Spannende Monate für Datenschutzbeauftragte

Spannende Monate für Datenschutzbeauftragte

Nach dem Urteil des EuGH zu Safe Harbor haben bereits Landesdatenschützer und die Artikel-29-Gruppe Stellung bezogen. Was machen jetzt die Unternehmen, die schon Cloud Dienste nutzen?

Ansprechpartner

Partner, Advisory

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

Das Safe-Harbor-Urteil und die Auswirkungen auf die Cloud-Anbieter

Die Entscheidung der Artikel-29-Gruppe, dass das EuGH-Urteil vom 6. Oktober (C-362-14) nicht direkt auf die beiden gerade für Unternehmen wichtigen Regelungen EU Model Clauses sowie den Corporate Binding Rules wirkt, sorgt für vorerst für Ruhe bei betroffenen Unternehmen. Viel Zeit bleibt nicht: Bereits Ende Januar 2016 soll eine Lösung stehen.

Wenn Unternehmen auf die die Safe-Harbor-Selbstverpflichtung des Cloud-Anbieters gesetzt haben sollten, müssen sie folgende Dinge beachten, um sich rechtlich bestmöglich abzusichern

Wenn die Datenschutzbehörde klingelt

Sollte kurzfristig eine Prüfung der  zuständigen Datenschutzbehörde anstehen, ist der Ausgang nicht ganz so sicher. Auch das geht aus der Stellungnahme der Artikel-29-Gruppe hervor. Besonders interessant könnte hier ein Blick auf die letzte Stellungnahme der jeweiligen Aufsichtsbehörde des Bundeslandes sein. Die Beurteilung der Richtigkeit ist derzeit – und voraussichtlich bis Januar – eine Ermessensfrage der zuständigen Aufsichtsbehörde.

Unternehmen sind für sich verantwortlich

Die Verantwortung für die Einhaltung der Anforderungen des Datenschutzes hat jeder Cloud-Nutzer generell immer selber zu tragen. Aber neben einer rechtlichen Grundlage ist auch die Wirksamkeit und Einhaltung der Vereinbarungen wichtig. Unternehmen fragen im besten Fall selbst beim Cloud-Anbieter nach, wie und ob er belegen kann, dass er die Zusicherungen der EU Model Clauses einhält. In den meisten Fällen dürfte das auf einen Blick in seine Audit- und Prüfungsberichte hinauslaufen. 

Ist der Cloud-Anbieter gut aufgestellt, wird er einen entsprechenden Prüfungsbericht für  seine Kunden bereithalten können. Vielleicht hat er dann auch schon Erläuterungen beigelegt, warum der dann vorliegende Bericht belegt, dass alle Kontrollen, zu denen er sich verpflichtet hat, wirksam implementiert sind.

Mit einer Leseanleitung ist es bei den ersten Malen leichter, die Informationen einzuordnen.  Begünstigte Unternehmen finden dort die für Sie wichtigen technischen und organisatorischen Maßnahmen und Aussagen zur Wirksamkeit beim Dienstleister.

Cloud-Anbieter sollten ebenfalls daran interessiert sein, Transparenz zu schaffen. Sie kommen der Verantwortung zur Kontrolle in hinreichendem Maße nach.

In Europa finden sich zunehmend auch die Rechenzentren von US-Cloud Anbietern. Auch wenn die reine Lokalisierung nicht alle Probleme löst, vielleicht ist dies dennoch eine Frage die es sich zu stellen lohnt.

Sollte Ihr Cloud-Anbieter hier eventuell noch Fragen haben, wir helfen auch ihm gerne. 

IT Compliance

IT Compliance

Regulatorische Anforderungen und Verpflichtungen, fordern Unternehmen mehr denn je.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform