Zu Hauptinhalt springen
Our website is also available in English - would you like to switch to this version?Switch to the English version
MADE & HOSTED IN GERMANY
ISO 27001 ZERTIFIZIERT
LEITFADEN Vor diesen Herausforderungen stehen Unternehmen 2024
Jetzt PDF herunterladen
wichtigste-fragen-zur-DSGVO

Die wichtigsten Fragen zur DSGVO beantwortet durch Bernd Suchomski

6 Min. Lesedauer  •  21. August 2017
Auch wenn es erst am 25.05.2018 so weit ist, gilt es schon heute die Vorkehrungen für ein großes Ereignis zu treffen: Genau an diesem Tag werden die Regelungen zur EU-Datenschutzgrundverordnung zur Anwendung kommen. Inzwischen ist vermehrt von diesen neuen Regelungen zu hören, dennoch sind die Konsequenzen hierdurch nicht in allen Bereichen direkt ersichtlich.

Da auch der Bereich Cloud Computing und ebenso unsere Nutzer von den Änderungen betroffen sind, haben wir die wichtigsten Fragen aus der Sicht eines Cloud-Anwenders an Herrn Suchomski, Anwalt im Bereich IT- und Datenschutzrecht (http://www.suchomski.eu/), gestellt und folgende Antworten erhalten:

Stackfield: Hallo Herr Suchomski! Könnten Sie sich bitte kurz vorstellen?

Bernd Suchomski: Gerne. Ich heiße Bernd Suchomski und bin Unternehmensjurist, Rechtsanwalt sowie zertifizierter Datenschutzbeauftragter. Ich berate seit einigen Jahren auf den Gebieten des IT- und Datenschutzrechts und publiziere dazu in Fachzeitschriften und Büchern. Schwerpunkte meiner Arbeit sind Open Source Software und Datenschutz im Bereich Finanzdienstleistungen. Ich habe Jura studiert an der Universität Augsburg und der University of North Carolina at Chapel Hill in den USA. Ausgezeichnet wurde ich u.a. mit dem Förderpreis der DSRI, der Deutschen Stiftung für Recht und Informatik.

Stackfield: Aus der Sicht eines Anwenders von Cloud-Plattformen, welche sind die signifikantesten Unterschiede zwischen dem Bundesdatenschutzgesetz und der EU-Datenschutz-Grundverordnung?

Bernd Suchomski: Ich würde die Unterschiede in 3 Kategorien einordnen:

Erstens – was Ihnen jeder IT-Jurist und Datenschutzbeauftragter sagen wird: der Bußgeldrahmen, zweitens – die allgemeinen Voraussetzungen für die Verarbeitung personenbezogener Daten und – drittens – die neuen Rechtsinstrumente bei der Verarbeitung personenbezogener Daten.

Konkret:

Der Bußgeldrahmen wurde in der Datenschutzgrundverordnung – der DSGVO – signifikant erhöht – auf bis zu 20 Mio. Euro oder 4% des Jahresumsatzes eines Unternehmens – je nachdem welcher Betrag höher ist. Eine Berliner Kollegin meinte, dass Datenschutz das neue Kartellrecht sei. Was den Bußgeldrahmen betrifft, ist da sicherlich was dran. Die Folge für datenverarbeitende Unternehmen ist: Es steht mehr auf dem Spiel.

Die allgemeinen Voraussetzungen für die Datenverarbeitung sind nun genereller formuliert, im Wesentlichen in den Artikeln 5 und 6 der DSGVO. Damit gelten diese Voraussetzungen aber auch für Bereiche, die früher im deutschen Recht detaillierter geregelt waren, z.B. für Auskunfteien oder Scoring-Anbieter. Wir müssen beobachten, wie die Behörden und Gerichte diese Regeln in Zukunft anwenden.

Schließlich gibt es aber auch ganz neue Instrumente des Datenschutzes, z.B. erhöhte Dokumentations- und Prüfpflichten – Stichwort: Privacy Impact Assessment1 – und weitere Rechte der Betroffenen – Stichwort: Recht auf Datenportabilität2 – oder die gemeinsame Verantwortlichkeit von Unternehmen bei der Datenverarbeitung – dem Joint Controllership3. Neu angestoßen wurden auch die Zertifizierungsmaßnahmen für die Datenschutz-Compliance.

Stackfield: Welche zusätzlichen Rechte erhalten Betroffene durch die neuen Regelungen?

Bernd Suchomski: Neu und wichtig dürfte das „Recht auf Datenportabilität“ sein in Art. 20 DSGVO, d.h. der Betroffene hat als Anwender das Recht, seine Daten in einem gängigen, maschinenlesbaren Dateiformat vom datenverarbeitenden Unternehmen zu erhalten, um diese zu einem anderen Anbieter zu übertragen.

Diesem Recht dürfte vor allem eine wirtschaftliche Bedeutung zukommen, die einen leichteren Wechsel zwischen den Anbietern von Datenverarbeitenden Tools und Services ermöglichen soll. Die Anbieter haben damit zwei Herausforderungen bzw. Chancen: Erstens, die Schaffung interessanter Services – um die Kundschaft zu halten – und zweitens, die Entwicklung von Schnittstellen für den Import aller gängigen Datenformaten, um Kunden aufzunehmen, die ihren Datenbestand vom Alt-Anbieter mitbringen.

