ISX 2021 Security Conference Wichtige Datenschutz-Themen für 2021

Redakteur: Peter Schmitz

Das Thema Datenschutz lässt die deutschen Unternehmen schon seit Jahren nicht mehr los und spätestens seit dem Schrems-2-Urteil des EuGH gehört zu den Problemfeldern auch der Datenaustausch mit Drittstaaten. Was die aktuelle Datenschutzlage für Unternehmen bedeutet, erläutert ISX-Keynote-Speaker Dr. Marc Maisch, Fachanwalt für IT-Recht, im Gespräch mit Security-Insider.

Firma zum Thema

Die neuen Standardvertragsklauseln (SCC) haben aus Unternehmersicht nicht nur Vorteile. Sie verpflichten Unternehmen in Zukunft unter anderem zur Datentransfer-Folgenabschätzung.
Die neuen Standardvertragsklauseln (SCC) haben aus Unternehmersicht nicht nur Vorteile. Sie verpflichten Unternehmen in Zukunft unter anderem zur Datentransfer-Folgenabschätzung.
(© peterschreiber.media - stock.adobe.com)

Dr. Marc Maisch ist Rechtsanwalt, Fachanwalt für IT-Recht, Datenschutzbeauftragter (TÜV) und Gastdozent für Cyber Security & Compliance an der HWZ Hochschule für Wirtschaft Zürich.
Dr. Marc Maisch ist Rechtsanwalt, Fachanwalt für IT-Recht, Datenschutzbeauftragter (TÜV) und Gastdozent für Cyber Security & Compliance an der HWZ Hochschule für Wirtschaft Zürich.
(Bild: M. Maisch)

Security-Insider: Die EU-Kommission hat neue Standardvertragsklauseln (SCC) veröffentlicht. Wieso sind neue SCC notwendig geworden und was müssen Unternehmen jetzt tun?

Dr. Maisch: Bei den SCC handelt es sich um Musterverträge, die eine geeignete Garantie nach Art. 46 DSGVO darstellen sollen, wenn personenbezogene Daten in Drittstaaten, z.B. die USA, übermittelt werden. Eine „geeignete Garantie“ ist die rechtliche Erlaubnis, Daten in ein (aus EU-Sicht) unsicheres Land zu übermitteln. Die „alten“ Standard­vertrags­klauseln stammten aus der Zeit, bevor die Datenschutz­grundverordnung in Kraft getreten ist. Auch das so bedeutende Schrems II-Urteil des EuGH vom 16.07.2020 war natürlich auch nicht berücksichtigt. Aus diesem Grund wurden die neuen SCC-Klauseln erstellt.

Als Unternehmer sollte man neue Verträge nur nach den neuen SCC abschließen bzw. danach fragen. Diejenigen Verträge, die nach den alten SCC abgeschlossen wurden, gelten bis einschließlich 27.12.2022. Bis dahin sollten diejenigen Partner, die im EU-Ausland ihren Sitz haben und mit welchen ein SCC abgeschlossen wurde, kontaktiert werden, um die Verträge zu erneuern. Bis zum 28.12.2022 sollten alle bislang implementierten „alten“ SCC durch die neuen „Cross-Border SCC“ ersetzt werden.

► Mehr Infos zur ISX 2021 IT-Security Conference

 

 

Security-Insider: Bringen die neuen Standardvertragsklauseln jetzt endlich Rechtssicherheit für deutsche Unternehmen?

Dr. Maisch: Wenn es nach dem EU-Kommissar für Justiz, Didier Reynders, geht, wurden mit den neuen Standardvertragsklauseln benutzerfreundliche Instrumente entwickelt, auf die sich Unternehmen „voll und ganz verlassen können“. Die neuen Klauseln helfen zwar insbesondere kleinen und mittelständischen Unternehmen, die Anforderungen an eine sichere Datenübermittlung zu erfüllen. Man darf jedoch nicht außer Acht lassen, dass es nicht ausreichend ist, die SCC lediglich zu unterschreiben. Denn erstens müssen Unternehmen darüber hinaus Einzelfallprüfungen vornehmen, um eine Risikobewertung zu treffen. Und zweitens nehmen die neuen SCCs den Unternehmen nicht die Pflicht ab, im Fall von Drittstaatenübermittlungen in Drittstaaten geeignete Schutzmaßnahmen, z.B. Pseudonymisierung oder Verschlüsselung, zu evaluieren und zu treffen, wie der Europäische Datenschutzausschuss mit seinen Empfehlungen bekräftigt hat (Lesenswert: Recommendations 01/2020, Adopted 18 June 2021)

Security-Insider: Haben die neuen Standardvertragsklauseln auch neue Pflichten für deutsche Unternehmen „im Gepäck“?

