CLOUD 2019 – Technology & Services Conference

Der Nutzen der DSGVO rechtfertigt den Aufwand

| Autor: Elke Witmer-Goßner

Technische Hürden, aber auch rechtliche Vorgaben erschweren die Cloud-Nutzung.
Technische Hürden, aber auch rechtliche Vorgaben erschweren die Cloud-Nutzung. (Bild: © adam121 - stock.adobe.com)

Theoretisch ist der Schritt, On-premises-Anwendungen in die Cloud zu migrieren und dort zu betreiben, einfach nachzuvollziehen. Praktisch stellt die Bereitstellung sicherer IT-Infrastrukturen die größte Hürde dar.

Cloud Computing stellt aber auch eigene Bedingungen an den Datenschutz und den Geschäftsverkehr, die vornehmlich in der europäischen Datenschutzgrundverordnung (DSGVO) geregelt sind, wie Professor Peter Bräutigam, Fachanwalt für IT-Recht bei Noerr LLP, im Vorfeld der CLOUD 2019 erläutert. Teilnehmer der Konferenz dürfen sich freuen auf eine spannende Keynote und einen Roundtable rund um das Thema Cloud-Compliance ein Jahr nach Inkrafttreten der DSGVO.

► Mehr Infos zur Cloud 2019 – Technology & Services Conference

Die DSGVO gilt jetzt schon mehr als ein Jahr. Und noch immer ist die technische Sicherstellung des Datenschutzes zum Beispiel bei der Datenübertragung oder durch interne Schatten-IT, die ebenfalls datenschutzrechtliche Lücken verursachen kann, schwierig. Unternehmen klagen aber auch über den administrativen Aufwand. Wo liegen die größten Probleme auf rechtlicher Seite?

Keynote-Speaker auf der Cloud 2019 Technology & Services Conference: Rechtsanwalt Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht.
Keynote-Speaker auf der Cloud 2019 Technology & Services Conference: Rechtsanwalt Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht. (Bild: Peter Bräutigam)

Peter Bräutigam: Größere Probleme haben die Unternehmen noch bei der Erfüllung der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO und der Pflicht ein Verarbeitungsverzeichnis zu führen (Artikel 30 DSGVO). Die „Accountability“ des jeweiligen Unternehmens ist für die Datenschutzbehörden wichtig. Verantwortliche und Auftragsverarbeiter müssen nachweisen können, dass ihre gesamten Verarbeitungsprozesse der DSGVO entsprechen.

Aus Artikel 5 Abs. 2 DSGVO ergibt sich dabei – untechnisch gesprochen - eine „Beweislastumkehr“ für die Unternehmen gegenüber der zuständigen Datenschutzbehörde. Sie müssen für eine saubere und lückenlose Dokumentation sorgen, damit sie ihre Compliance gegenüber den Behörden nachweisen können. Als Unternehmen muss man etwa der genau darlegen, auf welche Rechtsgrundlage man die jeweilige Datenverarbeitung stützt. Gerade im Falle berechtigter Interessen gemäß Artikel 6 Abs. 1 S. 1 lit f) DSGVO kann das einen größeren Argumentationsaufwand bedeuten.

Bezüglich des Verarbeitungsverzeichnisses, stellen oft ihre „Legacy-IT-Systeme“, also gewachsene Systemlandschaften die Unternehmen vor große Herausforderungen. Wie soll man lückenlos seine Datenverarbeitungsprozesse dokumentieren, wenn man gar keinen Überblick hat, auf welchen Systemen im Unternehmen die Daten gespeichert sind?

Als weiteres Praxisproblem stellt die 72-Stunden-Meldepflicht bei Verletzungen des Datenschutzes die Unternehmen vor Probleme. Es fällt auf, dass viele Unternehmen keinen Notfallplan für den Ernstfall haben. Ich kann jedem Unternehmen nur empfehlen, das entsprechende Vorgehen für solche Fälle gut geplant und bestenfalls auch getestet zu haben, um für den Ernstfall gewappnet zu sein.

