DSGVO-konforme Datenräume – jetzt Datenschutz prüfen

Die neue Europäische Datenschutzgrundverordnung (EU-DSGVO), international als GDPR abgekürzt, ist nun seit drei Jahren in Kraft und hat die Verarbeitung personenbezogener Daten massiv verändert. Nicht nur in Europa haben die strengen Gesetze zu einem Umdenken geführt. Im Zuge der Einführung der EU-DSGVO haben internationale Cloud- und Portalbetreiber ihre Services verbraucherfreundlicher umgestellt. Der Smartphone- und Computerhersteller Apple Inc. ist sogar von den Gesetzen der Europäern begeistert. Scherte sich doch der Amerikaner wenig um seine Daten und den Datenschutz. Auch die im Zuge von M&A-Transaktionen eingesetzte Cloudlösungen mussten sich anpassen. Für ausländische Anbieter, die ihre Server bislang nicht in Europa unterhielten, war eine Umstruktierung der Serverstandorte notwendig.

Datenschutzkonforme Datenräume nur von europäischen Anbietern

Das Nutzen von US-amerikanischen Datenraum-Anbietern ist nicht DSGVO-konform. Denn US-amerikanische Techfirmen müssen US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA erfolgt. US-Behörden hatten in verschiedenen Fällen Probleme, an die im US-Ausland gespeicherte Daten zu gelangen. Daher wurde das Gesetz eingeführt. Problematisch ist zudem, dass besagten Techfirmen nach der CLOUD Act verboten werden kann, ihre Benutzer über eine solche heimliche Abfrage von Benutzerdaten zu informieren. Diese rechtliche Unsicherheit können Nutzer von M&A-Datenräumen nur umgehen, indem sie eine Datenraum-Lösung auswählen, deren Betreiber der EU-Datenschutzgrundverordnung unmittelbar unterliegen. dataroomX^® ist ein deutscher Anbieter, der in Hochsicherheitsrechenzentren seine Datenräume sicher vor dem Zugriff von Behörden und Nachrichtendiensten hostet.

Vereinfachung: Einwilligung ist formfrei möglich

Was bringt die Datenschutzgrundverordnung aber Neues? Wie bisher wird auch künftig eine Datenverarbeitung auf der Grundlage einer Einwilligung möglich sein; Voraussetzung ist, dass es freiwillig ist und der Nutzer informiert wird. Auch die Bindung der Einwilligung an bestimmte Verarbeitungszwecke gilt weiterhin. Anders als bisher ist die Einwilligung grundsätzlich formfrei möglich. Voraussetzung ist, dass mit einer eindeutigen bestätigenden Handlung die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt.

Dokumentationspflicht: Verarbeitungstätigkeit mit Datenschutzfolgeabschätzung

Art. 30 DSGVO verpflichtet die Verantwortlichen ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu führen. Dieses enthält die wesentlichen Angaben zum Verantwortlichen, der Art der verarbeiteten Daten, etwaigen Datenempfängern, Löschfristen, und Sicherheitsmaßnahmen. Die Datenschutz-Folgenabschätzung ist ein Instrument der Datenschutzgrundverordnung. Sie betrifft Wirtschaft und Verwaltung. Ähnlich der bisherigen Vorabkontrolle dient sie dazu, datenschutzrechtliche Risiken, die von Datenverarbeitungsvorgängen ausgehen, vorab zu identifizieren und einzudämmen. Unternehmen, Behörden und Institutionen, die Datenräume für Due Diligence-Prozesse nutzen, sollten die Verarbeitungstätigkeit mit dataroomX^® dokumentieren und um eine Datenschutzfolgeabschätzung ergänzen. Die Bitkom stellt einen Leitfaden zum Download bereit.

Angemessene Sicherheit der technischen und organisatorischen Maßnahmen

Wie der Datenschutzbeauftragte des Landes Rheinland-Pfalz schreibt, ersetzen die Regelungen der Europäischen Datenschutzgrundverordnung zur Sicherheit der Verarbeitung die bisherigen technisch-organisatorischen Vorgaben. Die wesentlichen Anforderungen finden sich in den Art. 5, Art. 25 und Art. 32 DSGVO. Danach muss durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit gewährleistet werden. In der Terminologie nimmt die DSGVO dabei auf die allgemeinen Kriterien für die Bewertung der Sicherheit von Informationstechnologie Bezug. Von Bedeutung ist künftig ein risikobasierter Ansatz, d.h. die Ausrichtung der erforderlichen Maßnahmen an der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Dabei sind insbesondere folgende Risiken in den Blick zu nehmen:

• unbeabsichtigte/unrechtmäßige Vernichtung und Veränderung,
• unbeabsichtigter/unrechtmäßiger Verlust,
• unbefugte Offenlegung,
• unbefugter Zugang zu personenbezogenen Daten.

Neu: Formalisierte Risikoanalyse

Dies begründet die Notwendigkeit einer stärker als bislang formalisierten Risikoanalyse. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art und Zwecke der Verarbeitung hat dataroomX^® geeignete technisch-organisatorische Maßnahmen getroffen, die im Zuge der Riskoanalyse folgendes einschließen:

• Verschlüsselung der Daten
• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
• Rasche Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem Zwischenfall

Die Zugangssicherheit wird bei dataroomX® groß geschrieben: dataroomX® steht für höchste Sicherheitsstandards. Das Rechenzentrum bietet eine hochsichere IT-Infrastruktur gemäß der EU-DSGVO. Die Datenspeicherung erfolgt ausschließlich in Deutschland. Es werden umfangreiche Qualitäts- und Sicherheitsprüfungen gewährleistet. Verlässlichkeit wird groß geschrieben. Damit sind die Kunden und Nutzer von dataroomX^® auf der sicheren Seiten und haben einen vertraulichen Partner an ihrer Seite.

Kein datenschutzgerechter Einsatz von Microsoft Office 365

Zu diesem Ergebnis kommt das Papier der „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“, kurz Datenschutzkonferenz. Die Entscheidung der Datenschutzkonferenz erging aber mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Jetzt sind sich die Datenschützer nicht mehr grün. Denn gegen die „uneingeschränkte Zustimmung“ sprechen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, welcher für die Microsoft Deutschland GmbH zuständig ist. Der Tenor: Rechtsunsicherheiten seien bei Microsoft Office 365 da, aber mit dem Hersteller habe es noch keine förmliche Anhörung gegeben. (mehr …)

Datenräume in den USA und von US-Anbietern für europäische Unternehmen datenschutzwidrig

Der Europäische Datenschutzausschuss, das sogenannte European Data Protection Board (edpb), hat erneut den US Privacy Shield und den CLOUD Act für datenschutzwidrig erklärt und nochmals seine Einwände begründet. Der Ausschuss ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. (mehr …)

Aufgepasst: Keine Datenräume als App nutzen – Höchste Sicherheitsstufe des BSI

Es gibt Anbieter von Datenräumen, die den Zugriff auf eben diese per App erlauben: z.B. in Apples App Store oder Google Play. Davor warnt dataroomX^® ganz entschieden: Apps haben oft Sicherheitslücken, mit denen die Datenräume gehackt werden können. (mehr …)