Alles Neu macht der Mai …

„Alles neu macht der Mai, Macht die Seele frisch und frei.“ So beginnt ein altes deutsches Volkslied. Und auch die für den Datenschutz mitgeltenden Gesetze sind im Mai umbenannt worden. Durch das am 14.Mai 2024 in Kraft getretene DGG (Digitale-Dienste-Gesetz) wird das TMG (Telemediengesetz) abgelöst. Aus dem TMG wird das DGG und das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz) wird zum TDDDG. Welche Konsequenzen hat dies für Web-Site Betreiber?

[…]

Hinweisgeberschutzgesetz – Übergangsfrist bis zum 17. Dezember 2023

Hinweisgeberschutzsystem

Rechtlicher Rahmen

Das nationale Hinweisgeberschutzgesetz, das Regelungen zu Hinweisgebersystemen trat in Deutschland am 02.07.2023 in Kraft. Unternehmen mit mehr als 250 Beschäftigten müssen bis zu diesem Termin interne Meldewege eingerichtet haben. Organisationen mit 50 – 249 Beschäftigten haben eine Übergangsfrist bis zum 17.12.2023.

Die Europäische Union beschloss im Jahr 2020 die „EU-Directive-Whistleblowing.“ Unternehmen und Verbände sind verpflichtet ein Hinweismanagementsystem einzurichten, das ein Hinweisgebersystem beinhalten muss. Die Regelung betrifft Organisationen mit mehr als 50 Mitarbeiter und/oder mit mehr als 10 Mio. € Jahresumsatz.
Der Ausdruck Hinweisgebersystem bezeichnet ein System zum Gewinnen von Informationen, das Ermittler in Unternehmen und Verwaltungen einsetzen, um ihren Mitarbeitern und auch Personen des Umfeldes (Kunden, Geschäftspartner …) einen vertraulichen Kommunikationskanal zu eröffnen. Dieser kann von ihnen – das betrifft auch Whistleblower – zum Melden möglicher Straftaten und Ethikverstöße genutzt werden.
Zu Hinweisgebersystemen zählen Telefonhotlines, Ombudsleute, web-basierte Systeme sowie kombinierte Mechanismen zur sicheren Kommunikation von Missständen und Unregelmäßigkeiten. Unterschiede liegen in der zeitlichen und örtlichen Erreichbarkeit der Kommunikationsplattform, in der sicheren Anonymitätswahrung des Whistleblowers und damit in der Hemmschwelle, in der Konzentration auf bestimmte Delikte, im Vermeiden von Denunziantentum und in der Dialogmöglichkeit, um einen Fall aufzuklären. Ziel dieser Systeme ist neben der frühzeitigen Aufdeckung vor allem die Prävention interner Missstände, Risiken und Compliance-Verstößen.
Die angesprochene EU Richtlinie 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, muss in allen Mitgliedstaaten in nationales Recht umgesetzt werden.

[…]

Trans-Atlantic Data Privacy Framework (TADPF) – der neue Datenschutzrahmen EU-USA (Update)

Am 10. Juli 2023 hat die EU-Kommission ihren Angemessenheitsbeschluss (https://commission.europa.eu/document/fa09cbad‐dd7d‐4684‐ae60‐be03fcb0fddf_en) für den Datenschutzrahmen EU-USA angenommen. Damit wird nach einer dreijährigen Pause, ausgelöst durch das Schrems III EuGH-Urteil, die Übermittlung personenbezogener Daten in die USA der DS-GVO entsprechend ein Stück rechtssicherer.

[…]

Kommentar: DSK – MS365. Warten auf Godot – Übermittlung personenbezogener Daten in Dritt-Staaten

Das EuGH hat 2020 hat im sogenannten Schrems II Urteil die Übermittlung personenbezogener Daten auf Basis des Rechtsabkommen „Privacy Shield“ als rechtswidrig eingestuft und somit die Übermittlung der Daten in die USA quasi untersagt, wenn nicht adäquate Garantien für die Sicherheit personenbezogener Daten jenseits von „Privacy Shield“ gegeben werden können. Die für die Verarbeitung der Daten verantwortliche Stelle muss dies durch gesonderte Sicherheitsmaßnahmen und vertraglichen Regelungen sicherstellen.

Die EU-Kommission hat im Juni 2021 durch die Vorlage neuer verpflichtender Standard-Vertragsklauseln (SCC – Standard Contractual Clauses) einen scheinbaren Weg aufgezeigt die in vielen Anwendungsfällen nicht zu leistende Sicherheitsgarantie damit sicherstellen zu können. Begleitend ist eine zu erstellendes TIA (Transfer Impact Assessment) als Risikobewertung für die Offenlegung/Einsichtnahme durch Dritte vorzulegen: Welches Risiko besteht für den Betroffenen, dass durch US behördliche Zugriffe personenbezogene Daten offengelegt werden müssen (z.B. FISA, patriot act …).

[…]