CLOUD 2019 – Technology & Services Conference

Der Nutzen der DSGVO rechtfertigt den Aufwand

| Autor: Elke Witmer-Goßner

Technische Hürden, aber auch rechtliche Vorgaben erschweren die Cloud-Nutzung.
Technische Hürden, aber auch rechtliche Vorgaben erschweren die Cloud-Nutzung. (Bild: © adam121 - stock.adobe.com)

Theoretisch ist der Schritt, On-premises-Anwendungen in die Cloud zu migrieren und dort zu betreiben, einfach nachzuvollziehen. Praktisch stellt die Bereitstellung sicherer IT-Infrastrukturen die größte Hürde dar.

Cloud Computing stellt aber auch eigene Bedingungen an den Datenschutz und den Geschäftsverkehr, die vornehmlich in der europäischen Datenschutzgrundverordnung (DSGVO) geregelt sind, wie Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht bei Noerr LLP, im Vorfeld der CLOUD 2019 erläutert. Teilnehmer der Konferenz dürfen sich freuen auf eine spannende Keynote und einen Roundtable rund um das Thema Cloud-Compliance ein Jahr nach Inkrafttreten der DSGVO.

► Mehr Infos zur Cloud 2019 – Technology & Services Conference

CloudComputing-Insider: Die DSGVO gilt jetzt schon mehr als ein Jahr. Und noch immer ist die technische Sicherstellung des Datenschutzes z.B. bei der Datenübertragung oder durch interne Schatten-IT, die ebenfalls datenschutzrechtliche Lücken verursachen kann, schwierig. Unternehmen klagen aber auch über den administrativen Aufwand. Wo liegen die größten Probleme auf rechtlicher Seite?

Keynote-Speaker auf der Cloud 2019 Technology & Services Conference: Rechtsanwalt Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht.
Keynote-Speaker auf der Cloud 2019 Technology & Services Conference: Rechtsanwalt Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht. (Bild: Peter Bräutigam)

Prof. Dr. Peter Bräutigam: Größere Probleme haben die Unternehmen noch bei der Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der Pflicht ein Verarbeitungsverzeichnis zu führen (Art. 30 DSGVO). Die „Accountability“ des jeweiligen Unternehmens ist für die Datenschutzbehörden wichtig. Verantwortliche und Auftragsverarbeiter müssen nachweisen können, dass ihre gesamten Verarbeitungsprozesse der DSGVO entsprechen. Aus Art. 5 Abs. 2 DSGVO ergibt sich dabei – untechnisch gesprochen - eine „Beweislastumkehr“ für die Unternehmen gegenüber der zuständigen Datenschutzbehörde. Sie müssen für eine saubere und lückenlose Dokumentation sorgen, damit sie ihre Compliance gegenüber den Behörden nachweisen können. Als Unternehmen muss man etwa der genau darlegen, auf welche Rechtsgrundlage man die jeweilige Datenverarbeitung stützt. Gerade im Falle berechtigter Interessen gem. Art. 6 Abs. 1 S. 1 lit f) DSGVO kann das einen größeren Argumentationsaufwand bedeuten.
Bezüglich des Verarbeitungsverzeichnisses, stellen oft ihre „Legacy-IT-Systeme“, also veraltete Systemlandschaften die Unternehmen vor große Herausforderungen. Wie soll man lückenlos seine Datenverarbeitungsprozesse dokumentieren, wenn man gar keinen Überblick hat, auf welchen Systemen im Unternehmen die Daten gespeichert sind?
Als weiteres Praxisproblem stellt die 72-Stunden-Meldepflicht bei Verletzungen des Datenschutzes die Unternehmen vor Probleme. Es fällt auf, dass viele Unternehmen keinen Notfallplan für den Ernstfall haben. Ich kann jedem Unternehmen nur empfehlen, das entsprechende Vorgehen für solche Fälle gut geplant und bestenfalls auch getestet zu haben, um für den Ernstfall gewappnet zu sein.

