EU-Dreieck: Datenschutz, Datenökonomie und IT-Sicherheit
Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) stellt für viele Unternehmen weiterhin eine große Herausforderung dar. Zusätzlich stehen sie nun vor neuen EU-Regularien in den Bereichen digitale Ökonomie oder Cybersicherheit.
Wie stellen wir sicher, dass wir den Überblick über alle bestehenden Regelungen nicht verlieren und welche Rolle spielt dabei der Datenschutz?
Laut einer aktuellen Umfrage der Deutschen Industrie- und Handelskammer (DIHK), die unter 4.900 Unternehmen durchgeführt worden ist, verbinden etwa 80% der befragten Betriebe nach wie vor einen „hohen bis extremen“ Aufwand mit der Umsetzung der DSGVO. Besonders problematisch gestaltet sich dabei das Spannungsfeld zwischen der DSGVO und verschiedenen EU-Regularien zur Datenökonomie, wie beispielsweise dem Data Act.
Über die Autorin
EU-Dreieck: Datenschutz, Datenökonomie und IT-Sicherheit
Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) stellt für viele Unternehmen weiterhin eine große Herausforderung dar. Zusätzlich stehen sie nun vor neuen EU-Regularien in den Bereichen digitale Ökonomie oder Cybersicherheit.
Wie stellen wir sicher, dass wir den Überblick über alle bestehenden Regelungen nicht verlieren und welche Rolle spielt dabei der Datenschutz?
Laut einer aktuellen Umfrage der Deutschen Industrie- und Handelskammer (DIHK), die unter 4.900 Unternehmen durchgeführt worden ist, verbinden etwa 80% der befragten Betriebe nach wie vor einen „hohen bis extremen“ Aufwand mit der Umsetzung der DSGVO. Besonders problematisch gestaltet sich dabei das Spannungsfeld zwischen der DSGVO und verschiedenen EU-Regularien zur Datenökonomie, wie beispielsweise dem Data Act.
Spannungsfeld zwischen Data Act und DSGVO
Der Data-Act, der im Januar 2024 in Kraft getreten ist und ab dem 12. September 2025 EU-weit gelten wird, schafft einen neuen Rechtsrahmen für den Austausch und die Nutzung von Daten, die mit vernetzten Produkten oder Diensten zusammenhängen. Dies bezieht sich sowohl auf personenbezogenen als auch auf nicht-personenbezogene Daten. Im Fall von personenbezogenen Daten ergänzt der Data Act das Recht der Datenübertragbarkeit gemäß Art.20 DSGVO.
Eine besondere Herausforderung stellt die Weitergabe personenbezogener Daten durch den Dateninhaber von einem Nutzer (1) an einen anderen Nutzer (2) oder an einen dritten Datenempfänger dar.
Die Umsetzung des Datenaustausches zwischen Dateninhaber, Nutzer und Datenempfänger, abgeleitet aus dem Data-Act, birgt das Risiko eines Verstoßes gegen die DSGVO. Gleichzeitig könnte die Verweigerung des Datenzugangsanspruchs möglicherweise gegen den Data-Act verstoßen.
Gemäß Artikel 1 Absatz 3 des Data Acts bleibt die Anwendbarkeit der bisherigen Rechtsvorschriften der Union unberührt. Es ist daher wichtig, die Rechtsgrundlage für die Datenverarbeitung gemäß Artikel 6 (und ggf. Artikel 9) der DSGVO zu ermitteln und die Verträge zwischen den Parteien entsprechend zu gestalten. Ähnlich wie bei der DSGVO wird die Europäischen Kommission (Gemäß Artikel 42 des Data-Acts ist die Frist dafür der 12. September 2025) unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing erstellen, um die Parteien bei der Ausarbeitung und Aushandlung von Verträgen mit fairen, angemessenen und nichtdiskriminierenden vertraglichen Rechten und Pflichten zu unterstützen.
Datenschutz im Dienst der IT-Sicherheit
Trotz der Herausforderungen bei der Umsetzung der DSGVO betonen mehr als die Hälfte der Unternehmen die gestiegene Bedeutung des Datenschutzes, insbesondere vor dem Hintergrund drohender Cyberangriffe.
Die NIS-2 Richtlinie, die bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss, zielt darauf ab, die Cybersicherheit in der EU zu erhöhen. Dazu müssen Unternehmen, die als Betreiber wesentlicher Dienste in 18 Sektoren eingestuft wurden, angemessene Sicherheitsmaßnahmen ergreifen und nationale Behörden über schwerwiegende Vorfälle informieren. Folglich spielt der Datenschutz dabei auch eine besondere Rolle, da bei Informationssicherheitsvorfällen der Schutz personenbezogener Daten gefährdet sein kann.
Die zuständigen Behörden für Netzwerk- und Informationssysteme, zentrale Anlaufstellen und CSIRTs (Computer Security Incident Response Teams) dürfen für die erforderlichen Zwecke der NIS-2 Richtlinie personenbezogenen Daten aufgrund einer aus der DSGVO geeigneten Rechtsgrundlage verarbeiten. Die Anforderung dabei „geeignete und besondere Maßnahmen zum Schutz der Grundrechte und Interessen natürlicher Personen [vorzusehen], einschließlich technischer Beschränkungen für die Weiterverwendung solcher Daten und die Anwendung modernster Sicherheits- und Datenschutzvorkehrungen wie Pseudonymisierung oder Verschlüsselung […]“ (Erwägungsgrund 121 aus der NIS-2 Richtlinie) sind mit den Anforderungen der DSGVO vereinbar.
Ist Ihr Unternehmen auch von der NIS2-Richtlinie betroffen?
Machen Sie unseren kostenlosen NIS2-Schnelltest und finden Sie heraus, ob Ihr Unternehmen von der NIS2 Richtlinie betroffen ist:
Es führt kein Weg an der DSGVO vorbei
Auch wenn die Komplexität durch die neuen EU-Regularien steigt, eins ist klar: Es führt kein Weg an der DSGVO vorbei! Mehr als 70% der befragten Unternehmen aus der DIHK Umfrage geben an, dass sie sich Leitlinien und Empfehlungen, die praxisnah sowie klar und präzise formuliert sind, wünschen. Mehr als die Hälfte wünschen sich zudem konkrete Musterformulare und Checklisten. Unsere gezielte Unterstützung zur DSGVO-Einhaltung bietet genau das. Erfahren Sie mehr unter diesem Link:
Rechtsgrundlage für die Datenverarbeitung ermitteln
(Art. 6, DSGVO)
Recht auf Datenübertragbarkeit ermöglichen
(Art. 20, DSGVO)
Entsprechende technisch-organisatorische Maßnahmen (TOMs) umsetzen
(Art. 32, DSGVO)
Entsprechende Verträge abschließen
(z.B. zwecks Auftragsverarbeitung oder Datenweitergabe an Dritte)
Haben Sie Fragen?
Wenn Sie Fragen dazu haben oder sich Unterstützung bei den datenschutzrechtlichen Anforderungen wünschen, wenden Sie sich gerne an uns.