Viele Unternehmen stehen jedes Jahr vor neuen Aktualisierungen und Konkretisierungen im Datenschutzrecht. Auch im Jahr 2023 wird es einige Neuerungen und Aktualisierungen im Hinblick auf den Datenschutz geben. Eine erste Neuerung liegt in dem kommenden Hinweisgeberschutzgesetz. Mit diesem Gesetz soll die EU-Whistleblower-Richtlinie in nationales Recht umgewandelt werden. Im ersten Quartal des neuen Jahres könnte das HinSchG bereits in Kraft treten. Damit sollen Whistleblower, welche Verstöße gegen geltendes EU-Recht melden, zukünftig einen höheren Schutz genießen.
Umsetzungsfrist der Standardvertragsklauseln für internationalen Datentransfers
Die neuen Standardvertragsklauseln müssen von Unternehmen bereits verwendet werden. Bereits bestehende Verträge für Datenübermittlungen in Drittländer müssen darüber hinaus bis spätestens 27. Dezember 2022 angepasst werden. Daraus ergeben sich zusätzliche Verpflichtungen, wie beispielsweise die Sicherung des Schutzniveaus sowie eine Datentransfer-Folgenabschätzung. Die neuen SCCs werfen Rechtsfragen auf, zu welchen im Jahr 2023 Auslegungen und Konkretisierungen erwartet werden.
Mit Data Act zur Data Economy
Bereits im Februar 2020 stellte die EU-Kommission die Europäische Datenstrategie für einen Datenbinnenmarkt vor. Der Data Act-Entwurf ist mitunter ein Bestandteil dieser Strategie. Ein erster Entwurf wurde am 23. Februar 2022 veröffentlicht und beinhaltet die rechtlichen Rahmenbedingungen für den Datenzugang sowie die Datennutzung. Der Entwurf stellt klar, wer unter welchen Bedingungen Daten wirtschaftlich verarbeiten darf. Der Data Governance Act trat bereits im Juni 2022 in Kraft und ist in allen EU-Mitgliedstaaten ab dem 24. September 2023 unmittelbar anwendbar. Damit werden Prozesse, Strukturen und ein allgemeiner Rechtsrahmen für die gemeinsame Nutzung von personenbezogenen und nicht-personenbezogenen Daten geschaffen.
Angemessenheitsbeschluss für die USA
Am 13. Dezember 2022 hat die Europäische Kommission das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA eingeleitet, mit dem sichere transatlantische Datenströme gefördert und die vom Gerichtshof der Europäischen Union im „Schrems II“-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden sollen. Der Entwurf liegt nun dem Europäischen Datenschutzausschuss (EDSA) zur Stellungnahme vor. Anschließend wird die Kommission noch die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, sowie die Kontrolle des Europäische Parlaments abwarten. Nach Abschluss dieses Verfahrens kann die Kommission den endgültigen Angemessenheitsbeschluss treffen.