Datenschutz bleibt Thema – Aussitzen ist keine Lösung

Der Schutz personenbezogener Daten war schon immer Thema, wurde jedoch in der Vergangenheit gerne vernachlässigt. Als zu Beginn der Pandemie im vergangenen Jahr schnelles Handeln gefragt war, um mit Hilfe von digitalen Kommunikationslösungen den Kontakt zu Kunden, Kollegen und Geschäftspartnern aufrecht zu erhalten, wurde der Datenschutz oftmals zur Nebensache erklärt. Das Aus des EU-US Datenschutzabkommens Privacy Shield im Juli 2020 sorgte zwar für ein wenig Unruhe und veranlasste etliche amerikanische Software-Anbieter zu Verlagerungen ihrer Daten in europäische Rechenzentren, erledigt ist das Thema damit jedoch noch lange nicht.

Wie ist der aktuelle Stand der Dinge, was gilt es zu beachten und was ist zu tun? Dozent für Informationssicherheit und Datenschutzbeauftragter der edudip GmbH Günter Jachtner von CE21 klärt auf.

Der Sommer naht, aber das Eis ist dünn!

Wo ist hier der Zusammenhang? Der ergibt sich aus der Blickrichtung der Verarbeitung personenbezogener Daten zur Übermittlung an Drittstaaten. Hauptsächlich im Fokus liegen die USA, aber auch das Vereinigte Königreich.

Viele Firmen (Großkonzerne, aber auch KMU) bewegen sich in Sachen Datenschutz deshalb auf sehr dünnem Eis. Dies ist eine direkte Folge des EuGH Urteils vom 16.07.2020 (AZ: C-311/18) zum sogenannten EU-US Privacy Shield. Dieser „Datenschutzschild“ wurde vom Gericht schlicht für ungültig erklärt. Was nun? Ein Bezug zu den noch gültigen EU Standardvertragsklauseln (2010/87/EU) neu: Standarddatenschutzklauseln wird nun schnell hergestellt. Eine Nutzung ist – vereinfacht gesagt – möglich, so die Europäische Kommission, wenn eine Prüfung vom Datenabsender hinsichtlich des beim Empfänger vorhandenen Datenschutzniveaus erfolgt. Das ist in der Praxis schwieriger als es sich anhört und bedarf eines profunden Wissens der gesamten Materie. Richtig „spannend“ wird es allerdings erst im Laufe des Jahres, wenn die neuen überarbeiten Standarddatenschutzklauseln finalisiert werden.

Nun ist es leider nicht damit getan diese „einfach“ einzubinden. Konzerne haben dafür einen Stab von Beschäftigten, die sich darum kümmern. Worum kümmern? Hier ein ganz kleiner Ausblick:

Es handelt sich um Vorgaben zur Garantie Gewährleistung zur Erfüllung des erforderlichen Datenschutzniveaus im Drittland.

Auf der Grundlage eines Durchführungsbeschlusses vom 12. November 2020 der Kommission für neue Standarddatenschutzklauseln (SDK) zum Datentransfer an Drittstaaten liegt ein Entwurf vor. Die finale Fassung war für Mitte April 2021 geplant, es wird aber vermutlich eher Herbst 2021, und selbst hier bleibt ein Fragezeichen.

Dies bedeutet, dass Neuverträge mit den dann erscheinenden SDK versehen werden müssen, beziehungsweise sich daran ausrichten. Die neuen SDK werden aus 3 Abschnitten bestehen. Im Abschnitt 1 befinden sich die Allgemeinen Bestimmungen (bestehend aus 6 Klauseln), der Abschnitt 2 beinhaltet die Pflichten der Vertragsparteien (bestehend aus 9 Klauseln) hier bezieht sich die Kommission auf das Schrems II-Urteil (es wird wohl quasi eine „Mini-DSGVO“ werden) und im Abschnitt 3 werden die Schlussbestimmungen beschrieben (bestehend aus drei weiteren Klauseln zu  anwendbarem Recht und Kündigungsmöglichkeiten). Dazu kommen noch Annex-1 bis Annex-3 in denen die Beschreibungen der Parteien und die DV (Beschreibung der Zwecke), die TOM und die Unterauftragsverarbeiter enthalten sind.

 Allein aus dieser Auflistung ist erkenntlich, dass sehr viel Arbeit auf alle Parteien zukommt. In diesem komplexen Umfeld den Überblick zu behalten und „alles richtig“ zu machen ist ein äußerst anspruchsvolles Vorhaben.

Für Altverträge gibt es, nach Finalisierung, eine sog. „Sunset Period“ von einem Jahr, Zeit in der alle Verträge angepasst werden müssen. Neue Verträge müssen unverzüglich (Stand 05/2021) ohne weitere Vorlaufzeiten angepasst werden.

So genug der ernüchternden Worte. Was ist konkret zu tun?

Entweder Sie arbeiten mit einem Experten zusammen, zum Beispiel der CE21 GmbH, oder Sie ignorieren die Vorgaben und riskieren damit ein größeres Bußgeldverfahren.

 Übrigens: Bei einem Einsatz von Kommunikationssoftware/Plattformen können Sie diese Drittlandproblematik umgehen, wenn Sie erst gar nicht mit einem Softwareunternehmen aus einem Drittland zusammenarbeiten. Diese Optionen gibt es etwa bei einem Messenger, einem Maildienst oder einem Online-Schulungsanbieter. Nutzen Sie einen deutschen Anbieter und Drittlandproblematiken unterliegen nicht Ihrer Verantwortung. Mit edudip, einem rein deutschen Unternehmen ohne Dateninteressen seiner Kunden und dem Einsatz DSGVO-konformer Techniken sind Sie auf der sicheren Seite. 

Nun kann der Sommer kommen und kein Eis in Sicht!