Am 25. Mai 2019 wurde die Datenschutzgrundverordnung ein Jahr alt. Da sie bereits vor ihrem offiziellen Inkrafttreten für viel Wirbel und Kritik gesorgt hat, ist der erste Geburtstag Grund genug einmal auf das vergangene Jahr zurückzublicken und Bilanz zu ziehen. Unser Kollege Andreas Meißel aus der Rechtsabteilung nahm für uns in „3 Fragen an…“ Stellung.
1. 1 Jahr DSGVO bei Brainloop. Welche Erfahrungswerte und Beobachtungen gibt es?
Nach meiner Erfahrung existiert bei allen Beteiligten – Kunden, Dienstleistern, Betroffenen – inzwischen durchweg ein stark erhöhtes Datenschutzbewusstsein. Wir merken das an der stark gestiegenen Zahl zu spezifisch datenschutzrechtlichen Fragen durch unsere Kunden. Manche Unsicherheit ergibt sich daraus, dass wir aktuell noch viele offene Rechtsfragen haben. Klärungsbedarf besteht beispielsweise beim Thema, was genau unter Anonymisierung und Pseudonymisierung zu verstehen ist. Als Ausweg aus der bestehenden Unsicherheit wollen Vertragspartner auch dann auf die Einwilligung als Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zurückgreifen, wenn dies aus rechtlicher Sicht nicht nötig ist. Bei einer großen rechtlichen Veränderung wie der durch die DSGVO ist das aber völlig normal. Ich bin mir sicher, dass sich hierzu in ein paar Jahren alles besser eingespielt haben wird.
2. Wie haben sich die Prioritäten unserer Kunden durch die DSGVO verändert sowohl in Bezug auf vertragliche als auch technische Maßnahmen?
Wir bieten unseren Kunden schon sehr lange standardmäßig den Abschluss eines Auftragsverarbeitungsvertrages an. Durch das Inkraftreten der DSGVO werden Kunden hinsichtlich des Abschlusses von AV-Verträgen allerdings wesentlich stärker in die Pflicht genommen, als das noch unter der Geltung des BDSG der Fall war. Denn die Verantwortung für die Einhaltung der Pflichten aus Art. 28 DSGVO obliegt nun viel stärker den Kunden. Deshalb ist es unseren Kunden inzwischen auch noch wichtiger, bereits bei Beginn des Vertragsverhältnisses für die Verarbeitung personenbezogener Daten einen AV-Vertrag abgeschlossen zu haben. Außerdem ist Brainloop seit April 2018 TCDP-zertifiziert. Dank dieses Trusted-Cloud-Datenschutzprofils erleichtern wir unseren Kunden ebenfalls die gesetzlich vorgeschriebene Überprüfung der Datenschutzvorkehrungen bei Cloud-Diensten.
Merklich zugenommen haben aber auch Nachfragen zu einzelnen Details des AV-Vertrags, beispielsweise zu den Server-Standorten oder den einzelnen umgesetzten technischen und organisatorischen Maßnahmen. Alle von Brainloop eingesetzten Server befinden sich innerhalb der EU bzw. bezogen auf die Schweiz im Europäischen Wirtschaftsraum. Die jeweiligen Daten verlassen dabei das konkrete Land nicht.
3. Konnte sich die DSGVO im letzten Jahr trotz anfänglicher Kritik bewähren und ihr Ziel einheitlicher europäischer Datenschutzstandards erreichen? Was ist in Zukunft zu erwarten?
Platt gesprochen: Aller Anfang ist schwer. Die zahlreichen Anforderungen der DSGVO waren für viele Marktteilnehmer 2018 sicher eine große Herausforderung. Wir stellen inzwischen aber fest, dass viele Kunden – national und international – die Einhaltung hoher Datenschutzstandards zu einem wesentlichen Entscheidungskriterium machen, welchen Dienstleister sie auswählen bzw. ob sie bei ihrem gewählten Dienstleister bleiben. Ein einheitlicher Datenschutzstandard, der in der Praxis tatsächlich in der gesamten EU gelebt wird, wird sich erst über die Zeit etablieren. Im Moment legen die Aufsichtsbehörden einzelner EU-Mitgliedsstaaten, aber auch die verschiedenen Aufsichtsbehörden in Deutschland, viele Punkte unterschiedlich aus. Ebenso differenziert sich die Umsetzung nicht nur bei Unternehmen in Deutschland oder der EU, sondern auch bei Konzernen oder KMU, da die Maßstäbe aktuell noch sehr verschieden angelegt sind. Die Anwendung sehr hoher, interner Anforderungen bei der Umsetzung der DSGVO stellt für Brainloop aber schon heute einen spürbaren Wettbewerbsvorteil dar.
Über Andreas Meißel
Andreas Meißel ist seit über neun Jahren als Rechtsanwalt zugelassen und verfügt über sechs Jahre Berufserfahrung als Volljurist/Syndikusrechtsanwalt in Unternehmen der IT-Branche. Als zertifizierter Datenschutzbeauftragter und Compliance Officer (univ.) liegen seine fachlichen Schwerpunkte in den Bereichen Datenschutz und Compliance sowie dem IT-Recht. Seit Februar 2019 ist er Legal Counsel in der Rechtsabteilung bei Brainloop.
Geschrieben von Nadine Stimmer
Brainloop, Compliance, Interviews