Dadurch müssen Unternehmen, die Daten in „nicht sichere“ Drittländer übermitteln, ihre Rahmenverträge bis 28. Dezember 2022 an die neuen EU-Vorgaben anpassen. Anderenfalls können Unterlassungsanordnungen und Zahlungen von bis zu 20 Mio. Euro oder vier Prozent des Umsatzes die Folge sein.
Geänderte Datenschutz-Regelungen auf EU-Ebene
Zum Jahreswechsel treten erneut datenschutzrechtliche Änderungen in Kraft. Die Anpassung betrifft die Standardvertragsklauseln der EU, die Rechte und Pflichten regeln, um in Drittländern ein den europäischen Standards angemessenes Datenschutzniveau zu schaffen. Für Unternehmen werden diese relevant, wenn sie personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraumes übermitteln. Dies gilt ebenfalls für in Anspruch genommene Cloud-Dienstleistungen.
Die neue und strengere Version der DSGVO erklärt Datentransfers in Länder wie die USA, China oder Indien ab sofort als „nicht sicher“ und trägt damit dem Urteil von Schrems-II Rechnung. Besonders für IT-Dienstleister stellt dies eine große Herausforderung dar, da diese häufig personenbezogene Daten in einem der oben genannten, wirtschaftlich wichtigen Länder weiterverarbeiten.
All jene Unternehmen, die Cloud-Dienstleister auf Grundlage von Standardvertragsklauseln beauftragen, die ihre Daten in „sicheren“ Ländern neben des EWR in der Schweiz, Großbritannien, Japan, Uruguay oder Israel verwalten, haben an dieser Stelle keinen Handlungsbedarf (siehe Angemessenheitsbeschlüsse nach Art. 45 DSGVO). Eine verlässliche Methode, um dies zu überprüfen, ist der Nachweis der Einhaltung des EU Cloud Code of Conduct. Der CoC bezeichnet einen umfassenden Verhaltenskodex der europäischen Cloud-Industrie, der die einheitliche Durchsetzung europäischer Datenschutzstandards auf Basis der Datenschutz-Grundverordnung als oberste Priorität sieht. Eine Zertifizierung auf Level 3 gilt als bester, unabhängiger Beleg für ein höchstes Maß an Datenschutz und besagt, dass sich sämtliche gespeicherte Informationen innerhalb der EU befinden.
Falls Drittländer involviert sind, bei denen keine gleichwertigen Datenschutzstandards bestehen, müssen die Verantwortlichen mit zusätzlichen Vereinbarungen ein entsprechendes Niveau erreichen (siehe Empfehlungen 01/2020 des Europäischen Datenschutzausschusses). Dazu gehört gleichermaßen auch die Vergewisserung, dass die praktische Umsetzung der Änderungen allen technischen und organisatorischen Anforderungen an die jeweilige bezogene Leistung Rechnung trägt. Eine Nichtbeachtung bzw. -umsetzung der neuen Vorgaben kann zu Unterlassungsanordnungen und Zahlungen von bis zu 20 Millionen Euro oder vier Prozent des Umsatzes führen.
Einfache Umsetzung mit smartem Vertragsmanagement
Um den gesamten Vertragsbestand so effizient wie möglich auf die entsprechenden Standardklauseln zu kontrollieren, bietet sich der Einsatz einer intelligenten Vertragsmanagement-Software wie Fabasoft Contracts an. Diese identifiziert mithilfe der semantischen Volltextsuche auf Knopfdruck alle relevanten Verträge und beschränkt so den Suchaufwand auf ein Minimum. Zudem unterstützt das Produkt mit smartem Klauselmanagement bei der Anpassung der Vereinbarungen. Metadaten gelangen über Textbausteine und Klauselbibliotheken direkt in die Dokumentenvorlagen und tragen so zu einer raschen und automatisierten Erstellung bzw. Änderung der Textpassagen bei. Das reduziert nicht nur den Aufwand und das Fehlerpotenzial, sondern auch die Anzahl der notwendigen Freigaben erheblich. Sind die Verträge schließlich den neuen Regelungen entsprechend aufgesetzt, bindet Fabasoft Contracts die externen Partner direkt zum Abschluss mit ein.
Als einziger Cloud-Dienstleister weltweit erreicht Fabasoft die dritte und höchste Compliance-Stufe des EU Cloud CoC.
Fazit
Idealerweise arbeiten Unternehmen bereits mit Cloud-Anbietern zusammen, die nachweisen können, dass sämtliche Daten den EWR nicht verlassen. Anderenfalls besteht dringender Handlungsbedarf, um die neuen Datenschutz-Vorgaben rechtzeitig bis zum 28. Dezember 2022 zu erfüllen. Smartes, zertifiziertes Vertragsmanagement unterstützt schnell und sicher bei der Evaluierung, der Anpassung und dem Abschluss der relevanten Vereinbarungen.
