Unternehmen müssen spätestens jetzt handeln

Safe-Harbor-Schonfrist vorbei - erste Bußgeldverfahren

| Redakteur: Rainer Graefen

Datenübermittler, aber auch Dienstleistungskunden müssen handeln

Wie kommen Cloud-Kunden und Provider aus diesem Dilemma?
Wie kommen Cloud-Kunden und Provider aus diesem Dilemma? (Bild: Timo_Klostermeier/pixelio.de)

Was Cloud-Anbieter und -Kunden jetzt beachten sollten, wer betroffen ist und welche Möglichkeiten bestehen, hat Eurocloud Deutschalnd in einem Beitrag zusammengefasst. Hier ein Auszug:

Betroffen sind zum einen Unternehmen, die personenbezogene Daten auf Basis von Safe Harbor aus der EU in die USA übermitteln. Das können zum Beispiel europäische Tochtergesellschaften von US-Unternehmen sein, deren Personalmanagement im Mutterkonzern erfolgt. Oder deutsche Cloud Service Provider, die für ihr Angebot ein Rechenzentrum in den USA nutzen, ihre Softwarepflege/-entwicklung oder den Support dort erledigen lassen.

Zum anderen sind Unternehmen betroffen, die Dienstleistungen nutzen, bei denen der Anbieter oder ein Subunternehmer in den USA sitzt. Dabei ist es egal, ob Daten aktiv in die USA übertragen werden oder aus den USA darauf zugegriffen werden kann.

Um zu reagieren, bleiben den Unternehmen drei Möglichkeiten:

  • 1. Sie holen sich für den Datentransfer in die USA die Einwilligung aller Betroffenen. Das ist aber langwierig und unwahrscheinlich, dass jeder zustimmt. Entscheidend ist allerdings auch, dass die Einwilligung jederzeit widerrufen werden kann. Damit besteht keine Planungssicherheit.
  • 2. Sie stützen den Datentransfer auf „verbindliche Unternehmensregelungen“ (Binding Corporate Rules – BCR) oder ihr Dienstleister stützt die Weiterleitung in seinem Unternehmensverbund auf so genannte Processor Binding Corporate Rules (PBCR). BCR und PBCR kommen grundsätzlich nur beim transnationalen Austausch von Daten innerhalb eines Unternehmensverbunds zum Einsatz und die Entwicklung eines entsprechenden Maßnahmenkatalogs, die Genehmigung auf europäischer und jeweils nationaler Ebene sowie die anschließende Umsetzung in allen beteiligten Unternehmen können sich über Jahre hinziehen. Hinzu kommt, dass die deutschen Datenschutzaufsichtsbehörden einstweilen die benötigten Genehmigungen nicht erteilen.
  • 3. Die dritte Möglichkeit sind die so genannten EU-Standardverträge zur Datenübermittlung. Der Abschluss dieser Vereinbarung zwischen dem datenüber-mittelnden und dem -empfangenden Unternehmen schafft ein datenschutzrechtlich angemessenes Schutzniveau bei dem Datenempfänger. Die Vertragsklauseln sind relativ schnell und einfach implementierbar.

EU-Standardverträge

Der Vorteil: Die Unternehmen müssen keine aufwändige Prüfung vornehmen, sondern sind darauf beschränkt, die Freifelder mit sachlichen Beschreibungen der Zusammenarbeit auszufüllen. Obwohl die EU-Standardverträge mittlerweile eine Unterauftragnehmer-Klausel enthalten, ist zu beachten: Sitzt der Auftragnehmer in der EU, der Unterauftragnehmer aber in den USA, muss der EU-Standardvertrag unmittelbar zwischen Auftraggeber und Unterauftragnehmer geschlossen werden.

Wurden die vorgegebenen Standardtexte unverändert übernommen, mussten die EU-Standardverträge nach deutscher Praxis bislang nicht den Datenschutzaufsichtsbehörden zur Genehmigung vorgelegt werden. Zu dieser Aufsichtspraxis sind die Datenschutzaufsichtsbehörden nach deren Verständnis nicht gesetzlich verpflichtet. Sie halten nach jüngsten Informationen aber –jedenfalls einstweilen –an dieser Praxis fest.

Nach ersten Stellungnahmen halten die Datenschutzbehörden aber jeglichen Transfer von personenbezogenen Daten in die USA, auch auf Basis von EU-Standardverträgen oder (P)BCR, für rechtlich problematisch. Daher wollen sie diese in Einzelfällen prüfen und haben auch die Möglichkeit, die Übermittlung (im Einzelfall) auszusetzen.

Mehr Hilfe

  • Hilfreich ist zudem das Trusted Cloud Datenschutzprofil (TCDP), das als Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten zum Einsatz kommt und datenschutzrechtliche Anforderungen auf der Seite des Cloud-Anbieters beschreibt. Das TCDP wurde unter Beteiligung von EuroCloud vom Kompetenzzentrum Trusted Cloud im Auftrag des Bundesministeriums für Wirtschaft und Energie entwickelt.
  • Grundlegende Informationen zum Datenschutz bei Cloud Services gibt es außerdem im „Leitfaden – Datenschutz und Cloud Computing“, der unter Leitung von Dr. Jens Eckhardt erstellt wurde.

Inhalt des Artikels:

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43903565 / Compliance)