Dr. Maisch: Die neuen SCC haben aus Unternehmersicht nicht nur Vorteile. Sie verpflichten Unternehmen in Zukunft unter anderem zur Datentransfer-Folgenabschätzung, also dazu, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen. Diese Datentransfer-Folgenabschätzung muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.

Es wird eine Einzelfallprüfung des Datenschutzniveaus (sog. Transfer Risk Assessment) nötig, bei der der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden. Diese kann z.B. mithilfe eines Fragenkatalogs an den Verarbeiter im Drittstaat stattfinden. Dabei obliegt es dem Verantwortlichen zu überprüfen, ob der Vertragspartner alle notwendigen Maßnahmen ergriffen hat, um ein ausreichendes Schutzniveau zu garantieren.

Neu ist außerdem die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen und zum Informieren der zuständigen Aufsichtsbehörde über die Anfragen. Derartige Selbstverpflichtungen, die man bereits aus Amazon Web Service Verträgen kennt, wird man nun im Zusammenhang mit den neuen SCC häufiger lesen.

Security-Insider: Ende Mai hat ja der Bundesrat dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) zugestimmt. Das TTDSG soll mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt schaffen, wenn es am 1. Dezember in Kraft tritt. Was kommt da denn jetzt schon wieder auf die deutsche Wirtschaft zu?

Dr. Maisch: Der Gesetzgeber hat mit dem TTDSG, das grundsätzlich viele Parallelen zu der alten, aber immer noch gültigen e-Privacy-Richtlinie hat, diese endlich in nationales Recht umgesetzt und einen neuen Regelungsrahmen für den Einsatz von Cookies und Tracking geschaffen, der einen wirksamen Schutz der Privatsphäre gewährleisten soll. Es soll die Rechtsunsicherheit bei Verbrauchern, Diensteanbietern und Aufsichtsbehörden auflösen, die aus dem Durcheinander von Regelungen in der Datenschutzgrundverordnung, dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) entstanden ist.

Wer eine Website oder App betreibt, muss künftig die datenschutzrechtlichen Vorgaben des TTDSG beachten. Dazu sind auch Unternehmen verpflichtet, die keine Niederlassung in Deutschland haben, wenn von ihnen Dienstleistungen in Deutschland erbracht werden.

In § 19 Abs. 4 TTDSG stellt der Gesetzgeber klar, dass technische und organisatorische Maßnahmen gegen Störungen getroffen werden müssen, die den Stand der Technik berücksichtigen müssen, wobei anerkannte Verschlüsselungsverfahren genannt werden. Es müssen insofern zusätzlich geeignete Maßnahmen im Hinblick auf die Informationssicherheit implementiert werden. In diesem Zusammenhang betont der Gesetzgeber wiederholt das Prinzip der Datenminimierung; soweit es technisch zumutbar ist, soll die Nutzung von Telemedien und ihre Bezahlung anonym oder unter einem Pseudonym ermöglicht werden. Händler werden daher prüfen müssen, ob es nötig ist, Bestellungen auch über ein Gastkonto zu ermöglichen. Zudem findet sich eine Neuerung in den Regelungen zu § 25 TTDSG: Danach müssen Webseiten-Betreiber eine aktive und informierte Einwilligung von jedem Besucher einholen, wenn sie auf ihrer Webseite Cookies oder vergleichbare Technologien zum Speichern oder Abrufen auf den Endgeräten verwenden. Cookie-Banner sind also (leider) gekommen, um zu bleiben und das Datenschutzrecht wird weiter viele Neuerungen und Überraschungen für deutsche Unternehmen zu bieten haben.

► Mehr Infos zur ISX 2021 IT-Security Conference

 

 

(ID:47622336)