DSGVO ist in Kraft: Datenschutzkonforme Datenräume

Seit heute gilt die neue Europäische Datenschutzgrundverordnung, als EU-DSGVO oder international als GDPR abgekürzt, und die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden – auch und besonders für Datenraum-Anbieter. Die Datenschutz-Grundverordnung schafft dabei einen einheitlichen Rechtsrahmen für Datenraum-Betreiber in ganz Europa. Die Datenschutzregeln der EU gelten dann auch für amerikanische oder andere Anbieter, die in Europa ihre Datenräume anbieten. Damit werden Wettbewerbsnachteile gegenüber Drittstaaten ohne vergleichbares Datenschutzniveau ausgeglichen. Wirksam wurden sie heute nach einer zweijährigen Übergangszeit.

Datenschutzkonforme Datenräume nur von europäischen Anbietern

Mit dataroomX^® aus Deutschland DSGVO-konform:-)
Foto: fotolia.com, fotogestoeber

Gleichwohl die Regeln nun auch für Anbieter von Drittstaaten gilt, ist das Nutzen von US-amerikanischen Datenraum-Anbieter in Sachen Datenschutz seit dem im März unterzeichneten CLOUD Act immer noch fraglich. Es verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt, wie Wikipedia weiß. US-Behörden hatten in verschiedenen Fällen Probleme, an die im US-Ausland gespeicherte Daten zu gelangen. Daher wurde das Gesetz eingeführt. Problematisch ist zudem, dass Internet-Firmen und IT-Dienstleistern nach der CLOUD Act verboten werden kann, ihre Benutzer über eine solche heimliche Abfrage von Benutzerdaten zu informieren. Diese rechtliche Unsicherheit können Firmen nur umgehen, indem sie eine Datenraum-Lösung auswählen, deren Betreiber, so wie dataroomX^®, der EU-Datenschutzgrundverordnung unmittelbar unterliegt. dataroomX^® ist ein deutscher Anbieter, der in Hochsicherheitsrechenzentren seine Datenräume sicher vor dem Zugriff von Behörden und Nachrichtendiensten hostet.

Vereinfachung: Einwilligung ist formfrei möglich

Was bringt die Datenschutzgrundverordnung aber Neues? Wie bisher wird auch künftig eine Datenverarbeitung auf der Grundlage einer Einwilligung möglich sein; Voraussetzung ist, dass es freiwillig ist und der Nutzer informiert wird. Auch die Bindung der Einwilligung an bestimmte Verarbeitungszwecke gilt weiterhin. Anders als bisher ist die Einwilligung grundsätzlich formfrei möglich. Voraussetzung ist, dass mit einer eindeutigen bestätigenden Handlung die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt.

Dokumentationspflicht: Verarbeitungstätigkeit mit Datenschutzfolgeabschätzung

Art. 30 DSGVO verpflichtet die Verantwortlichen ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu führen. Dieses enthält die wesentlichen Angaben zum Verantwortlichen, der Art der verarbeiteten Daten, etwaigen Datenempfängern, Löschfristen, und Sicherheitsmaßnahmen. Die Datenschutz-Folgenabschätzung ist ein Instrument der Datenschutzgrundverordnung. Sie betrifft Wirtschaft und Verwaltung. Ähnlich der bisherigen Vorabkontrolle dient sie dazu, datenschutzrechtliche Risiken, die von Datenverarbeitungsvorgängen ausgehen, vorab zu identifizieren und einzudämmen. Unternehmen, Behörden und Institutionen, die Datenräume für Due Diligence-Prozesse nutzen, sollten die Verarbeitungstätigkeit mit dataroomX^® dokumentieren und um eine Datenschutzfolgeabschätzung ergänzen. Die Bitkom stellt einen Leitfaden zum Download bereit.

Angemessene Sicherheit der technischen und organisatorischen Maßnahmen

Wie der Datenschutzbeauftragte des Landes Rheinland-Pfalz schreibt, ersetzen die Regelungen der Europäischen Datenschutzgrundverordnung zur Sicherheit der Verarbeitung die bisherigen technisch-organisatorischen Vorgaben. Die wesentlichen Anforderungen finden sich in den Art. 5, Art. 25 und Art. 32 DSGVO. Danach muss durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit gewährleistet werden. In der Terminologie nimmt die DSGVO dabei auf die allgemeinen Kriterien für die Bewertung der Sicherheit von Informationstechnologie Bezug. Von Bedeutung ist künftig ein risikobasierter Ansatz, d.h. die Ausrichtung der erforderlichen Maßnahmen an der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Dabei sind insbesondere folgende Risiken in den Blick zu nehmen:

• unbeabsichtigte/unrechtmäßige Vernichtung und Veränderung,
• unbeabsichtigter/unrechtmäßiger Verlust,
• unbefugte Offenlegung,
• unbefugter Zugang zu personenbezogenen Daten.

Neu: Formalisierte Risikoanalyse

Dies begründet die Notwendigkeit einer stärker als bislang formalisierten Risikoanalyse. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art und Zwecke der Verarbeitung hat dataroomX^® geeignete technisch-organisatorische Maßnahmen getroffen, die im Zuge der Riskoanalyse folgendes einschließen:

• Verschlüsselung der Daten
• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
• Rasche Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem Zwischenfall

Die Zugangssicherheit wird bei dataroomX® groß geschrieben: dataroomX® steht für höchste Sicherheitsstandards. Das Rechenzentrum bietet eine hochsichere IT-Infrastruktur gemäß der EU-DSGVO. Die Datenspeicherung erfolgt ausschließlich in Deutschland. Es werden umfangreiche Qualitäts- und Sicherheitsprüfungen gewährleistet. Verlässlichkeit wird groß geschrieben. Damit sind die Kunden und Nutzer von dataroomX^® auf der sicheren Seiten und haben einen vertraulichen Partner an ihrer Seite.