Cloud und Datenschutz in Einklang bringen
Die neuen Regeln der Europäischen Union
von Thomas Hafen - 12.02.2016
Ende vergangenen Jahres haben sich Kommission, Rat und Parlament der Europäischen Union im sogenannten Trilog auf eine endgültige Fassung der lange umstrittenen Datenschutzgrundverordnung geeinigt. Eine ausführliche vergleichende Gegenüberstellung dazu findet sich auf der Webseite des Bayerischen Landesamts für Datenschutzaufsicht.
Der Befürchtung, es werde zu einer Aushöhlung des hohen deutschen Datenschutzniveaus kommen, widerspricht der Datenschutzbeauftragte der Telekom, Claus Ulmer, entschieden: „Eine Schwächung des Datenschutzes findet keineswegs statt, eher im Gegenteil: Mit der neuen EU-Datenschutzgrundverordnung kann es gelingen, ein hohes Datenschutzniveau zu sichern und gleichzeitig neue digitale Geschäftsmodelle zu ermöglichen.“ Ulmer lobt vor allem das darin vereinbarte Marktortkonzept: „Danach ist das europäische Datenschutzrecht auf all diejenigen anwendbar, die in Europa ihre Produkte und Dienstleistungen anbieten – unabhängig davon, wo der Anbieter seinen Sitz hat: in Europa, in den USA oder Asien.“
Wie genau sich die Grundverordnung und das Marktortprinzip auf die Datenübermittlung in Drittstaaten auswirken werden, ist derzeit noch nicht zu sagen (siehe dazu auch das Interview mit Thomas Kranig, dem Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht). Auf jeden Fall werden die Aufsichtsbehörden zukünftig viel stärker gezwungen sein, sich europaweit abzustimmen. „Wir müssen versuchen, gemeinsam zu Ergebnissen zu kommen und dürfen nicht mehr unsere Einzelmeinung vor uns hertragen, wie es bisher gelegentlich geschah“, betont Kranig.
Fazit
Das aktuelle Chaos im Datenschutzrecht ist eine Zumutung für Unternehmen. Sie sind nach wie vor in der Pflicht, bei der Zusammenarbeit mit Dienstleistern und Partnern in den USA eine rechtssichere Übermittlung personenbezogener Daten zu garantieren. Wie diese auszusehen hat, kann – Stand Mitte Januar – jedoch niemand sagen. Selbst scheinbar bewährte Mechanismen wie die Standardvertragsklauseln oder die Binding Corporate Rules stehen auf dem Prüfstand.
Es bleibt also allen Firmen, die in irgendeiner Form mit US-amerikanischen Providern zusammenarbeiten, etwa indem sie deren Cloud-Dienste nutzen, letztlich nur übrig, die Entwicklung sehr genau zu beobachten und gegebenenfalls schnell zu reagieren. In der Zwischenzeit sollten sie personenbezogene Daten besser möglichst nur verschlüsselt ablegen.
Anderenfalls gehen die Unternehmen nicht nur finanzielle Risiken ein, weil Geldbußen und Schadensersatzklagen drohen, auch der Reputationsschaden kann erheblich sein, wenn publik wird, dass ein Unternehmen fahrlässig mit den Daten seiner Kunden, Partner oder Mitarbeiter umgegangen ist.