Weiterhin gibt es natürlich noch die Rechte auf Information, Löschung, Berichtigung der Daten und der Einschränkung der Datenverarbeitung – die im Kern bereits unter dem BDSG existieren.

Stackfield: Kommen hierdurch auch neue Pflichten auf die verantwortliche Stelle zu?

Bernd Suchomski: Die größten Änderungen dürften sich für den Unternehmer im Bereich der Prüfung und Dokumentation seiner Prozesse zur Datenverarbeitung ergeben. Der Unternehmer muss insbesondere das Privacy Impact Assessment – auch Datenschutzfolgenabschätzung genannt – durchführen und dokumentieren. Darin sind bestimmte Risken und Nachteile der Datenverarbeitung für die Betroffenen – z.B. Mitarbeiter oder Verbraucher – abzuwägen ggü. deren Nutzen für das Unternehmen. Der Unternehmer muss die Datenverarbeitung dort ändern, wo der Zweck der Datenverarbeitung wertungsmäßig hinter das Persönlichkeitsrecht des Betroffenen fallen könnte. Er sollte die Datenverarbeitung dann – wenn überhaupt – nur mit Softwarelösungen und Prozessen umsetzen werden, die das Interesse des Betroffen ausreichend berücksichtigen, z.B. durch die datenschutzfreundliche Auswahl und Voreinstellung von Software. Augenmerk dürfte hier auf Zugriffs- und Berechtigungskonzepte liegen, sowie auf Privacy by Default und Privacy by Design der Software gemäß Art. 25 DSGVO.

Stackfield: Nehmen wir an, dass ich derzeit bereits ein Cloud-Tool für mein Unternehmen nutze - auf was muss ich achten, damit ich dieses weiterhin nutzen kann?

Bernd Suchomski: Ich sage, prüfe wer sich bindet.

Grundsätzlich ist die Einführung der DSGVO – gerade mit dem neuen Bußgeldrahmen – ein Anreiz für den Unternehmer, seinen betrieblichen Datenschutz generell auf die Probe zu stellen. Wer schon das BDSG erfüllt, sollte es leichter haben, sich auf die DSGVO einzustellen. In diesem Fall dürfte primär das Privacy Impact Assessment durchzuführen sein und – je nach Ergebnis – müssen Folgemaßnahmen ergriffen werden.

Wer Nachholbedarf beim Datenschutz hat aber nicht weiß wie und wo er anfangen soll, der dürfte mit einer Gap-Analyse gut beraten sein, d.h. der technischen und juristischen Prüfung inwieweit der Ist-Zustand des Unternehmens vom Soll-Zustand der DSGVO-Compliance4 abweicht. Als Ausgangspunkt für eine solche Analyse dürften die Verzeichnisse aller Datenverarbeitungsprozesse sein, die man ohnehin schon nach § 4e BDSG anfertigen muss. Diese Prozesse sollten nach Wichtigkeit (für das Unternehmen und die Betroffenen) zunächst priorisiert und dann analysiert werden.

Stackfield: Wie sollte ich reagieren, wenn mein genutztes Tool nicht den Anforderungen an den Datenschutz entspricht?

Bernd Suchomski: Wenn ein Mandant schon jetzt erkennt, dass sein Tool nicht den Anforderungen der DSGVO entspricht, würde ich 2 Dinge empfehlen:

Erstens – wenn noch genug Zeit ist, sollte der hinter dem Tool liegende Prozess zunächst In-House datenschutzrechtlich durchdacht werden. Möglicherweise braucht man den Prozess und seine Beteiligten nicht mehr oder nicht mehr in der bisherigen Form.

Zweitens – das Tool sollte auf „Phase-Out“ gesetzt werden, d.h. ein neues Tool sollte als Ersatz ausgeschrieben und vom Einkauf gesucht werden, das den DSGVO-Datenschutz erfüllen kann. Ich empfehle, die DSGVO-Compliance als Anforderung in den RfP5 aufzunehmen. Der Vorteil daran ist, dass man sich von potentiellen Anbietern auch im Rahmen von best-practise-Strategien beraten lassen kann, wie die Auswirkungen der DSGVO auf das Unternehmen minimiert oder evtl. sogar umgangen werden können, z.B. durch starke Verschlüsselungskonzepte und Anonymisierung von Daten. Hierbei kann man evtl. den ersten Schritt nachholen oder sogar verfeinern.

Stackfield: Ist durch die Änderungen eine Nutzung von Anbietern außerhalb der EU nicht mehr zulässig?

