Auftragsdatenverarbeitung
Partnerschaft für Datenschutz in der Cloud
Fortsetzung des Artikels von Teil 1
Rechte für Verbraucher, Pflichten für die Wirtschaft
Neben den Auskunftsrechten der Verbraucher gibt es zudem eine neue Rechenschaftspflicht (Art. 5 Abs. 2) der Unternehmen, die durch die Haftung der Datenschutzbeauftragten ergänzt wird. Dadurch entsteht de facto eine Beweislastumkehr: Die Unternehmen müssen beweisen können, dass sie ihre Daten im Sinne der DSGVO verarbeiten und speichern. Verstöße sind mit empfindlichen Strafen bewehrt, Schadensersatzforderungen sind im Einzelfall ebenfalls möglich. Deshalb sollten die Unternehmen noch vor dem Stichdatum in einer Art „Transparenzbericht“ die Umsetzung aller in der DSGVO empfohlenen Maßnahmen erläutern, um so jederzeit schnell Auskunft geben zu können.
Hierzu wird es sicher in naher Zukunft Zertifizierungsverfahren geben, die von den Unternehmen auch genutzt werden sollten. Leider haben die EU-Behörden bisher noch keine Zertifizierungsverfahren genehmigt, sodass diese vergleichsweise einfache Lösung für die Unternehmen derzeit nicht möglich ist. Die vor allem bei größeren Unternehmen verbreiteten Zertifizierungen nach ISO 27001 und IT-Grundschutz enthalten zwar bereits wesentliche Elemente der DSGVO-Anforderungen, sind allerdings nach Ansicht von Datenschutzexperten nicht ausreichend.
Hier kann nur die Empfehlung gegeben werden, alle notwendigen Maßnahmen umzusetzen und ausführlich zu dokumentieren. Um diese Anforderung zu erleichtern, haben einzelne IT-Unternehmen interne Zertifizierungsprozesse entwickelt. Ein Beispiel ist das von der Telekom genutzte PSA-Verfahren (Privacy and Security Assessment). Es berücksichtigt alle für die DSGVO notwendigen Punkte und gilt für alle deutschen Gesellschaften sowie für länderübergreifende Projektvorhaben der Deutschen Telekom.
Ein weiterer wichtiger Aspekt ist die Auftragsdatenverarbeitung, also das Outsourcing von IT-Leistungen an Dienstleister und Cloudprovider. Die unterschiedlichen Pflichten aus der DSGVO müssen wie bisher vom Auftraggeber erfüllt werden, erfordern aber die Zusammenarbeit mit dem Auftragnehmer. Cloudprovider und Kommunikationsanbieter wie die Telekom-Tochter Itenos sind dabei, ihre Prozesse und Sicherheitsstandards sowie das Vertrags- und Dokumentationsmanagement auf die Anforderungen der EU-Datenschutzverordnung umzustellen.
Nutzer von Managed Services haben Vorteile
Unternehmen, die Cloud inklusive Managed Services nutzen, haben bei der Umsetzung der DSGVO einen großen Vorteil. Denn Anbieter von Hosting, Cloudservices und zusätzlichen Managed Services für Anwendungen sind in aller Regel für Informationssicherheit zertifiziert, sodass die Rechenschaftspflicht bereits zu wichtigen Teilen erfüllt ist. Lediglich die genutzten Anwendungen und die Prozesse für die Bearbeitung und Speicherung der Daten müssen bei Bedarf an die neuen Datenschutzregeln angepasst werden.
Dienstleister und auftraggebendes Unternehmen müssen hier in einer Partnerschaft zusammenarbeiten. Die neuen Anforderungen der DSGVO erfordern ein gemeinschaftliches Auftreten bei Vertragsgestaltung, Dokumentation und Sicherheitsmaßnahmen. Grundsätzlich ist beispielsweise die Umsetzung der Kundenauskünfte nach DSGVO eine Sache des Unternehmens und nicht seines Dienstleisters. Allerdings muss hierzu das Auslesen der Daten geregelt werden. Ebenfalls möglich ist die Entwicklung einer hierfür geeigneten Anwendung, die vom Datenschutzbeauftragten genutzt werden kann. In beiden Fällen müssen Cloudprovider und Unternehmen Hand in Hand arbeiten, um eine möglichst effiziente Behandlung solcher Anfragen zu gewährleisten.
Philipp Alsdorf ist Referent Datenschutz & Vertragsmanagement bei Itenos
- Partnerschaft für Datenschutz in der Cloud
- Rechte für Verbraucher, Pflichten für die Wirtschaft
Lesen Sie mehr zum Thema
