Datenschutzgrundverordnung: DSGVO-konforme Datenräume

29.11.2018

Seit Kurzem ist die neue Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Sie regelt die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden. Besonders für Datenraum-Nutzer ist die Verordnung wichtig, denn die Anforderungen an eine datenschutzkonforme Datenhaltung sind gestiegen. Der Vorteil ist, dass die Datenschutz-Grundverordnung einen einheitlichen Rechtsrahmen für Datenraum-Betreiber in der ganzen Europäischen Union geschaffen hat. Die EU-Regeln treffen aber auch für amerikanische oder andere Anbieter zu, welche in Europa ihre Datenräume zur Cloudmiete anbieten. Damit sollen Wettbewerbsnachteile gegenüber Drittstaaten ohne vergleichbares Datenschutzniveau ausgeglichen werden.

Europäischen Anbieter mit datenschutzkonformen Datenräume

Datenschutzgrundverordnung bringt Ausgleich zwischen Privatheit der Bürger und Interessen der Industrie
Foto: fotlia.com, Robert Kneschke

Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) betont, ist das zentrale Anliegen der DSGVO, mit Hilfe eines zeitgemäßen und europaweit einheitlichen Datenschutzregimes die Grundrechte auf Privatheit der Bürger und die Interessen der Industrie – insbesondere an der Nutzung personenbezogener Daten – in einen konstruktiven Ausgleich zu bringen. Ein weiteres Ziel der DSGVO sei es, technikneutrale Regelungen zu schaffen, um sich nicht in einen gesetzgeberischen Wettlauf mit der technischen Entwicklung zu begeben, bei der der Daten- und damit der Persönlichkeitsschutz Gefahr liefe, dauerhaft hinterher zu hinken.

Das Recht auf Vergessenwerden und die Datenportabilität

Als wesentliche neue Regelungsaspekte der DSGVO stellt die Mainzer Behörde das Marktortprinzip heraus. Das ist das Recht auf Vergessenwerden und die Datenportabilität, die etwa den Wechsel zwischen Diensteanbietern erleichtert, weil alle eine Person betreffenden Daten auf Verlangen in einem gängigen elektronischen Format bereitgestellt und herausgegeben werden müssen. Nach dem Marktortprinzip gelten die Regelungen der DSGVO für alle Unternehmen weltweit, sofern sie ihre Waren oder Dienstleistungen auch in der EU anbieten. Um es Betroffenen zu erleichtern, ihre Rechte geltend zu machen, ist nach dem Prinzip des „one stop shop“ in der DSGVO künftig eine koordinierte Zusammenarbeit der europäischen Datenschutzaufsichtsbehörden festgelegt, damit die Bürger sich ohne administrative Hindernisse oder Sprachbarrieren an die Aufsichtsbehörde im eigenen (Bundes-)Land wenden können und diese gegebenenfalls die Kommunikation mit Unternehmen in und außerhalb Deutschlands übernimmt. Technisch-organisatorische Vorgaben der DSGVO – wie privacy by design oder privacy by default – schreiben verantwortlichen Unternehmen vor, bereits bei der Entwicklung eines Produkts oder eines Dienstes Anforderungen des Datenschutzes zu berücksichtigen, beispielsweise durch datenschutzfreundliche Voreinstellungen.

Landesbeauftragte stellt Infos und praktische Infos bereit

LfDI-Behördenchef Prof. Dr. Dieter Kugelmann hat die zwei Jahre von Inkrafttreten bis zum Wirksamwerden der DSGVO intensiv genutzt: „Meine Behörde hat durch die DSGVO mehr Verantwortung und ein differenzierteres aufsichtliches Instrumentarium erhalten. Wir haben uns auf das Wirksamwerden der DSGVO gut vorbereitet und werden die Befugnisse angemessen, aber auch konsequent anwenden. Zudem werden wir durch die DSGVO viel stärker als bisher im europäischen Kontext arbeiten.“ Die Vorbereitungen des LfDI die Zeit nach dem 25. Mai gelten im weit höheren Maße denjenigen, die die neuen Datenschutzregelungen anwenden müssen, und insbesondere deren Beratung und Unterstützung. Mit zahlreichen Informationsveranstaltungen in ganz Rheinland-Pfalz und mit einer Vielzahl von Handreichungen – etwa zum Datenschutz im Unternehmen, in der Arztpraxis, im Verein oder rund um personenbezogene Daten und Werbung – bietet der LfDI Informationen für die praktische Anwendung.

Gelassenheit vor einer Abmahnwelle mit horrenden Bußgeldern

Hinsichtlich der in den letzten Wochen teilweise zu beobachtenden Aufregung in Bezug auf die Datenschutz-Grundverordnung rät Prof. Dr. Kugelmann zur Gelassenheit: „Uns haben unzählige Anfragen erreicht, ob nun eine Abmahnwelle drohe oder ob die Datenschutzaufsichtsbehörden künftig horrende Bußgelder verhängen würden. Wir Datenschützer können nicht in die Zukunft sehen. Unser Augenmerk liegt aber auf der Durchsetzung der datenschutzrechtlichen Standards, nicht auf der Verhängung von Sanktionen. Allerdings schrecken wir davor auch nicht zurück, wenn wir von erheblichen Verstößen erfahren. Der Schwerpunkt wird zunächst auf der Bearbeitung von Beschwerden liegen. Hinzu treten Abfragen bei Gruppen von Verantwortlichen nach dem Stand der Umsetzung in ihrem Verantwortungsbereich. Untersuchungen vor Ort dürften in gewissem Umfang erforderlich sein. Das vielfältige Instrumentarium, das neben der Beratung etwa Verwarnungen, Anweisungen oder Geldbußen enthält, werden wir in verhältnismäßiger und effektiver Weise nutzen. So wollen und werden wir unsere Aufgaben erfüllen und den Bestimmungen der Datenschutz-Grundverordnung zur Durchsetzung verhelfen.“

Datenschutzgrundverordnung bei Datenräumen

Unternehmen und Behörden, die Datenräume zum sicheren Datenaustausch nutzen, sind nun verpflichtet, noch mehr Sorgfalt im Umgang mit personenbezogenen Daten walten zu lassen und nachzuweisen. Für Datenräume ergeben sich jedoch wenige Neuerungen, die nicht bereits vorher schon vertraglich und datenschutzrechtlich geregelt waren. Die wichtigste ist dabei, dass beim Einstellen der Dokumente in die Datenräume empfohlen wird, personenbezogene Daten zu pseudonymisieren, zu verschlüsseln oder zu schwärzen. Der Gerichtsstand muss selbstredend künftig innerhalb der EU sein. Andere Voraussetzungen, wie die Umsetzung der technischen und organisatorischen Maßnahmen (TOM), galten schon vor dem Inkrafttreten und regelten den sicheren Zutritt, die Sicherung und das Handling von Backups zu den Datenraum-Clouds. Sicherheitslücken sind nach der Verordnung sofort der Behörde und dem Geschädigten anzuzeigen. Datenraum-Betreiber wie dataroomX haben bereits im vergangenen Jahr ihre Verträge an die neuen Standards angepasst und waren „DSGVO-konform“ aufgestellt.

dataroomX® kostenlos testen!

Probieren Sie unsere digitalen Datenräume ganz unverbindlich aus und werden Sie unser nächster zufriedener Kunde.