ländern. Die Daten wurden mithilfe einer Funktion abgegriffen, die Nutzern helfen
sollte, potenzielle Freunde anhand von Telefonnummern und E-Mail-Adressen zu finden.

Dieses Bußgeld ist nur eines von vielen großen Bußgeldern, die im Jahr 2022 gegen
Technologieunternehmen verhängt wurden. Die Datenschutz-Grundverordnung ist nun seit
vier Jahren in Kraft, was bedeutet, dass von den Unternehmen erwartet wird, dass sie
wissen, wie sie mit verschiedenen Anforderungen der Datenschutz-Grundverordnung,
einschließlich der Anfragen der betroffenen Personen, der RoPAs und der allgemeinen
Einhaltung des Datenschutzes, umgehen sollten.

Auf ins Jahr 2023...

Zu Beginn des neuen Jahres wird der Datenschutz ein immer wichtigeres Thema werden.
Mit der Einführung des DSA und der möglichen Verabschiedung des TADPF gibt es viel,
worauf wir uns freuen können! Wenn Sie sich inspirieren lassen möchten, wie Sie den
Datenschutz in Ihr Budget für 2023 aufnehmen können, lesen Sie unseren Blogbeitrag: 4
Schritte zu einem Datenschutzbudget.

Über Kertos

2022 war auch für uns bei Kertos ein großes Jahr. Wir haben neue Kunden gewonnen und
neue Partnerschaften geschlossen, wir haben kontinuierlich daran gearbeitet unser Produkt
zum besten seiner Art zu machen und wir haben unsere Belegschaft mehr als
verdreifacht. Wir können es kaum erwarten, zu sehen, was das Jahr 2023 für uns bereithält,
und werden weiterhin die beste Datenschutzlösung für unsere Kunden bereitstellen!

Die Beantwortung von Kundenanfragen, die Verwaltung des Verfahrensverzeichnisses und
die Überwachung personenbezogener Daten sind zeitaufwändige manuelle Prozesse. Kertos
automatisiert diese Anforderungen systemübergreifend, identifiziert nicht erfasste
Verarbeitungsprozesse und entlastet die Mitarbeiter. Was früher Tage und Wochen
dauerte, erledigt Kertos für die Beteiligten in Sekundenschnelle - vollautomatisch, ohne
menschliche Eingriffe und Fehler.

Sind Sie bereit, Ihren Datenschutz zu automatisieren oder wollen Sie mehr wissen?
Kontaktieren Sie unser Expertenteam und wir richten Sie ein!