Kommentar: Drei Jahre DSGVO Datenschutz zwischen Cloud-Bremse und Cloud-Beschleuniger

Drei Jahre schon muss die Datenschutzgrundverordnung (DSGVO) angewendet werden. Kaum ein Bereich wurde dabei so stark beeinflusst wie die Cloud. Doch hat sich die DSGVO als Hemmnis für die Cloud-Nutzung erwiesen oder als Enabler?

Firmen zum Thema

Vor fünf Jahren wurde sie verabschiedet, heute vor drei Jahren trat die DSGVO in Kraft – und noch immer herrscht Unzufriedenheit bei Inhalt und Umsetzung.
Vor fünf Jahren wurde sie verabschiedet, heute vor drei Jahren trat die DSGVO in Kraft – und noch immer herrscht Unzufriedenheit bei Inhalt und Umsetzung.
(Bild: gemeinfrei© MasterTux / Pixabay )

Schon der Name Datenschutzgrundverordnung klingt nach Bürokratie, so sagen Kritiker. Der Aufwand für die Umsetzung ist zu hoch, vor lauter Dokumentation kommt man kaum noch zum eigentlichen Schutz der personenbezogenen Daten, hört man in Gesprächen mit Unternehmen.

Nicht nur Wirtschaftsverbände üben Kritik

Wer jetzt denkt, die Aufsichtsbehörden für den Datenschutz hätten keine Kritik an „ihrer“ DSGVO, der irrt sich gewaltig. Wer regelmäßig mit den Landesdatenschutzbeauftragten spricht, bekommt ein ganz anderes Bild. Die Aufsichtsbehörden selbst üben Kritik und sehen unscharfe Vorgaben, wenig konkrete Hinweise zur Umsetzung, ja sogar den falschen Adressatenkreis, wenn es zum Beispiel um Privacy by Design geht, eine wichtige Forderung, die aber nicht die Unternehmen als sogenannte Verantwortliche, sondern nur die Hersteller der IT-Lösungen erfüllen können.

Ist die DSGVO deshalb ein Hemmschuh für die Cloud und andere digitale Technologien, wie es zum Beispiel die Umfragen des Digitalverbands Bitkom regelmäßig ergeben?

Aber Cloud-Nutzer wollen den Schutz für ihre Daten

Wenn man sich zum Beispiel den Cloud-Monitor von Bitkom und KPMG über die Jahre hinweg ansieht, wird der Datenschutz als Herausforderung bei der Cloud-Nutzung gesehen, aber die Einhaltung der DSGVO ist ein zentrales Auswahlkriterium für den Cloud-Provider, zudem fürchten die Unternehmen, die immer noch keine Cloud-Dienste einsetzen, den Verlust ihrer Daten.

Datenschutz ist Chance und Innovationshemmnis zugleich, so eine Umfrage des Branchenverbands Bitkom.
Datenschutz ist Chance und Innovationshemmnis zugleich, so eine Umfrage des Branchenverbands Bitkom.
(Bild: Bitkom)

Man will also Datenschutz in der Cloud, aber scheinbar einen anderen Datenschutz. Was kritisiert zum Beispiel Bitkom in der „Bilanz von drei Jahren DSGVO“? Da ist die fehlende, EU-weite Harmonisierung, bedingt durch nationale Sonderregeln, die die Öffnungsklauseln der DSGVO nutzen. Da sind die unterschiedlichen Positionen der Aufsichtsbehörden, sogar innerhalb von Deutschland.

Tatsächlich sehen die Aufsichtsbehörden dies ganz ähnlich, sie sind selbst nicht glücklich über manche Aufsichtsbehörden in anderen EU-Staaten oder in deutschen Nachbarbundesländern. Sie erhoffen und erwarten Vorgaben und klare Leitlinien von dem Europäischen Datenschutzausschuss, der hier ja sehr rege tätig ist.

Wenn Unternehmen, die die Cloud nutzen wollen, unsicher sind in der Umsetzung der DSGVO, ist dies zweifellos ein Beratungsauftrag an die Aufsichtsbehörden, die aber dafür noch besser ausgestattet werden müssen. Doch viele Punkte, die verunsichern können, sind nicht in der DSGVO verursacht, sondern liegen auch an der Komplexität des Themas Datenschutz an sich.

Cloud-Datenschutz und das Beispiel Privacy Shield

Wie sehr der Datenschutz und die DSGVO die Cloud-Nutzung beeinflussen, zeigt sich beispielhaft an dem Ende des Privacy Shield. Offensichtlich haben immer noch viele Cloud-Nutzer nicht die Konsequenzen daraus gezogen. Das liegt aber nicht an der DSGVO, sondern an Schwierigkeiten bei der praktischen Umsetzung des Urteils des Europäischen Gerichtshofes (EuGH) in den Unternehmen.

