Seit 1. Februar: Keine Reisefreiheit für Daten

Datenschützer prüfen jetzt Auftragsdatenverarbeitung

| Autor / Redakteur: Andreas Gauger * / Elke Witmer-Goßner

Warum in die Ferne schweifen, wenn deutsche Rechenzentren und Cloud-Anbieter ihre Services rechtskonform offerieren.
Warum in die Ferne schweifen, wenn deutsche Rechenzentren und Cloud-Anbieter ihre Services rechtskonform offerieren. (Bild: Ingo Bartussek, Fotolia)

Seit gestern, Anfang Februar 2016, können die Datenschutzbehörden die Geschäftsverbindung von Unternehmen zu Geschäftspartnern, die für sie Daten verarbeiten, prüfen. Das betrifft insbesondere Unternehmen, die Daten zu US-Anbietern in die Cloud geben.

Gut möglich, dass bei dieser Prüfung herauskommt: Nur EU-Anbieter sind noch erlaubt, wenn Datenverarbeiter aus Übersee keine Rechtssicherheit bieten können. Das Jahr 2015 wird betrieblichen Datenschutzbeauftragten sicher noch lange in Erinnerung bleiben: Plötzlich waren die einfachen Zeiten vorbei.

Die Compliance in Sachen EU-Datenschutzrichtlinie und Bundesdatenschutzgesetz steht seit der Entscheidung des Europäischen Gerichtshofs (EuGH) zu „Safe Harbor“ auf wackeligen Füßen und droht zu kippen.

Im Herbst 2015 entschieden die EU-Richter, dass die Safe-Harbor-Regelung keine zulässige Grundlage für eine Datenverarbeitung außerhalb Europas darstellt. Nach dieser Regel verpflichteten sich US-Unternehmen wie zum Beispiel Anbieter von Cloud-Services, ein scheinbar angemessenes Schutzniveau entsprechend der EU-Datenschutzrichtlinie einzuhalten. Das erlaubte deren Kunden, die Verträge der US-Cloud-Services einfach unbesehen zu unterschreiben.

Rechtlich abgesicherte Alternativen vorhanden

Nach dem Wegfall von „Safe Harbor“ wären spontan zwei weitere Möglichkeiten des EU-Datenschutzrechts denkbar, eine rechtlich abgesicherte Auftragsdatenverarbeitung zu vereinbaren. Zum einen kann dies anhand der so genannten Standardvertragsklauseln der EU geschehen. Ein scheinbarer Vorteil dieser Möglichkeit: Der Vertrag muss nicht der Aufsichtsbehörde vorgelegt werden. Er steht aber jederzeit unter dem Vorbehalt der rechtlichen Prüfung.

Die zweite Möglichkeit sind die „Binding Corporate Rules“ (BCR), ein rechtlicher Rahmen zum Umgang mit personenbezogenen Daten, ausgearbeitet von der Artikel-29-Datenschutzgruppe, einem von der EU-Kommission eingesetzten Beratungsgremium. Ergänzend zu einigen vorgeschriebenen Klauseln können Unternehmen den Inhalt der Richtlinien individuell vereinbaren und den Aufsichtsbehörden vorlegen.

Bedenkliche Ersatzinstrumente

Diese beiden zusätzlichen Möglichkeiten sind unterschiedlich aufwändig und wurden teilweise bereits umgesetzt. So hat zum Beispiel der CRM-Anbieter Salesforce schon wenige Tage nach dem Bekanntwerden des EuGH-Urteils die Nutzerlizenzen um die Standardvertragsklauseln erweitert. Leider ist vollkommen unklar, ob diese Auswege überhaupt noch wirksam sind. Denn der EuGH hat in seinem Urteil die nationalen Datenschutzbehörden ausdrücklich dazu aufgefordert, auch die Ersatzinstrumente zu prüfen. In Deutschland hat die Datenschutzkonferenz, der Zusammenschluss aller Datenschutzbehörden, nicht lange gezögert: Sie stellt Klauseln und BCR ebenfalls in Frage.

Ergänzendes zum Thema
 
Special „Rechtssicheres Cloud Computing“

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43845510 / Virtualisierung)