Ziel der DSGVO ist die Vereinheitlichung der länderübergreifenden datenschutzrechtlichen Regeln. Trügt der Schein, dass das tatsächlich gelungen ist, oder ist der mit der DSGVO verbundene Aufwand am Ende doch eher größer als der Nutzen?

Peter Bräutigam: Die DSGVO verfolgt einen vollharmonisierenden Ansatz, so dass dadurch ein „Level Playing-Field“ geschaffen der gleiche Maßstab für alle gelten soll. Trotzdem muss man realistisch bleiben. In Bezug auf Auslegung und Rechtsdurchsetzung sind wir leider noch weit von einem einheitlichen Niveau der einzelnen Mitgliedsstaaten entfernt. Man denke nur an die unterschiedliche Höhe der Bußgelder, die von den einzelnen Datenschutzbehörden verhängt werden.

Dennoch hat die DSGVO das Potenzial, den Standard anzugleichen. Die DSGVO hat es schon jetzt geschafft, die „Awareness“ aller Beteiligten in Bezug auf Datenverarbeitungsprozesse zu steigern. Sie zwingt die Unternehmen dazu, sich die eigenen Prozesse wirklich zu vergegenwärtigen. Deshalb würde ich schon sagen, dass der Nutzen den Aufwand wert ist.

Es sind zahlreiche, datenschutzrechtlich saubere Muster für den unternehmerischen Schriftverkehr, unter anderem Vertragspapiere im Umlauf. Auch Verträge, die nach der DSGVO für Auftragsdatenverarbeiter und deren Kunden datenschutzkonform formuliert sein müssen. Inwieweit reichen diese Musterverträge eigentlich aus? Und wie problematisch ist es, das von der DSGVO geforderte Verfahrensverzeichnis zu führen?

Peter Bräutigam: Das schon oben angesprochene Verarbeitungsverzeichnis gemäß Artikel 30 DSGVO stellt durchaus ein großes Problem für Unternehmen dar, da es sehr aufwändig ist immer auf dem aktuellen Stand zu bleiben. Die normierten Ausnahmetatbestände sind so formuliert, dass kaum je ein Unternehmen darunter zu fassen sein wird und am Ende die Dokumentationspflicht wohl jeden trifft.

Hinsichtlich der Musterverträge stellt Artikel 28 DSGVO für die Vertragsgestaltung eine solide Grundlage dar, die aber von den Behörden auf jeden Fall auch so erwartet wird. Trotzdem bedürfen die Auftragsverarbeitungsverträge immer noch einer individuellen Anpassung. Das ist nicht anders möglich, da ein Auftragsverarbeitungsvertrag die Bandbreite an technischen und operativen Details der Datenverarbeitung im jeweiligen Unternehmen abbilden muss. In der Praxis liegt damit der Fokus auf der individuellen Vertragsanpassung, eine „One-Size-fits-All-Lösung“ gibt es nicht.

Interessant wird in Zukunft die Gestaltung von Verträgen bei gemeinsamer Verantwortlichkeit nach Artikel 26 DS-GVO. Anders als Artikel 28 DSGVO beinhaltet Artikel 26 DSGVO nämlich keinerlei Musterformulierungen, weshalb der Bedarf an derartigen Formulierungen sehr groß ist. Hier besteht noch eine erhebliche Rechtsunsicherheit, gleichzeitig ergeben sich dadurch aber auch große Gestaltungsmöglichkeiten.

Warum migrieren Unternehmen aus der Public Cloud zurück?

Cloud Repatriation

Warum migrieren Unternehmen aus der Public Cloud zurück?

29.07.19 - Unternehmen holen Daten vermehrt ins eigene Rechenzentrum zurück, um Daten und Anwendungen in alle Umgebungen verschieben zu können. Was treibt die so genannte Cloud Repatriation von der Public Cloud zurück in die Hybrid Cloud an? lesen

► Mehr Infos zur Cloud 2019 – Technology & Services Conference

 

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46089686 / Software)