In einer Informationsoffensive zur Datenübermittlung in Drittländer erklärte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Prof. Dr. Dieter Kugelmann: „Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, sollte umgehend aktiv werden“. Im Rahmen einer Informationsoffensive hat der Landesdatenschutzbeauftragte Dutzende Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz angeschrieben, um Verstößen bei der Übermittlung von Daten ins außereuropäische Ausland vorzubeugen.

Nach einem Urteil des Europäischen Gerichtshofs (EuGH) vom vergangenen Jahr sind Datenübermittlungen zum Teil auf eine neue Rechtsgrundlage zu stellen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz weist in dem nun versandten Schreiben darauf hin: „Ich rate dringend dazu, alle in ihrem Unternehmen stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand des von meiner Behörde bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, um Datenschutzverstöße schnellst möglich abzustellen oder zu verhindern.“

Professor Dieter Kugelmann erklärte dazu: „Das Grundsatzurteil des Europäischen Gerichtshofs, das sogenannte Schrems II-Urteil, betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis. Denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums. Sie bewegen sich damit datenschutzrechtlich auf dünnem Eis. Im Laufe dieses Jahr ist es unsere Aufgabe zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen. Zuvor wollen meine Mitarbeiterinnen und Mitarbeiter nochmals die Unternehmen und Behörden sensibilisieren.“

In der Entscheidung vom 16. Juli 2020 hatte der EuGH festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner generell nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGHs erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Der Gerichtshof hat überdies seine Erwartung klar formuliert, dass die Aufsichtsbehörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert, so die Aufsichtsbehörde. Nach den nun erfolgten Informationsschreiben wird es stichprobenartige Kontrollen geben.

Die Wirtschaft kann und sollte selbst mitgestalten

Es besteht also dringender Handlungsbedarf bei vielen Unternehmen und deren Cloud-Nutzung. An Vorgaben mangelt es nicht, sondern vielmehr an der Umsetzung. Diese Umsetzung macht nicht nur deshalb Sinn, weil sonst Sanktionen der zuständigen Aufsichtsbehörde drohen können, sondern weil der Datenschutz zu Recht als Wettbewerbsvorteil gesehen wird und den Cloud-Nutzern so wichtig ist.

Wenn es die Forderung nach konkreteren Vorgaben für Cloud-Dienste gibt, wenn der DSGVO unklare Vorgaben vorgeworfen werden, sollte man in der Wirtschaft einem Instrument mehr Beachtung schenken, das bereits bei der Evaluierung anlässlich zwei Jahren DSGVO durch die EU-Kommission genannt wurde, das aber immer noch nicht so genutzt wird, wie es die DSGVO anbietet: die Verhaltensregeln.

Betrachtet man die rechtlichen Voraussetzungen einer Auftragsverarbeitung nach DSGVO (wichtig bei Cloud Computing), stellt man fest, dass dort nicht nur Datenschutzzertifikate als mögliche Nachweise genannt werden, sondern auch genehmigte Verhaltensregeln. Leider gibt es davon immer noch keine nennenswerte Anzahl, obwohl diese auch bei der Regelung von Cloud-spezifischen Fragen helfen könnten.

Nichts sollte in Stein gemeißelt sein

Drei Jahre Anwendbarkeit der DSGVO wäre ein guter Anlass, dass Verbände und Vereinigungen von Unternehmen weitere Verhaltensregeln erarbeiten und genehmigen lassen, da dies die weitere Umsetzung der DSGVO deutlich erleichtern wird.

Deshalb nochmals der Appell: Es lohnt sich, alle bisherigen Möglichkeiten und Instrumente der DSGVO zu betrachten und wirklich zu nutzen, um den Datenschutz voranzubringen und die Umsetzung der DSGVO zu optimieren. Die Ausarbeitung und Genehmigung von Verhaltensregeln werden einige Zeit in Anspruch nehmen, doch man kann sich vorstellen, dass hier schneller Erfolge zu sehen sind als im Rahmen der komplexen EU-Gesetzgebung. Die gegenwärtige DSGVO kann mehr und bietet mehr, als bisher genutzt wird. Bei aller Kritik und bei allen Schwachstellen der Verordnung kann sie doch dabei helfen, den Datenschutz zum Vorteil werden zu lassen, wenn denn Mittel zur Ausgestaltung wie die Verhaltensregeln auch genutzt werden.

(ID:47435567)