CeBIT 2016: IT-Provider in der Pflicht

Das EU-Datenschutzgesetz für Rechenzentren interpretiert

Datenschutz für Internet-Nutzer! Datenschutz? Bislang waren Rechenzentrumsbetreiber eher außen vor. Ist Datenschutz nicht ein IT-Thema und für Rechtanwälte? Doch bis 2018 ist das neue Europäische Datenschutzgesetz auch bei allen Datacenter-Betreibern für sich und für die Kunden umzusetzen. Was heißt das?

IT-Provider müssen künftig ihre Produkte datenschutzfreundlich gestalten. Für riesige Aufmerksamkeit hatte unter anderem die Klage des Österreichers Max Schrems gesorgt, der gegen das Safe-Harbor-Abkommen geklagt hatte – und vom Europäischen Gerichtshof Recht bekam.

An die neuen Datenschutzregeln aber müssen sich nun nicht nur europäische Unternehmen, sondern auch etwa US-Firmen halten, wenn sie sich Ihre Produkte hier anbieten. Das heißt beispielsweise, dass Firmen Daten nicht an Behörden in Nicht-EU-Staaten, also auch in die USA geben dürfen – ohne hier die Rechtsgrundlage genau zu prüfen. Bei Verstößen gegen den Datenschutz sollen hohe Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes drohen.

Warum geht das Thema Datenschutz eigentlich Datacenter-Betreiber etwas an?

Monika Grass: Tatsächlich waren die Provider bis dato nicht besonders in der Pflicht, wenn Sie Daten nur im fremdem Auftrag verarbeitet haben. Den Datenschutz regelte hierzulande das deutsche Bundesdatenschutzgesetz (BDSG). Doch das ändert sich nun und wird durch eine EU-Verordnung ersetzt.

Doch mir ist ebenso wenig klar, was das EU-Recht alles impliziert wie viele andere auch. Deshalb plane ich dieses Informations- und Diskussionsforum. Es soll um Haftung, Sanktionen, Benachrichtigungspflichten und Betroffenheitsrechte gehen.

Wie sähe denn ein solches Datenschutzprofil für Rechenzentrumsbetreiber aus?

Monika Grass: Das gilt es herauszubekommen und zwar zügig. Nehmen wir einmal an, ein Provider schließt einen heute üblichen Vertrag auf fünf Jahre. Da sich im Jahr 2018 die grundlegenden Spielregeln vermutlich ganz anders darstellen, sind die heutigen Konditionen unter Umständen nicht mehr einzuhalten, zum Beispiel weil sich die Versicherungsprämien erhöhen. Denn heute kann der diese Vorkehrungen dem Kunden noch nicht in Rechnung stellen.

Doch spätestens ab 2018 rutscht er mit demselben Vertrag ins Minus. Dr. Christoph Ritzer aus der Kanzlei Norton Rose Fulbright LLP wird darauf hinweisen, dass Provider künftig mit ihren Kunden Gesamtschuldnerisch haften. Dieses Risiko werden Provider in ihrer Risikokalkulation mit berücksichtigen müssen.

Doch zugleich werden viele Bestimmungen aus dem deutschen Datenschutzrecht ins europäische übernommen.

Monika Grass: Ja, für viele dürfte sich das EU-Recht vertraut anfühlen. Die wesentlichen Grundsätze bleiben erhalten – diese waren ja auch bisher durch EU-Recht schon vorgegeben. Aus dem geltenden deutschen Recht sind vor allem viele Details zur Auftragsverarbeitung übernommen worden.

Am Donnerstag, den 18. März, hält Dr. Ritzer ab 15:30 Uhr in Halle 12 Stand A 39 im International Buyers Club seinen Vortrag. Er wird aufzeigen, welche neuen Pflichten sich für Kunden und Datacenter Provider durch das neue Europäische Datenschutzrecht ergeben.

Autor: Ulrike Ostler

(c)2016 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.