Suchen

CLOUD 2019 – Technology & Services Conference Der Nutzen der DSGVO rechtfertigt den Aufwand

| Autor: Elke Witmer-Goßner

Theoretisch ist der Schritt, On-premises-Anwendungen in die Cloud zu migrieren und dort zu betreiben, einfach nachzuvollziehen. Praktisch stellt die Bereitstellung sicherer IT-Infrastrukturen die größte Hürde dar.

Firmen zum Thema

Technische Hürden, aber auch rechtliche Vorgaben erschweren die Cloud-Nutzung.
Technische Hürden, aber auch rechtliche Vorgaben erschweren die Cloud-Nutzung.
(Bild: © adam121 - stock.adobe.com)

Cloud Computing stellt aber auch eigene Bedingungen an den Datenschutz und den Geschäftsverkehr, die vornehmlich in der europäischen Datenschutzgrundverordnung (DSGVO) geregelt sind, wie Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht bei Noerr LLP, im Vorfeld der CLOUD 2019 erläutert. Teilnehmer der Konferenz dürfen sich freuen auf eine spannende Keynote und einen Roundtable rund um das Thema Cloud-Compliance ein Jahr nach Inkrafttreten der DSGVO.

► Mehr Infos zur Cloud 2019 – Technology & Services Conference

CloudComputing-Insider: Die DSGVO gilt jetzt schon mehr als ein Jahr. Und noch immer ist die technische Sicherstellung des Datenschutzes z.B. bei der Datenübertragung oder durch interne Schatten-IT, die ebenfalls datenschutzrechtliche Lücken verursachen kann, schwierig. Unternehmen klagen aber auch über den administrativen Aufwand. Wo liegen die größten Probleme auf rechtlicher Seite?

Keynote-Speaker auf der Cloud 2019 Technology & Services Conference: Rechtsanwalt Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht.
Keynote-Speaker auf der Cloud 2019 Technology & Services Conference: Rechtsanwalt Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht.
(Bild: Peter Bräutigam)

Prof. Dr. Peter Bräutigam: Größere Probleme haben die Unternehmen noch bei der Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der Pflicht ein Verarbeitungsverzeichnis zu führen (Art. 30 DSGVO). Die „Accountability“ des jeweiligen Unternehmens ist für die Datenschutzbehörden wichtig. Verantwortliche und Auftragsverarbeiter müssen nachweisen können, dass ihre gesamten Verarbeitungsprozesse der DSGVO entsprechen. Aus Art. 5 Abs. 2 DSGVO ergibt sich dabei – untechnisch gesprochen - eine „Beweislastumkehr“ für die Unternehmen gegenüber der zuständigen Datenschutzbehörde. Sie müssen für eine saubere und lückenlose Dokumentation sorgen, damit sie ihre Compliance gegenüber den Behörden nachweisen können. Als Unternehmen muss man etwa der genau darlegen, auf welche Rechtsgrundlage man die jeweilige Datenverarbeitung stützt. Gerade im Falle berechtigter Interessen gem. Art. 6 Abs. 1 S. 1 lit f) DSGVO kann das einen größeren Argumentationsaufwand bedeuten.
Bezüglich des Verarbeitungsverzeichnisses, stellen oft ihre „Legacy-IT-Systeme“, also veraltete Systemlandschaften die Unternehmen vor große Herausforderungen. Wie soll man lückenlos seine Datenverarbeitungsprozesse dokumentieren, wenn man gar keinen Überblick hat, auf welchen Systemen im Unternehmen die Daten gespeichert sind?
Als weiteres Praxisproblem stellt die 72-Stunden-Meldepflicht bei Verletzungen des Datenschutzes die Unternehmen vor Probleme. Es fällt auf, dass viele Unternehmen keinen Notfallplan für den Ernstfall haben. Ich kann jedem Unternehmen nur empfehlen, das entsprechende Vorgehen für solche Fälle gut geplant und bestenfalls auch getestet zu haben, um für den Ernstfall gewappnet zu sein.

Ziel der DSGVO ist die Vereinheitlichung der länderübergreifenden datenschutzrechtlichen Regeln. Trügt der Schein, dass das tatsächlich gelungen ist, oder ist der mit der DSGVO verbundene Aufwand am Ende doch eher größer als der Nutzen?

Prof. Dr. Bräutigam: Die DSGVO verfolgt einen vollharmonisierenden Ansatz, so dass dadurch ein „Level Playing-Field“ geschaffen der gleiche Maßstab für alle gelten soll. Trotzdem muss man realistisch bleiben. In Bezug auf Auslegung und Rechtsdurchsetzung sind wir leider noch weit von einem einheitlichen Niveau der einzelnen Mitgliedsstaaten entfernt. Man denke nur an die unterschiedliche Höhe der Bußgelder, die von den einzelnen Datenschutzbehörden verhängt werden. Dennoch hat die DSGVO das Potenzial, den Standard anzugleichen. Die DSGVO hat es schon jetzt geschafft, die „Awareness“ aller Beteiligten in Bezug auf Datenverarbeitungsprozesse zu steigern. Sie zwingt die Unternehmen dazu, sich die eigenen Prozesse wirklich zu vergegenwärtigen. Deshalb würde ich schon sagen, dass der Nutzen den Aufwand wert ist.

Es sind zahlreiche, datenschutzrechtlich saubere Muster für den unternehmerischen Schriftverkehr, u.a. Vertragspapiere im Umlauf. Auch Verträge, die nach der DSGVO für Auftragsdatenverarbeiter und deren Kunden datenschutzkonform formuliert sein müssen. Inwieweit reichen diese Musterverträge eigentlich aus? Und wie problematisch ist es, das von der DSGVO geforderte Verfahrensverzeichnis zu führen?

Prof. Dr. Bräutigam: Das schon oben angesprochene Verarbeitungsverzeichnis gem. Art. 30 DSGVO stellt durchaus ein großes Problem für Unternehmen dar, da es sehr aufwändig ist immer auf dem aktuellen Stand zu bleiben. Die normierten Ausnahmetatbestände sind so formuliert, dass kaum je ein Unternehmen darunter zu fassen sein wird und am Ende die Dokumentationspflicht wohl jeden trifft.
Hinsichtlich der Musterverträge stellt Art. 28 DSGVO für die Vertragsgestaltung eine solide Grundlage dar, die aber von den Behörden auf jeden Fall auch so erwartet wird. Trotzdem bedürfen die Auftragsverarbeitungsverträge immer noch einer individuellen Anpassung. Das ist nicht anders möglich, da ein Auftragsverarbeitungsvertrag die Bandbreite an technischen und operativen Details der Datenverarbeitung im jeweiligen Unternehmen abbilden muss. In der Praxis liegt damit der Fokus auf der individuellen Vertragsanpassung, eine „One-Size-fits-All-Lösung“ gibt es nicht.
Interessant wird in Zukunft die Gestaltung von Verträgen bei gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO. Anders als Art. 28 DSGVO beinhaltet Art. 26 DSGVO nämlich keinerlei Musterformulierungen, weshalb der Bedarf an derartigen Formulierungen sehr groß ist. Hier besteht noch eine erhebliche Rechtsunsicherheit, gleichzeitig ergeben sich dadurch aber auch große Gestaltungsmöglichkeiten.

► Mehr Infos zur Cloud 2019 – Technology & Services Conference

 

(ID:46085804)

Über den Autor

 Elke Witmer-Goßner

Elke Witmer-Goßner

Redakteurin, CloudComputing-Insider.de