Ab Februar 2016 wird es ernst

Datenschützer prüfen jetzt Auftragsdatenverarbeitung

| Autor / Redakteur: Andreas Gauger * / Elke Witmer-Goßner

Warum in die Ferne schweifen, wenn deutsche Rechenzentren und Cloud-Anbieter ihre Services rechtskonform offerieren.
Warum in die Ferne schweifen, wenn deutsche Rechenzentren und Cloud-Anbieter ihre Services rechtskonform offerieren. (Bild: Ingo Bartussek, Fotolia)

Ab heute, Anfang Februar 2016 geht es los und die Datenschutzbehörden prüfen die Geschäftsverbindung von Unternehmen zu Geschäftspartnern, die für sie Daten verarbeiten.

Das betrifft auch Unternehmen, die Daten zu US-Anbietern in die Cloud geben. Gut möglich, dass bei dieser Prüfung herauskommt: Nur EU-Anbieter sind noch erlaubt, wenn Datenverarbeiter aus Übersee keine Rechtssicherheit bieten können.

Das Jahr 2015 wird betrieblichen Datenschutzbeauftragten sicher noch lange in Erinnerung bleiben: Plötzlich waren die einfachen Zeiten vorbei.

Compliance auf wackligen Füßen

Die Compliance in Sachen EU-Datenschutzrichtlinie und Bundesdatenschutzgesetz steht seit der Entscheidung des Europäischen Gerichtshofs (EuGH) zu „Safe Harbor“ auf wackeligen Füßen und droht zu kippen.

Im Herbst 2015 entschieden die EU-Richter, dass die Safe-Harbor-Regelung keine zulässige Grundlage für eine Datenverarbeitung außerhalb Europas darstellt. Nach dieser Regel verpflichteten sich US-Unternehmen wie zum Beispiel Anbieter von Cloud-Services, ein scheinbar angemessenes Schutzniveau entsprechend der EU-Datenschutzrichtlinie einzuhalten. Das erlaubte deren Kunden, die Verträge der US-Cloud-Services einfach unbesehen zu unterschreiben.

Rechtlich abgesicherte Alternativen vorhanden

Nach dem Wegfall von „Safe Harbor“ wären spontan zwei weitere Möglichkeiten des EU-Datenschutzrechts denkbar, eine rechtlich abgesicherte Auftragsdatenverarbeitung zu vereinbaren. Zum einen kann dies anhand der so genannten Standardvertragsklauseln der EU geschehen. Ein scheinbarer Vorteil dieser Möglichkeit: Der Vertrag muss nicht der Aufsichtsbehörde vorgelegt werden. Er steht aber jederzeit unter dem Vorbehalt der rechtlichen Prüfung.

Die zweite Möglichkeit sind die „Binding Corporate Rules“ (BCR), ein rechtlicher Rahmen zum Umgang mit personenbezogenen Daten, ausgearbeitet von der Artikel-29-Datenschutzgruppe, einem von der EU-Kommission eingesetzten Beratungsgremium. Ergänzend zu einigen vorgeschriebenen Klauseln können Unternehmen den Inhalt der Richtlinien individuell vereinbaren und den Aufsichtsbehörden vorlegen.

Bedenkliche Ersatzinstrumente

Diese beiden zusätzlichen Möglichkeiten sind unterschiedlich aufwändig und wurden teilweise bereits umgesetzt. So hat zum Beispiel der CRM-Anbieter Salesforce schon wenige Tage nach dem Bekanntwerden des EuGH-Urteils die Nutzerlizenzen um die Standardvertragsklauseln erweitert. Leider ist vollkommen unklar, ob diese Auswege überhaupt noch wirksam sind. Denn der EuGH hat in seinem Urteil die nationalen Datenschutzbehörden ausdrücklich dazu aufgefordert, auch die Ersatzinstrumente zu prüfen. In Deutschland hat die Datenschutzkonferenz, der Zusammenschluss aller Datenschutzbehörden, nicht lange gezögert: Sie stellt Klauseln und BCR ebenfalls in Frage.

Alternativen zum Safe-Harbor-Prinzip

Datenübermittlung in die USA

Alternativen zum Safe-Harbor-Prinzip

04.12.15 - Nach dem EuGH-Urteil, das Safe-Harbor für ungültig erklärte, sehen sich viele Unternehmen im Zugzwang. Um personenbezogene Daten weiterhin in die USA zu übermitteln, muss man sich einen Überblick über die rechtlichen Möglichkeiten verschaffen. lesen

Das neue Datenschutzschild hat Löcher

Safe Harbor 2.0: EU-US Privacy Shield

Das neue Datenschutzschild hat Löcher

03.02.16 - Kurz nach Ablauf der Frist meldet die EU-Kommission, sich mit den amerikanischen Verhandlungspartnern auf eine neue Grundlage für den Datentransfer zwischen der EU und den USA geeinigt zu haben. Datenschützer sehen dies kritisch. lesen

Ergänzendes zum Thema
 
Special „Rechtssicheres Cloud Computing“

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43820627 / Recht und Datenschutz )