Cloud-Dienste: Wie Unternehmen Änderungen bei der DSGVO umsetzen

Zum Jahreswechsel treten erneut datenschutzrechtliche Änderungen in Kraft. Die Anpassung betrifft die Standardvertragsklauseln der EU, die Rechte und Pflichten regeln, um in Drittländern ein den europäischen Standards angemessenes Datenschutzniveau zu schaffen. Für Unternehmen werden diese relevant, wenn sie personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraumes übermitteln. Dies gilt ebenfalls für in Anspruch genommene Cloud-Dienste und -Dienstleistungen.

Cloud-Dienste: Geänderte Datenschutz-Regelungen auf EU-Ebene

Die neue Version der DSGVO erklärt Datentransfers in Länder wie die USA, China oder Indien ab sofort als „nicht sicher“. Und trägt damit dem Urteil von Schrems-II Rechnung. Besonders für IT-Dienstleister stellt dies eine große Herausforderung dar, da diese häufig personenbezogene Daten in einem der oben genannten, wirtschaftlich wichtigen Länder weiterverarbeiten. All jene Unternehmen, die Cloud-Dienste auf Grundlage von Standardvertragsklauseln nutzen, die ihre Daten in „sicheren“ Ländern neben des EWR in der Schweiz, Großbritannien, Japan, Uruguay oder Israel verwalten, haben an dieser Stelle keinen Handlungsbedarf. Dies geht aus den Angemessenheitsbeschlüssen nach Art. 45 DSGVO hervor.

Eine verlässliche Methode, um dies zu überprüfen, ist der Nachweis der Einhaltung des „EU Cloud Code of Conduct“. Der CoC bezeichnet einen umfassenden Verhaltenskodex der europäischen Cloud-Industrie. Dieser sieht die einheitliche Durchsetzung europäischer Datenschutzstandards auf Basis der Datenschutz-Grundverordnung als oberste Priorität. Eine Zertifizierung auf Level 3 gilt als unabhängiger Beleg für ein höchstes Maß an Datenschutz. Sie besagt, dass sich sämtliche gespeicherte Informationen innerhalb der EU befinden.

Entsprechendes Datenschutz-Niveau erreichen

Falls Drittländer involviert sind, bei denen keine gleichwertigen Datenschutzstandards bestehen, müssen die Verantwortlichen mit zusätzlichen Vereinbarungen ein entsprechendes Niveau erreichen (gemäß den Empfehlungen 01/2020 des Europäischen Datenschutzausschusses). Dazu gehört gleichermaßen auch die Vergewisserung, dass die praktische Umsetzung der Änderungen allen technischen und organisatorischen Anforderungen an die jeweilige bezogene Leistung Rechnung trägt. Eine Nichtbeachtung oder fehlende Umsetzung der neuen Vorgaben kann zu Unterlassungsanordnungen und Zahlungen von bis zu 20 Millionen Euro oder vier Prozent des Umsatzes führen.

Einsatz einer Vertragsmanagement-Software

Um den gesamten Vertragsbestand so effizient wie möglich auf die entsprechenden Standardklauseln zu kontrollieren, bietet sich der Einsatz einer intelligenten Vertragsmanagement-Software wie Fabasoft Contracts an. Diese identifiziert mithilfe der semantischen Volltextsuche auf Knopfdruck alle relevanten Verträge und beschränkt so den Suchaufwand auf ein Minimum.

Zudem unterstützt das Produkt mit smartem Klausel-Management bei der Anpassung der Vereinbarungen. Metadaten gelangen über Textbausteine und Klausel-Bibliotheken direkt in die Dokumentenvorlagen. Und tragen so zu einer raschen und automatisierten Erstellung beziehungsweise Änderung der Textpassagen bei. Das reduziert nicht nur den Aufwand und das Fehlerpotenzial, sondern auch die Anzahl der notwendigen Freigaben erheblich. Sind die Verträge schließlich den neuen Regelungen entsprechend aufgesetzt, bindet Fabasoft Contracts die externen Partner direkt zum Abschluss mit ein. Übrigens erreicht Fabasoft als einziger Cloud-Dienstleister weltweit die dritte und höchste Compliance-Stufe des EU Cloud CoC.

Idealerweise arbeiten Unternehmen bereits mit Unternehmen, die Cloud-Dienste anbieten, zusammen, die nachweisen können, dass sämtliche Daten den EWR nicht verlassen. Anderenfalls besteht dringender Handlungsbedarf, um die neuen Datenschutz-Vorgaben, die bis zum 28. Dezember 2022 umgesetzt werden mussten, zu erfüllen. Ein smartes, zertifiziertes Vertragsmanagement unterstützt schnell und sicher bei der Evaluierung, der Anpassung und dem Abschluss der relevanten Vereinbarungen. (sg)

Lesen Sie auch: Vertragsmanagement: Rechtsabteilungen setzen auf digitale Lösungen

Aufmacherbild: WrightStudio – Adobe Stock