Am 28. Januar 2018 wird der 12. Europäischen Datenschutztag gefeiert und der BCM sowie das ISACA freuen sich über die damit einhergehende öffentliche Aufmerksamkeit für Datenschutz, der in der Zivilgesellschaft und für Unternehmen immer mehr an Relevanz gewinnt. Der Europäische Datenschutztag wurde vom Europarat ins Leben gerufen und findet jährlich am Jahrestag der Unterzeichnung der Europäischen Datenschutzkonvention statt.
Dieses Jahr steht der Datenschutztag ganz im Fokus der Europäischen Datenschutzgrundverordnung (EU DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG) — beide gelten ab dem 25. Mai 2018. Die neuen Gesetze stellen die private Wirtschaft und Aufsichtsbehörden vor eine Herausforderung: Sie arbeiten unter Hochdruck daran, die zahlreichen Regelungen fristgerecht umzusetzen und Empfehlungen auszuarbeiten.
Viele Mitglieder des BCM und von ISACA berichten von Schwierigkeiten für Unternehmen, die die Verarbeitung personenbezogener Daten an internationale Dienstleister (sog. Auftragsverarbeiter) übertragen haben. Die Verträge mit diesen Dienstleistern müssen nun neu aufgesetzt werden, doch die EU DSGVO gibt wenig Aufschluss darüber, welche rechtlichen Rahmenbedingungen hier gelten. Zwar haben die EU-Gesetzgeber in Artikel 28 EU DSGVO detaillierte Angaben zu den Regelungen für Auftragsverarbeiter gemacht, doch sind diese in Bezug auf Unterverarbeitungsaufträge kaum nutzbar. Leider existieren bis dato keine Stellungnahmen der Aufsichtsbehörden, ob und wie die Anforderungen des Art. 28 EU DSGVO bei internationalen Auftragsverarbeitern in Kombination mit den sogenannten Standardvertragsklauseln umgesetzt werden müssen.
Zudem scheint die Zukunft von Datenübermittlungen an die USA, die einer der wichtigsten Wirtschaftspartner für europäische Unternehmen sind, unsicher. Die bisherigen Standardvertragsklauseln werden vom Europäischen Gerichtshof geprüft und die langfristige Nutzbarkeit des EU/US Privacy Shields ist nach Einschätzung der europäischen Artikel 29-Datenschutzgruppe in der aktuellen Fassung ebenfalls mehr als fraglich. Dies sorgt für große Unsicherheit bei den betroffenen Bürgern und Unternehmen.
Der BCM und das ISACA Germany Chapter begrüßen die europäischen Anstrengungen — insbesondere unter starker Beteiligung deutscher Politiker — den Datenschutz in Europa mit der EU DSGVO voranzubringen. Das war ein großer, aber nur der erste Schritt. Beide Verbände heißen es gut, wenn die Verantwortlichen bei Bund und Ländern mit mehr Engagement und sichtbaren Initiativen bei der Bevölkerung und der Wirtschaft für den (neuen) europäischen Datenschutz werben.
Insbesondere bitten sie die deutsche Politik, eindeutige Regelungen für internationale Auftragsverarbeitungsverträge und die transatlantischen Datenübermittlungen zu entwickeln. Dies ist für die deutsche und europäische Wirtschaft essentiell, um eine hohe Compliance mit dem europäischen Datenschutzrecht zu erreichen.
Den Wortlaut der EU DSGVO können Sie hier einsehen.
Mehr Informationen zur BCM-Fachgruppe „IT Compliance“:
www.bvdcm.de/fachgruppen/it-compliance
Mehr Informationen zum ISACA Germany Chapter unter:
Autoren:
Andreas H. Schmidt,
Collegium Auditores GmbH
Fachgruppenleiter Fachgruppe IT-Compliance
Berufsverbands der Compliance Manager (BCM)
RA Dr. Christian Schröder
Orrick, Herrington & Sutcliffe LLP
Fachgruppe IT-Compliance
ISACA Germany Chapter e. V.