Schrems-II: Verschärfte DSGVO-Regeln in Kraft

Zum Jahreswechsel traten erneut datenschutzrechtliche Änderungen in Kraft, angelehnt an Schrems-II. Die Anpassung betrifft die Standardvertragsklauseln der EU, die Rechte und Pflichten regeln, um in Drittländern ein den europäischen Standards entsprechendes Datenschutzniveau zu schaffen. Für Unternehmen werden diese relevant, wenn sie personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraumes übermitteln. Dies gilt ebenfalls für in Anspruch genommene Cloud-Dienstleistungen.

Schrems-II in Deutschland

Die neue und strengere Version der DSGVO erklärt Datentransfers in Länder wie die USA, China oder Indien ab sofort als „nicht sicher“ und trägt damit dem Urteil von Schrems-II Rechnung. Besonders für IT-Dienstleister stellt dies eine Herausforderung dar, da diese häufig personenbezogene Daten in einem der oben genannten, wirtschaftlich wichtigen Länder weiterverarbeiten.

All jene Unternehmen, die Cloud-­Dienstleister auf Grundlage von Standardvertragsklauseln beauftragen, die ihre Daten in „sicheren“ Ländern – neben dem EWR in der Schweiz, Großbritannien, Japan, Uruguay oder Israel – verwalten, haben an dieser Stelle keinen Handlungsbedarf (siehe Angemessenheitsbeschlüsse nach Art. 45 DSGVO). Eine verlässliche Methode, um dies zu überprüfen, ist der Nachweis der Einhaltung des EU Cloud Code of Conduct. Der CoC bezeichnet einen umfassenden Verhaltenskodex der europäischen Cloud-Industrie, der die einheitliche Durchsetzung europäischer Datenschutzstandards auf Basis der Datenschutz-Grundverordnung als oberste Priorität sieht. Eine Zertifizierung auf Level 3 gilt als bester, unabhängiger Beleg für ein höchstes Maß an Datenschutz und besagt, dass sich sämtliche gespeicherte Informationen innerhalb der EU befinden.

Falls Drittländer involviert sind, bei denen keine gleichwertigen Datenschutzstandards bestehen, müssen die Verantwortlichen mit zusätzlichen Vereinbarungen ein entsprechendes Niveau erreichen (siehe Empfehlungen 01/2020 des Europäischen Datenschutzausschusses). Dazu gehört gleichermaßen auch die Vergewisserung, dass die praktische Umsetzung der Änderungen alle technischen und organisatorischen Anforderungen an die jeweilige bezogene Leistung erfüllt. Eine Nichtbeachtung bzw. -umsetzung der neuen Vorgaben kann zu Unterlassungsanordnungen und Zahlungen von bis zu 20 Millionen Euro oder vier Prozent des Umsatzes führen.

Einfache Umsetzung mit smartem Vertragsmanagement

Um den gesamten Vertragsbestand so effizient wie möglich auf die entsprechenden Standardklauseln zu kontrollieren, bietet sich der Einsatz einer intelligenten Vertragsmanagement-Software wie Fabasoft Contracts an. Diese identifiziert mithilfe der semantischen Volltextsuche auf Knopfdruck alle relevanten Verträge und beschränkt so den Suchaufwand auf ein Minimum. Zudem unterstützen Produkte mit smartem Klauselmanagement bei der Anpassung der Vereinbarungen. Metadaten gelangen über Textbausteine und Klauselbibliotheken direkt in die Dokumentenvorlagen und tragen so zu einer raschen und automatisierten Erstellung bzw. Änderung der Textpassagen bei. Das reduziert nicht nur den Aufwand und das Fehlerpotenzial, sondern auch die Anzahl der notwendigen Freigaben erheblich. Sind die Verträge schließlich den neuen Regelungen entsprechend aufgesetzt, bindet eine passende Software die externen Partner direkt zum Abschluss mit ein.

Der Autor Robin Schmeisser ist Geschäftsführer von Fabasoft International Services.

Lesen Sie auch: Kollaborationstool als gewaltiges Sicherheitsrisiko?