Am 25. Mai 2018 ist es soweit. An diesem Tag tritt die EU Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Verfolgt man die aktuelle Diskussion zum Thema, so scheint auf Unternehmensseite noch eine große Verunsicherung zu herrschen. Für viele Unternehmen scheint die Verordnung, die für ein europaweit einheitliches Datenschutzrecht sorgen soll, auch heute – wenige Monate vor Inkrafttreten – noch ein “Buch mit sieben Siegeln” zu sein. Grund genug, den Rat eines Experten einzuholen. In unserem Fall ist dies Rechtsanwalt Jan Schneider von SKW Schwarz Rechtsanwälte aus Düsseldorf. Im Mittelpunkt des folgenden Interview stehen die EU-DSGVO und ihre Folgen im Allgemeinen und darüber hinaus die speziellen Auswirkungen der neuen Regelung auf den Cloud Computing-Bereich.
Jan Schneider: Kurz und knapp: Mit der Datenschutz-Grundverordnung möchte die Europäische Union im Wesentlichen das Datenschutzrecht innerhalb Europas modernisieren, an die technischen Entwicklungen anpassen und noch stärker vereinheitlichen. Auch die Rechte der betroffenen Personen sollen gestärkt werden.
Unser deutsches Datenschutzrecht gehörte insbesondere mit seinen gesetzlichen Vorgaben durch das Bundesdatenschutzgesetz bislang zu den strengsten in Europa, wenn nicht sogar weltweit. Nun werden wesentliche Rechtsvorschriften durch die DSGVO abgelöst. Mit welchen Folgen? Wird der Datenschutz zukünftig hierzulande gesetzlich weniger streng überprüft?
Jan Schneider: Eher ist das Gegenteil der Fall: Zwar findet sich innerhalb der zahlreichen, durch die DSGVO etablierten Rechtsänderungen auch die eine oder andere Erleichterung für die Unternehmen. Wenn Sie aber konkret nach der Überprüfung der Einhaltung der Datenschutzgesetze fragen, dann ist die Antwort diejenige, dass man zukünftig, zumindest erst einmal, mit einer verstärkten Prüfung durch die Aufsichtsbehörden wird rechnen müssen – und vor allem mit deutlich strengeren Sanktionen bei Datenschutzverstößen. Mehrere Aufsichtsbehörden haben schon angekündigt, dass Sie die Einhaltung der Anforderungen der DSGVO bald massiv nachhalten wollen.
In der öffentlichen Diskussion steht in der Tat immer wieder die Warnung im Raum, dass bei Verstößen gegen die DSGVO drastische Strafen in Millionenhöhe drohen. Und zwar direkt ab dem Stichtag 25. Mai 2018. Ist dies die wesentliche Gefahr, die Unternehmen droht? Und als wie hoch ist diese Gefahr einzuschätzen?
Jan Schneider: Im Gegensatz zu manchen Kollegen mag ich zu diesem Thema die bisweilen betriebene Panikmache nicht sonderlich. Fest steht aber auch: Man muss das Risiko ernst nehmen. Denn unsere Aufsichtsbehörden sind in den letzten Jahren selbstbewusster geworden und zögern nicht, bei signifikanten Verstößen den Bußgeldrahmen auch mal auszuschöpfen.
Genau dieser Sanktionsrahmen wird durch die DSGVO massiv erweitert. Die bisweilen in Unternehmen anzutreffende Auffassung, dass man etwaige Bußgelder entspannt „aus der Portokasse“ bezahlen könne, wird bei Bußgeldern von bis zu 4 % des weltweiten und konzernweiten Vorjahresumsatzes des Unternehmens bzw. 20 Millionen Euro für die meisten Unternehmen wohl kaum mehr funktionieren. Hinzu kommt, dass die Bußgelder, so steht es ausdrücklich in der DSGVO, auch „abschreckend“ sein sollen. Diese gesetzliche Maßgabe werden die Aufsichtsbehörden voraussichtlich durchaus ernst nehmen.
Die DSGVO hat ja auch Auswirkungen auf das Cloud Computing. Aus der dort relevanten „Auftragsdatenverarbeitung“ durch den Cloud Service Provider wird nun die „Auftragsverarbeitung“. Was haben Unternehmen, die Cloud Services nutzen, außer der Änderung der Bezeichnung noch zu beachten?