Ziel der DSGVO ist die Vereinheitlichung der länderübergreifenden datenschutzrechtlichen Regeln. Trügt der Schein, dass das tatsächlich gelungen ist, oder ist der mit der DSGVO verbundene Aufwand am Ende doch eher größer als der Nutzen?

Prof. Dr. Bräutigam: Die DSGVO verfolgt einen vollharmonisierenden Ansatz, so dass dadurch ein „Level Playing-Field“ geschaffen der gleiche Maßstab für alle gelten soll. Trotzdem muss man realistisch bleiben. In Bezug auf Auslegung und Rechtsdurchsetzung sind wir leider noch weit von einem einheitlichen Niveau der einzelnen Mitgliedsstaaten entfernt. Man denke nur an die unterschiedliche Höhe der Bußgelder, die von den einzelnen Datenschutzbehörden verhängt werden. Dennoch hat die DSGVO das Potenzial, den Standard anzugleichen. Die DSGVO hat es schon jetzt geschafft, die „Awareness“ aller Beteiligten in Bezug auf Datenverarbeitungsprozesse zu steigern. Sie zwingt die Unternehmen dazu, sich die eigenen Prozesse wirklich zu vergegenwärtigen. Deshalb würde ich schon sagen, dass der Nutzen den Aufwand wert ist.

Es sind zahlreiche, datenschutzrechtlich saubere Muster für den unternehmerischen Schriftverkehr, u.a. Vertragspapiere im Umlauf. Auch Verträge, die nach der DSGVO für Auftragsdatenverarbeiter und deren Kunden datenschutzkonform formuliert sein müssen. Inwieweit reichen diese Musterverträge eigentlich aus? Und wie problematisch ist es, das von der DSGVO geforderte Verfahrensverzeichnis zu führen?

Prof. Dr. Bräutigam: Das schon oben angesprochene Verarbeitungsverzeichnis gem. Art. 30 DSGVO stellt durchaus ein großes Problem für Unternehmen dar, da es sehr aufwändig ist immer auf dem aktuellen Stand zu bleiben. Die normierten Ausnahmetatbestände sind so formuliert, dass kaum je ein Unternehmen darunter zu fassen sein wird und am Ende die Dokumentationspflicht wohl jeden trifft.
Hinsichtlich der Musterverträge stellt Art. 28 DSGVO für die Vertragsgestaltung eine solide Grundlage dar, die aber von den Behörden auf jeden Fall auch so erwartet wird. Trotzdem bedürfen die Auftragsverarbeitungsverträge immer noch einer individuellen Anpassung. Das ist nicht anders möglich, da ein Auftragsverarbeitungsvertrag die Bandbreite an technischen und operativen Details der Datenverarbeitung im jeweiligen Unternehmen abbilden muss. In der Praxis liegt damit der Fokus auf der individuellen Vertragsanpassung, eine „One-Size-fits-All-Lösung“ gibt es nicht.
Interessant wird in Zukunft die Gestaltung von Verträgen bei gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO. Anders als Art. 28 DSGVO beinhaltet Art. 26 DSGVO nämlich keinerlei Musterformulierungen, weshalb der Bedarf an derartigen Formulierungen sehr groß ist. Hier besteht noch eine erhebliche Rechtsunsicherheit, gleichzeitig ergeben sich dadurch aber auch große Gestaltungsmöglichkeiten.

Welche Cloud hätten Sie denn gerne?

Cloud 2019 Technology & Services Conference

Welche Cloud hätten Sie denn gerne?

10.07.19 - Je weiter sich die Cloud verbreitet, desto vielfältiger und komplexer werden ihre Spielarten: Hybrid-, Multi- und Private-Cloud-Ansätze bieten sich in diversen Variationen als Lösungsansätze an. Bleiben Sie auf dem neuesten Stand. lesen

► Mehr Infos zur Cloud 2019 – Technology & Services Conference

 

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46074789 / Recht und Datenschutz)