Start Cloud DSGVO und Brexit – Ist Ihr Cloud-Anbieter bereit dafür, dass Großbritannien „wie...

DSGVO und Brexit – Ist Ihr Cloud-Anbieter bereit dafür, dass Großbritannien „wie ein Drittland behandelt“ wird?

3
0


Die britische Regierung hat immer behauptet, dass nach dem Brexit die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in das britische Recht übernommen wird. Dies bedeutet, dass es keine wesentlichen Änderungen an den Datenschutzbestimmungen geben wird, die Unternehmen in Großbritannien befolgen müssen.

Die französische Datenschutzaufsichtsbehörde hat jedoch kürzlich erklärt, dass im Falle eines No-Deal-Brexit und des Fehlens eines Angemessenheitsbeschlusses es wird Großbritannien wie jedes andere Land behandeln das außerhalb des Europäischen Wirtschaftsraums liegt. Mit anderen Worten, es wird Großbritannien als „Drittland“ behandeln. Es ist wahrscheinlich, dass auch andere Regulierungsbehörden der EU-Länder diesen Ansatz verfolgen werden – und solche Entscheidungen haben rechtliche Auswirkungen auf Unternehmen.

Zunächst müssen Unternehmen neue Prozesse für die Datenübertragung durch Datenverantwortliche und Datenverarbeiter einführen. Ebenso wichtig ist, dass Unternehmen die Abläufe und Aufgaben ihrer Cloud-Dienstleister gut verstehen. Wenn beispielsweise ihre Cloud-Dienste nicht in Großbritannien ansässig sind, könnten Unternehmen – insbesondere solche mit mehreren Gerichtsbarkeiten – Gefahr laufen, gegen Datenschutzbestimmungen zu verstoßen.

Jedes Unternehmen, das dieser Situation zuvorkommen möchte, muss seinem Cloud-Anbieter mehrere wichtige Fragen stellen – und die Antworten genau beachten – um sicherzustellen, dass es für alles, was der Brexit mit sich bringt, gerüstet ist.

Frage Nr. 1 für jeden Cloud-Anbieter: „Können Sie Daten erfolgreich aus Großbritannien an einen anderen Ort migrieren?“

Viele Cloud-Anbieter haben Rechenzentren – und damit Kundendaten – in Großbritannien. Für den Fall, dass das Vereinigte Königreich nicht mehr zur EU gehört, ziehen es viele Unternehmen möglicherweise vor, sicherzustellen, dass ihre Daten an einem Ort gespeichert sind, an dem ist Teil der EU, um nicht auf geeignete Garantien gemäß Artikel 46 DSGVO ihre Daten im Vereinigten Königreich zu speichern.

Verfügt Ihr Cloud-Anbieter über bereits gebaute und voll funktionsfähige Rechenzentren in der EU? Wenn nicht, ist dies natürlich ein Problem, wenn Sie Ihre Daten lieber in der EU speichern möchten – aber selbst wenn sie tun haben Rechenzentren an Orten wie beispielsweise Deutschland oder den Niederlanden, wie einfach ist es für sie, Ihre Daten aus Großbritannien in eines dieser anderen Länder zu verlagern?

Für einige Cloud-Anbieter wird dies ein nahtloser Übergang sein. Für andere Anbieter wird es aufgrund ihrer Architektur sehr schwierig sein, diese Migration problemlos durchzuführen. Es ist daher ratsam, Ihren Anbieter zu fragen, wie gut er darauf vorbereitet ist, seine Kunden an einen anderen Standort zu verlegen – nicht nur „Haben Sie Rechenzentren in der EU?“ aber auch „wie schnell und einfach können Sie bestehende Kunden auf diese Rechenzentren umstellen?“

Frage Nr. 2 für jeden Cloud-Anbieter: „Wer ist Ihr Datenschutzbeauftragter?“

Jede Kundenorganisation, die mit einem Cloud-Anbieter Geschäfte macht, vertraut diesem Anbieter eine beträchtliche Datenmenge an. Was unternimmt der Cloud-Anbieter, um diese Daten zu schützen – und schützt er sie auf dem von der DSGVO geforderten Niveau?

Artikel 37 DSGVO erfordert in bestimmten Situationen die Benennung eines Datenschutzbeauftragten (DSB). Die DSGVO bietet einen gewissen Spielraum, wer einen DSB benennen muss und wer als DSB fungieren kann: Dies kann eine Einzelperson oder eine Organisation sein.