Jan Schneider: Fast könnte man sagen, dass diese kleine Begriffsänderung symptomatisch ist für die rechtlichen Änderungen im Bereich der Auftrags(daten)verarbeitung. Denn angenehmer Weise sind die Änderungen hierzulande gut überschaubar – weil sich die Regelungen der DSGVO an dem bisherigen Konstrukt der Auftragsdatenverarbeitung weitgehend orientieren.
Dennoch können insbesondere die Cloud Service Provider das Thema nicht auf die leichte Schulter nehmen. Zwar sind viele deutsche und internationale Provider in Bezug auf die Auftragsdatenverarbeitung bereits sehr gut aufgestellt. Die Kunden erwarten aber freilich, dass den Neuerungen der DSGVO sichtbar Rechnung getragen wird. Zum einen muss sich das in einer Anpassung der Standardverträge zur Auftrags(daten)verarbeitung manifestieren. Zum anderen bringt die DSGVO für die Cloud Service Provider mehr Pflichten und damit tendenziell eine höhere Verantwortung und Haftung bei der Datenverarbeitung „im Auftrag“.
Diese Verantwortung sollte jeder Provider für sich rechtlich bewerten und seine internen Verfahrensweisen, Prozesse und auch die relevanten Verträge und Dokumentationen dahingehend anpassen.
Was raten Sie abschließend Unternehmen, die die nächsten fünf Monate noch dafür nutzen möchten, sich „fit“ für die EU-DSGVO zu machen?
Jan Schneider: Ich bin da, wie eigentlich immer, ganz der Praktiker: Weder sollte man in Hektik oder gar Panik verfallen, noch das Thema weitere Wochen zur Seite legen. Nicht jedes Unternehmen braucht ein aufwändiges „DSGVO-Projekt“. Aber es ist jetzt wirklich an der Zeit, den wesentlichen Änderungsbedarf im Unternehmen zu identifizieren und die erforderlichen Änderungen zu planen, zu priorisieren, inhaltlich zu gestalten – rechtlich, technisch und organisatorisch – und dann gemäß ihrer Priorität sukzessive umzusetzen. Wichtig ist es auch, die Mitarbeiter rechtzeitig vor dem 25. Mai mit den Änderungen ausreichend vertraut zu machen und deren Bewusstsein für die neuen Risiken zu schärfen.
In meiner Beratungstätigkeit empfehle ich dazu häufig einen Ansatz „mit Augenmaß und vernünftigem Blick auf die Praxis“: Die Einhaltung des gesetzlichen Datenschutzes ist für die Unternehmen zumeist weder Selbstzweck, noch Schönheitswettbewerb. Das Erreichen einer 100 %-Lösung ist im Datenschutz nicht selten schwer und teuer. Gut schaffbar ist es aber nahezu immer, die wesentlichen Anforderungen so umzusetzen, dass sie in der Praxis funktionieren, wirtschaftlich vertretbar sind und einem sach- und praxisgerechten Blick der zuständigen Aufsichtsbehörde standhalten. Wichtig ist dann auch, in der ersten Zeit nach dem 25. Mai, eine stete Wirksamkeitskontrolle der im Unternehmen getroffenen Maßnahmen.
Geht man die DSGVO jetzt auf diese Weise an, dann werden die meisten Unternehmen in der verbleibenden Zeit sicherlich noch auf einen guten Stand kommen können – und das mit vertretbarem Aufwand.
Herr Schneider, vielen Dank für das Interview.
Zur Person: Jan Schneider ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner der bekannten Anwaltskanzlei SKW Schwarz Rechtsanwälte (u.a. JUVE-Kanzlei des Jahres 2016 für Medien & Technologie). Seit über 15 Jahren berät er Hersteller und Anwenderunternehmen in allen Bereichen des IT-Rechts und im Datenschutzrecht. Jan Schneider ist häufig angefragter Referent und Keynote Speaker zu aktuellen Themen des IT-Rechts und Mitautor mehrerer Fachbücher, u. a. des bekannten Standardwerkes “Handbuch der IT-Verträge”.
1 Gedanke zu „EU-DSGVO und Cloud Computing: Fragen an RA Jan Schneider, SKW Schwarz Rechtsanwälte“