Datenschutz im Jahr 2024: Unsere Beobachtungen

Eine Vielzahl neuer Datenschutzgesetze wurden 2023 verabschiedet, und einige zuvor verabschiedete Gesetze traten im letzten Jahr in Kraft. In 2024 werden noch weitere Gesetze folgen bzw. in Kraft treten. Aber möglicherweise noch gravierender ist, dass rechtliche Datenschutzanforderungen an große Technologiekonzerne fundamentale Auswirkungen auf Drittunternehmen haben werden, die auf deren Plattformen und Dienste angewiesen sind, um eigene Zielgruppen zu erreichen, Daten zu erfassen und Umsatz zu generieren.

KI wird künftig sicher noch stärker reguliert, und der Fokus darauf hat auch das Bewusstsein der Verbraucher in Bezug auf den Zugriff und die Nutzung ihrer Daten erhöht. Einige der zuvor genannten Gesetze und Unternehmensanforderungen bringen jedoch auch willkommene Verbesserungen für die Verbraucher mit sich. Dazu zählen mehr Transparenz, Wettbewerb, Innovation und Auswahl für die Konsumenten.

Schauen wir uns an, welche Änderungen im Datenschutz im Jahr 2024 bevorstehen.

Eine Vielzahl der 2023 in den USA beschlossenen Gesetze werden 2024 in Kraft treten. Dadurch erhöht sich die Anzahl der US-Bundesstaaten mit geltenden Datenschutzgesetzen sowie die damit verbundenen Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten, erheblich.

Es gibt mehrere umfassende Datenschutzgesetze weltweit, die 2024 voraussichtlich verabschiedet werden. Diese sorgen für neue Schutzmaßnahmen für noch mehr Menschen bzw. verbessern den Datenschutz, z. B. in der Europäischen Union.

Darüber hinaus werden Technologien, die Datenschutz ermöglichen und verbessern, wahrscheinlich einen großen Stellenwert einnehmen. Die Datenschutzrichtlinie Ihrer Website dient dabei maßgeblich der Stärkung von Nutzervertrauen, der Förderung von Transparenz und der Ausrichtung auf die gesellschaftliche Verantwortung von Unternehmen.

Sobald die Durchsetzung von neuen Gesetzen wie dem Gesetz über digitale Märkte (DMA) beginnt, werden wir wahrscheinlich schnelle und bedeutende Änderungen im Betrieb großer Technologiekonzerne erleben. Gleiches gilt für kleinere Unternehmen, die auf deren Plattformen angewiesen sind. Datenschutzmaßnahmen werden bald für mehr Menschen weltweit als je zuvor gelten. Werden bis zum Ende des Jahres 75% der Menschheit von Datenschutzgesetzen geschützt, wie Gartner voraussagt?

Acht US-Bundesstaaten haben 2023 Datenschutzgesetze beschlossen, und fünf dieser Gesetze treten 2024 in Kraft:

• Montana Consumer Data Privacy Act (MTCDPA)
• Florida Digital Bill of Rights (FDBR)
• Texas Data Privacy and Security Act (TDPSA)
• Oregon Consumer Privacy Act (OCPA)
• Delaware Personal Data Privacy Act (DPDPA)

14 der 50 US-Bundesstaaten verfügen nun über Datenschutzgesetze. Dabei hatten 40 Bundesstaaten das Datenschutzrecht 2023 auf die Tagesordnung gesetzt, viele davon nicht zum ersten Mal. Es ist davon auszugehen, dass in 2024 weitere Datenschutzgesetze verabschiedet werden.

Die Fortschritte bei den Datenschutzgesetzen auf US-Bundesebene kommen nur langsam voran oder sind in einigen Fällen sogar ganz zum Stillstand gekommen. Entwicklungen wie die generative KI und ihre Anwendung erhalten jedoch viel Aufmerksamkeit und werden skeptisch verfolgt, auch im Hinblick auf den Datenschutz. Daher ist es möglich, dass Randthemen wie diese eine größere Motivation für ein umfassenderes US-Datenschutzgesetz darstellen.

Die Gesetzesvorlage Bill C-27 beinhaltet den Digital Charter Implementation Act von 2022. Dieser würde ein neues gesetzliches Rahmenwerk zum Zugang und zur Nutzung personenbezogener Daten im Privatsektor mit sich bringen. Die Gesetzesvorlage liegt derzeit dem Ausschuss vor und könnte im Jahr 2024 verabschiedet werden. Sie würde den Consumer Privacy Protection Act (CPPA) in Kraft treten lassen und den Personal Information Protection and Electronic Documents Act (PIPEDA) ersetzen, welcher über 20 Jahre alt ist.

Der Digital Charter Implementation Act würde auch den Personal Information and Data Protection Tribunal Act umfassen. Dieser sieht ein administratives Tribunal vor, das Entscheidungen des Privacy Commissioners von Kanada überprüfen und bei Verstößen gegen den CPPA Bußgelder verhängen kann.

Das Gesetz würde auch dazu beitragen, die Ausweitung des Einflusses und der Anwendungen von KI mit dem Artificial Intelligence and Data Act (AIDA) anzugehen, wobei der Handel und das Gewerbe mithilfe von KI-Systemen anhand eines risikobasierten Ansatzes reguliert werden könnten. Jegliche neue KI-Gesetze bzw. -Rahmenwerke müssten dann einen Fokus auf Datenschutz legen, insbesondere in Bezug auf Verbraucher.

Auf Bundesebene verfügt Australien seit 1988 über den Privacy Act (mit zusätzlichen Gesetzen für Bundesstaaten und Territorien). Eine Überarbeitung dieses Gesetzes wird schon lange erwartet, obwohl zuletzt 2022 eine Änderung vorgenommen wurde. Der Privacy Act Review Report mit 116 Empfehlungen wurde im Februar 2023 veröffentlicht. Wahrscheinlich werden einige Aufsehen erregende Datenschutzverstöße der letzten Jahre den Druck auf die australische Regierung erhöhen, den Datenschutz für die Bevölkerung zu stärken. Freuen Sie sich auf bedeutende Veränderungen im Jahr 2024.

In der Europäischen Union gilt seit 2018 die ePrivacy-Richtlinie (ePD), ebenso wie die Datenschutz-Grundverordnung (DSGVO). Doch die ePrivacy-Verordnung (ePR), welche die ePrivacy-Richtlinie außer Kraft setzen würde, lässt bislang auf sich warten. Die EU hat seitdem über die letzten Jahre andere Gesetze mit Datenschutzelementen verabschiedet, zu denen auch das Gesetz über digitale Märkte (DMA) gehört. Auch das KI-Gesetz bzw. der AI Act wird vermutlich Anfang 2024 verabschiedet.

Die ePrivacy-Verordnung würde unter anderem klarere Regeln für die Verwendung von Cookies festlegen und neuere elektronische Kommunikationsdienste regulieren, die nicht unter die ePrivacy-Richtlinie fallen, z. B. WhatsApp oder Facebook Messenger. Bei einer Übergangsphase von 24 Monaten würde das Gesetz jedoch selbst bei einer Verabschiedung im Jahr 2024 nicht vor 2026 in Kraft treten.

Der AI Act bzw. das KI-Gesetz der Europäischen Union, das erste seiner Art, wird voraussichtlich Anfang 2024 fertiggestellt. Zusätzlich zu neuen Regeln, Richtlinien und Verboten hinsichtlich der Entwicklung und Anwendung von KI in der EU wird das Gesetz wahrscheinlich ähnliche Gesetze anderer Länder maßgeblich beeinflussen, wie es auch schon beim Inkrafttreten der DSGVO der Fall war.

Im Oktober 2023 unterzeichnete US-Präsident Biden auch eine Präsidentenverfügung zur sichereren Verwendung von KI, welche ebenfalls weitere Entwicklungen in diesem Bereich beeinflussen wird.

In unserer Zusammenfassung des Jahres 2023 haben wir das Digital Services Act Paket mit seinen zwei Gesetzen behandelt: dem Gesetz über digitale Dienste (DSA) und dem Gesetz über digitale Märkte (DMA). Einige Anforderungen der Gesetze bestanden schon 2023, doch die Durchsetzung beginnt erst Anfang des Jahres 2024.

Diese Gesetze fordern Datenschutzkonformität von bestimmten großen Technologiekonzernen. Dadurch wird gleichzeitig Druck auf die Einhaltung der Datenschutzvorschriften von Drittunternehmenskunden und -partnern ausgeübt. Dies könnte gerade für kleinere Unternehmen eine weitaus stärkere Wirkung hinsichtlich der Einhaltung der Datenschutzvorschriften haben – insbesondere in der EU – als dies bis heute für Gesetze wie die DSGVO der Fall ist. Zum Beispiel: Die Anforderung von Google zur Verwendung einer zertifizierten Consent Management Platform zur Unterstützung des TCF 2.2 und Consent Mode.

Halten Sie ab 2024 nach wesentlichen Änderungen Ausschau, die sich auf die Auswahlmöglichkeiten der Verbraucher sowie auf die Geschäftstätigkeit und die Wettbewerbsfähigkeit auf den digitalen Märkten auswirken. Dazu zählen auch die Einführung von Consent Management Platforms (CMPs), die Datenschutzkonformität und die Signalisierung der Einwilligung ermöglichen.

Aufgrund der fortlaufenden Datenschutz-Herausforderungen in der EU und als Reaktion auf den Digital Markets Act (DMA), unter dem der Mutterkonzern von Facebook und Instagram als „Gatekeeper“ gilt, hat Meta Pläne für ein neues Abonnement-Modell angekündigt, mit dem Nutzer auf Facebook und Instagram zugreifen können. Dieses Modell wird auch als „Pay or Okay“ bezeichnet.

In der EU, dem EWR und der Schweiz könnten sich Nutzer von Facebook und Instagram dabei für ein kostenpflichtiges monatliches Abonnement dieser Plattformen registrieren, bei dem sie keine Werbung erhalten. Für Nutzer, die kein zahlungspflichtiges Abonnement abschließen möchten, wird nicht nur Werbung angezeigt, sondern es werden auch ihre personenbezogenen Daten erfasst und verwendet, z. B. für personalisierte Werbung.

Ende 2023 reichten jedoch verschiedene Gruppen Beschwerden gegen das geplante Abonnement-Modell von Meta ein, darunter der Europäische Verbraucherverband (BEUC). Sie argumentierten, dass dieser Ansatz ungerecht und ein weiterer Versuch sei, die Gesetzgebung der EU zu umgehen. Verfolgen Sie im Laufe des Jahres 2024 die Entwicklung dieses Falls, der auch für andere große Technologiekonzerne interessant sein dürfte.

Das passendste Stichwort dafür, was wir 2024 im Bereich Datenschutz erwarten dürfen, lautet wohl: Beschleunigung. 2023 wurden so viele Initiativen ins Leben gerufen, die sich im Jahr 2024 weiterentwickeln oder neue Gesetze, Unternehmensanforderungen, Technologien und Verbrauchererwartungen prägen werden.

Datenschutz wird immer wichtiger für die Geschäftstätigkeit und den Schutz des Markenimages und Umsatzes. Unternehmen erkennen nicht nur die Gefahr, gegen Datenschutzgesetze zu verstoßen, sondern auch die Chancen, die sich aus dem Schutz von Nutzerdaten und der Achtung der Privatsphäre von Kunden ergeben. Wir können zum Beispiel davon ausgehen, dass Datenschutz in der Mobilbranche im Jahr 2024 noch relevanter wird.

In einigen Regionen müssen Unternehmen mehrere Gesetze gleichzeitig einhalten. Dies stellt vor allem für kleine und mittlere Unternehmen mit begrenzten Ressourcen eine Herausforderung dar. Doch daran müssen wir uns gewöhnen – und das ist gar nicht so schwierig, wie es auf den ersten Blick erscheint. Usercentrics unterstützt Sie dabei: Unsere Lösungen sind benutzerfreundlich, zuverlässig und besonders skalierbar, während Ihr Unternehmen wächst, Ihre technischen Systeme sich ändern und Gesetze sich weiterentwickeln.

Usercentrics bietet keine rechtliche Beratung. Alle Angaben dienen nur zu Informationszwecken. Wir empfehlen immer, zu Fragen des Datenschutzes und der Datenverarbeitung einen qualifizierten Rechtsbeistand oder Datenschutzexperten hinzuzuziehen.