Bernd Suchomski: Grundsätzlich kann auch weiterhin auf IT-Dienstleister aus dem EU-Ausland zurückgegriffen werden bei der Verarbeitung personenbezogener Daten gemäß den Artikel 44 ff. DSGVO. Auf den Bezieher kommen allerdings weiterhin höhere Anforderungen zu, wenn der Dienstleister auch außerhalb der EWG und sicherer Drittstaaten wie z.B. Neuseeland sitzt. In diesem Fall sind weitere Verträge mit dem Dienstleister zu schließen, wie z.B. EC Model Clauses oder Binding Corporate Rules. Es kommt also zu einem höheren Verwaltungsaufwand.

Stackfield: Welche rechtlichen Folgen kann die Nichteinhaltung der Datenschutzrichtlinien für einen Anwender haben?

Bernd Suchomski: Das kommt darauf an, welche Vorgaben verletzt wurden – und wie sie verletzt wurden. Folgen eines Verstoßen können insbesondere sein: Auskunftsersuchen, Ermittlungen, Anordnungen und Bußgelder von Behörden sowie Schadensersatzforderungen der von Nichteinhaltung Betroffenen.

Bußgelder sind grundsätzlich im angemessenen Umfang zum datenschutzrechtlichen „Impact“ von den Behörden zu verhängen, d.h. die Behörden müssen den möglichen Bußgeldrahmen von 20 Mio. Euro bei leichten Verstößen nicht ausschöpfen. Jedoch ist der Bußgeldrahmen eben signifikant höher als unter dem Bundesdatenschutzgesetz mit 300.000 Euro. Zum „Impact“ d.h. zu den datenschutzrechtlichen Auswirkungen, die zu berücksichtigen sind, gehören z.B. die Dauer des Verstoßes und die Sensibilität der betroffenen Daten. Wie hoch die hierfür verhängten Bußgelder EU-weit letztendlich ausfallen muss abgewartet werden.

Stackfield: Kann die Nutzung eines Cloud-Tools außerordentlich / vorzeitig gekündigt werden, wenn die Anforderungen an den Datenschutz nicht erfüllt werden?

Bernd Suchomski: Hier ist der Vertrag mit dem Cloud-Provider ausschlaggebend, insbesondere nach welchem nationalen Recht er sich richtet. Handelt es sich um einen auf Dauer angelegten Vertrag – manchmal umgangssprachlich auch „Cloud-Miete“ oder „Subscription“ – und richtet der sich nach deutschem Recht, kommt eine Kündigung aus besonderem Grund in Betracht, wenn die Vertragsfortsetzung oder Vertragsänderung für den Benutzer unzumutbar geworden ist. Inwieweit dies einschlägig ist, könnte sich aus der Gap-Analyse bzw. dem Privacy Impact Assessment ergeben und als belastbares Argument dienen – zunächst bei Verhandlungen mit dem Anbieter – und nötigenfalls als Sachvortrag in einem gerichtlichen Streit, zu dem es hoffentlich nicht kommt.

Stackfield: Worauf sollte ich achten, wenn ich gerade ein neues Cloud-Tool suche und auch in Zukunft mit diesem gemäß der Anforderungen an den Datenschutz arbeiten möchte?

Bernd Suchomski: Ich achte vor allem auf eine detaillierte und transparente Prozessbeschreibung des Tools. Die Komplexität des Datenschutzes führt oftmals zu sprachlichen Mehrdeutigkeit in der Leistungsbeschreibung.

Gute Anbieter können hier punkten, indem sie die Datenschutzanforderungen Ihres Kunden „aus seiner Brille“ sehen und präzise wiedergeben können. Heute dürfte es Standard sein, Verträge über die Auftragsdatenverarbeitung gleich dem Kunden anzubieten. Morgen könnte ein Service damit punkten, je mehr er die Datenschutzrechtliche Arbeit des Kunden auffängt, z.B. durch Infos zu Privacy-by-Design und Privacy-by-Default – ggf. abgerundet mit einem Datenschutzzertifikat nach der DSGVO. Datenschutz wird mit der DSGVO zum EU-weiten Einkaufskriterium für Tools – und damit auch zum Quality-Gate, also einem Qualitätsmaßstab für Tool-Anbieter.

Klicke hier, um zur Checkliste zur Nutzung von Cloud-Tools zu gehen!

1 Anm. Art. 35 DSGVO - Datenschutzfolgenabschätzung
2 Anm. Art. 20 DSGVO - Datenübertragbarkeit
3 Anm. Art. 26 DSGVO - Für die Verarbeitung gemeinsam Verantwortliche
4 Anm. „gap“ von englisch: Lücke
5 Anm. RfP = Request for Proposal, Ausschreibung

Diesen Artikel bewerten?
25 Bewertungen / 4.9 Sterne
LEITFADENVor diesen Herausforderungen stehen Unternehmen 2024
Jetzt PDF herunterladen
Fast fertig...Bitte klicke auf den Link in der E-Mail, um Deine E-Mail Adresse und die Anmeldung zum Newsletter zu bestätigen.
Verpasse keinen Beitrag mehr.
Anmelden
Cristian Mudure
Über den Autor:
Cristian Mudure ist der Gründer und CEO von Stackfield. Er liebt digitale Geschäftsmodelle und verbringt seine Freizeit gerne auf dem Tennisplatz.
Kommentarbereich anzeigen (powered by Disqus)