Suchen

Seit 1. Februar: Keine Reisefreiheit für Daten Datenschützer prüfen jetzt Auftragsdatenverarbeitung

| Autor / Redakteur: Andreas Gauger * / Elke Witmer-Goßner

Seit gestern, Anfang Februar 2016, können die Datenschutzbehörden die Geschäftsverbindung von Unternehmen zu Geschäftspartnern, die für sie Daten verarbeiten, prüfen. Das betrifft insbesondere Unternehmen, die Daten zu US-Anbietern in die Cloud geben.

Firma zum Thema

Warum in die Ferne schweifen, wenn deutsche Rechenzentren und Cloud-Anbieter ihre Services rechtskonform offerieren.
Warum in die Ferne schweifen, wenn deutsche Rechenzentren und Cloud-Anbieter ihre Services rechtskonform offerieren.
(Bild: Ingo Bartussek, Fotolia)

Gut möglich, dass bei dieser Prüfung herauskommt: Nur EU-Anbieter sind noch erlaubt, wenn Datenverarbeiter aus Übersee keine Rechtssicherheit bieten können. Das Jahr 2015 wird betrieblichen Datenschutzbeauftragten sicher noch lange in Erinnerung bleiben: Plötzlich waren die einfachen Zeiten vorbei.

Die Compliance in Sachen EU-Datenschutzrichtlinie und Bundesdatenschutzgesetz steht seit der Entscheidung des Europäischen Gerichtshofs (EuGH) zu „Safe Harbor“ auf wackeligen Füßen und droht zu kippen.

Im Herbst 2015 entschieden die EU-Richter, dass die Safe-Harbor-Regelung keine zulässige Grundlage für eine Datenverarbeitung außerhalb Europas darstellt. Nach dieser Regel verpflichteten sich US-Unternehmen wie zum Beispiel Anbieter von Cloud-Services, ein scheinbar angemessenes Schutzniveau entsprechend der EU-Datenschutzrichtlinie einzuhalten. Das erlaubte deren Kunden, die Verträge der US-Cloud-Services einfach unbesehen zu unterschreiben.

Rechtlich abgesicherte Alternativen vorhanden

Nach dem Wegfall von „Safe Harbor“ wären spontan zwei weitere Möglichkeiten des EU-Datenschutzrechts denkbar, eine rechtlich abgesicherte Auftragsdatenverarbeitung zu vereinbaren. Zum einen kann dies anhand der so genannten Standardvertragsklauseln der EU geschehen. Ein scheinbarer Vorteil dieser Möglichkeit: Der Vertrag muss nicht der Aufsichtsbehörde vorgelegt werden. Er steht aber jederzeit unter dem Vorbehalt der rechtlichen Prüfung.

Die zweite Möglichkeit sind die „Binding Corporate Rules“ (BCR), ein rechtlicher Rahmen zum Umgang mit personenbezogenen Daten, ausgearbeitet von der Artikel-29-Datenschutzgruppe, einem von der EU-Kommission eingesetzten Beratungsgremium. Ergänzend zu einigen vorgeschriebenen Klauseln können Unternehmen den Inhalt der Richtlinien individuell vereinbaren und den Aufsichtsbehörden vorlegen.

Bedenkliche Ersatzinstrumente

Diese beiden zusätzlichen Möglichkeiten sind unterschiedlich aufwändig und wurden teilweise bereits umgesetzt. So hat zum Beispiel der CRM-Anbieter Salesforce schon wenige Tage nach dem Bekanntwerden des EuGH-Urteils die Nutzerlizenzen um die Standardvertragsklauseln erweitert. Leider ist vollkommen unklar, ob diese Auswege überhaupt noch wirksam sind. Denn der EuGH hat in seinem Urteil die nationalen Datenschutzbehörden ausdrücklich dazu aufgefordert, auch die Ersatzinstrumente zu prüfen. In Deutschland hat die Datenschutzkonferenz, der Zusammenschluss aller Datenschutzbehörden, nicht lange gezögert: Sie stellt Klauseln und BCR ebenfalls in Frage.

Ergänzendes zum Thema
Special „Rechtssicheres Cloud Computing“

Stets auf dem aktuellen Stand mit unserem Special „Rechtssicheres Cloud Computing“
Stets auf dem aktuellen Stand mit unserem Special „Rechtssicheres Cloud Computing“
( © pavelnutil - Fotolia.com / VIT )

Weitere aktuelle Informationen rund um Datenschutz, Sicherheit und Compliance im Zusammenhang mit Cloud Computing gibt es in unserem Special „Rechtssicheres Cloud Computing“. Dort dreht sich alles um die Thematik Recht und Datenschutz, praktische Lösungsansätze und Initiativen und Standards, die ihren Schwerpunkt auf Zertifizierung und Rechtssicherheit in der Cloud legen.

(ID:43845510)