HOSTING & SERVICE PROVIDER SUMMIT 2016 – Internationaler Datentransfer

Was bedeuten Privacy Shield und GDPR für Service Provider

| Redakteur: Stephan Augsten

Unternehmen, die personenbezogene Daten in die USA übermitteln, sind gut beraten, sich nicht allein auf den Privacy Shield zu verlassen.
Unternehmen, die personenbezogene Daten in die USA übermitteln, sind gut beraten, sich nicht allein auf den Privacy Shield zu verlassen. (Bild: Ralf Kalytta - Fotolia.com)

Hosting- und Cloud-Spezialisten sehen sich 2016 mit rechtlichen Neuregelungen konfrontiert, darunter Privacy Shield und die Datenschutz-Grundverordnung. Rechtsanwalt Dr. Thomas Jansen befasst sich auf dem HSP Summit 2016 mit den Rechtsgrundlagen.

Herr Dr. Jansen, in Ihrer Keynote beschäftigen Sie sich dieses Jahr mit der Rechtsgrundlage internationaler Datentransfers. Datenschützer erachten beispielsweise das Safe-Harbour-Folgeabkommen „EU-US Privacy Shield“ als nicht ausreichend, um für Rechtssicherheit zu sorgen. Ist diese Kritik berechtigt und worauf sollte man an dieser Stelle genau achten?

Es ist in der Tat zutreffend, dass das neue Abkommen einerseits von der Politik als Durchbruch gefeiert wird und andererseits von Datenschutzexperten als unzureichend kritisiert wird. In der Tat wird sehr genau zu prüfen sein, ob der „Privacy Shield“ die notwendigen Garantien für rechtskonforme Datenübermittlungen in die USA erfüllen kann.

Die Artikel-29-Datenschutzgruppe, das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, hat das Abkommen analysiert. Am 13. April 2016 wurde verlautbart, dass das „Privacy Shield“ nach Auffassung der Datenschutzgruppe derzeit noch kein Datenschutzniveau bereitstellt, welches – entsprechend den Vorgaben des Europäischen Gerichtshofs im Schrems-Urteil vom 6. Oktober 2015 – dem Datenschutzniveau in Europa der Sache nach gleichwertig ist und dementsprechend Nachbesserungen in erheblichen Umfang gefordert.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff warnt gar vor einem „erneuten Scheitern vor Europäischen Gerichten“. Wenn und soweit es nicht zu erheblichen Nachbesserungen kommt, steht nach heutigem Kenntnisstand zu erwarten, dass Datenschutzaktivisten gerichtliche Maßnahmen zur Überprüfung des neuen Abkommens einleiten werden. Angesichts dieser Situation kann von Rechtssicherheit keine Rede sein. Unternehmen, die personenbezogene Daten in die USA übermitteln, sind gut beraten, sich nicht allein auf den Privacy Shield zu verlassen.

In diesem Konsens wird oft auch die EU-Datenschutz-Grundverordnung genannt. Hier geht es im Wesentlichen um den Schutz personenbezogener Daten. Wo sehen Sie hier die größte Herausforderung für Unternehmen, vor allem dann, wenn diese Cloud-Dienste von international agierenden Konzernen - Beispiel Microsoft - einsetzen? Verbleibt die Verantwortung in Sachen Datenschutz in solchen Fällen auch beim Unternehmen selbst, oder verlagert sich diese dann primär auf den Auftragnehmer, also den Cloud-Dienstleister?

Wenn und soweit Unternehmen Cloud-Dienste von Dienstleistern einsetzen, verbleibt die Verantwortlichkeit stets bei dem Unternehmen als verantwortlicher Stelle, d.h. das Unternehmen ist für eventuelle Nichteinhaltung datenschutzrechtlicher Bestimmungen durch den Dienstleister verantwortlich und gegebenenfalls schadensersatzpflichtig.

Angesichts dieser Situation empfiehlt es sich, erhöhte Sorgfalt bei der Auswahl des Dienstleisters walten zu lassen. Die Ungewissheit rund um den „Privacy Shield“ hat dazu geführt, dass immer mehr Cloud Provider – interessanterweise auch US-amerikanische – ihren Kunden anbieten, Daten in deutschen oder europäischen Rechenzentren zu speichern.

Welche Empfehlung geben Sie unseren Lesern abschließend an die Hand?

In Bezug auf die grenzüberschreitende Übermittlung von personenbezogenen Daten bestehen derzeit erhebliche Unsicherheiten. Internationale Unternehmensgruppen sind vor dem Hintergrund der geänderten Rechtslage gut beraten, ihre konzerninternen Datenübermittlungen sehr sorgfältig zu überprüfen und gegebenenfalls anzupassen.

Dr. Thomas Jansen
Dr. Thomas Jansen (Bild: DLA Piper)

Jedes Unternehmen, das sich in Bezug auf die Datenverarbeitung externer Dienstleister bedient, ist darüber hinaus dazu angehalten, von den externen Dienstleistern verbindliche Erklärungen abzufordern, dass die Datenverarbeitung und -übermittlung den derzeit geltenden Anforderungen genügt. Erforderlichenfalls müssen bestehende Verträge angepasst oder – notfalls – beendet werden.

Dr. Thomas Jansen ist Rechtsanwalt bei der Kanzlei DLA Piper UK.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44017407 / Recht und Datenschutz)