Unabhängig davon, wer als DSB fungiert, tragen sie ein erhebliches Maß an Verantwortung auf ihrem Teller. Entsprechend Artikel 39 DSGVO, gehören zu den Verantwortlichkeiten eines DSB:

  • den Verantwortlichen oder den Auftragsverarbeiter und die Mitarbeiter, die die Verarbeitung durchführen, über ihre Pflichten nach dieser Verordnung und anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten zu informieren und zu beraten;
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten und der Richtlinien des Verantwortlichen oder des Auftragsverarbeiters in Bezug auf den Schutz personenbezogener Daten, einschließlich der Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des an der Verarbeitung beteiligten Personals Betrieb und die damit verbundenen Prüfungen;
  • bei Bedarf Beratung in Bezug auf die Datenschutz-Folgenabschätzung zu erteilen und deren Leistung zu überwachen
  • mit der Aufsichtsbehörde zusammenzuarbeiten;
  • als Anlaufstelle für die Aufsichtsbehörde in Fragen der Verarbeitung zu fungieren

Wenn Ihr Cloud-Anbieter keinen Datenschutzbeauftragten ernannt hat, auch wenn dies gemäß der DSGVO nicht erforderlich ist, könnte dies Anlass zur Sorge geben, da die Verantwortlichen die DSGVO einhalten. Unter den Anbietern, die verfügen über zum DSB ernannt wurde, sollte man sich genauer ansehen, wer in dieser Funktion tätig ist.

Viele Anbieter ernennen eine Person innerhalb ihrer eigenen Organisation als ihren DSB – und diese Person ist möglicherweise durchaus in der Lage, die von ihnen geforderten Aufgaben und Verantwortlichkeiten zu erfüllen. Wenn der DSB jedoch Mitglied derselben Organisation ist, die er überwachen soll, kann es Situationen geben, in denen die Potenzial wenn ein Interessenkonflikt auftritt, beispielsweise wenn der DSB bei der Wahrnehmung seiner Aufgaben größtmögliche Unabhängigkeit benötigt. Natürlich sollte der DSB keine Tätigkeiten ausüben, bei denen er den Zweck und die Mittel der Datenverarbeitung bestimmt, sodass andere interne Aufgaben, die seine Rolle mit der des für die Verarbeitung Verantwortlichen verwischen, einer sorgfältigen Prüfung bedürfen.

Viele Cloud-Anbieter haben beschlossen, potenzielle Konflikte zu vermeiden, indem sie ausdrücklich eine Drittorganisation als DSB ernennen. Wenn ein Unternehmen sich einer Finanzprüfung unterzieht, beauftragt es schließlich eine externe Wirtschaftsprüfungsgesellschaft. Wenn sie sich einem Sicherheitsaudit unterziehen, beauftragen sie externe Auditoren. Einfach ausgedrückt, es gibt einen Wert in einer Bescheinigung, die von der außen und nicht innerhalb einer Organisation.

Suchen Sie nach Anbietern, die einen Schritt vorausdenken und externe Prüfer für den Datenschutz bereitstellen können, so wie es viele Unternehmen bereits für Finanzen oder Sicherheit tun. Auch wenn es möglicherweise noch keine Zertifizierungsstelle für den Datenschutz gibt, wird es bald eine geben – und diejenigen Anbieter, die sich die Zeit und Mühe genommen haben, diese Trennung zwischen sich und ihrem Datenschutzbeauftragten zu schaffen, sind am besten in der Lage, die Einhaltung gesetzlicher Vorschriften zu erreichen so viel Sorgfalt wie möglich.

Beginnen Sie jetzt mit der Vorbereitung

Niemand weiß genau, was mit dem Brexit passieren wird. Um jedoch sicherzustellen, dass sie nicht auf Probleme mit der DSGVO-Compliance stoßen, müssen Unternehmen jetzt über diese Probleme nachdenken, um sicherzustellen, dass ihre Cloud-Anbieter auf alles vorbereitet sind, was vor ihnen liegt. Wenn Sie die oben genannten Fragen stellen, können Unternehmen sicherstellen, dass sie mit einem Cloud-Anbieter zusammenarbeiten, der sich nach besten Kräften auf die Vorbereitung und Einhaltung der DSGVO für den Fall unternimmt, dass Großbritannien ein „Drittland“ wird.

Bildnachweis: Phloxie/Shutterstock

Als General Manager ist Dan Dosen für die kommerziellen Aspekte der iManage Cloud verantwortlich, einschließlich Kunden-Onboarding, Sicherheits-Compliance und Cloud-Roadmap. Zuletzt war er VP Business Development bei Microsystems und VP Product Management bei SpringCM.



Vorheriger ArtikelSolus 4.1 Fortitude Linux-Distribution jetzt zum Download verfügbar mit Budgie, GNOME, KDE Plasma und MATE
Nächster ArtikelRückrufwarnung: Ihr Apple MacBook Pro könnte eine Brandgefahr darstellen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein