Digitalisierung und Cloud-ModelleCloud-Provider stellen für Unternehmen aus der Privatwirtschaft und für Anwender*Innen im öffentlichen Sektor (Bundes-, Landes-, Kommunalverwaltungen und öffentliche Unternehmen) zahlreiche attraktive Cloud-Modelle als Innovationsmotor für die digitale Transformation bereit. Vernetzte Dateninfrastrukturen (wie zukünftig das EU-Projekt GAIA-X) ermöglichen einen jederzeitigen, standortunabhängigen Zugriff auf in der Cloud gespeicherte Daten. Hochskalierbar, bedarfsabhängig, kostengünstig und in Echtzeit bieten Cloud-Provider Rechen- und Speicherkapazitäten (Infrastructure-as-a-Service), Entwicklungs- und Ausführungsumgebungen (Platform-as-a-Service) oder standardisierte Anwendungen (Software-as-a-Service) an. Die Cloud-Produkte werden beliebigen Nutzern (Public Cloud), konzerninternen Anwendern (Private Cloud), gemeinsam mit anderen Cloud-Providern (Community Cloud) oder als Kombination (Hybrid Cloud) bereitgestellt.Schrems-II-Urteil und Rechtsgrundlagen für DatentransferDatenmengen werden an den Cloud-Provider übermittelt und zentral in der Cloud gespeichert. Weltweit verfügen gerade die US-Hyperscaler (Microsoft, Amazon, IBM, Salesforce und Google) über den größten Marktanteil, die höchste Skalierbarkeit und Funktionalität. Bei US-Cloud-Anbietern ist jedoch unsicher, inwieweit Ermittlungsbehörden auf die in der Cloud gespeicherten Daten zugreifen dürfen. Nach Sec. 702 „Foreign Intelligence Surveillance Act“ (FISA) dürfen US-Sicherheitsbehörden i. R. d. PRISM- und UPSTREAM-Überwachungsprogramme auf übermittelte Daten zugreifen. Dieses mangelnde Datenschutzniveau in den USA führte bereits zur Unwirksamkeit des Safe-Harbor-Abkommens (Schrems-I). Im Juli 2020 erklärte der EuGH (Schrems-II) auch das Nachfolgeabkommen (EU-US-Privacy-Shield) für unwirksam, weshalb seitdem eine Grundlage für einen Angemessenheitsbeschluss fehlt.DSGVO-Grundsätze zum DatentransferDer Anwender (Datenexporteur) ist für die Übermittlung und Datenverarbeitung durch den Cloud-Anbieter (Datenimporteuer / Auftragsverarbeiter) verantwortlich. Verarbeitet der Cloud-Provider die Daten außerhalb der EU, greifen die Grundsätze zum Datentransfer in Drittstaaten (Art. 44 ff. DSGVO). Als Erlaubnisgründe kommen ein Angemessenheitsbeschluss der EU-Kommission, geeignete Garantien (etwa Standarddatenschutzklauseln) und Ausnahmeregelungen in Betracht.Lösungen für einen datenschutzkonformen Cloud-EinsatzDie EU-Kommission hat am 04.06.2021 Standardvertragsklauseln (SCC) angenommen, die bei Datentransfers angewendet werden können. Sie sollen die EuGH-Vorgaben umsetzen, wonach die SCC‘s durch weitere Klauseln / zusätzliche Garantien („additional safeguards“) zu flankieren sind. Zukünftig obliegt Verwendern und Aufsichtsbehörden die Prüfpflicht, ob die neuen SCC trotz staatlicher Zugriffsrechte ein angemessenes Datenschutzniveau gewährleisten oder ob zusätzliche Garantien notwendig sind.

Wen betrifft das neue Gesetz und was bedeutet "Bemühungspflicht" konkret?Was bedeutet das neue Gesetz für das Risikomanagement in Unternehmen und wie können die neuen Berichtspflichten umgesetzt werden?Welche Folgen können Verstöße gegen das Lieferkettensorgfaltspflichtgesetz haben?Europäisches Sorgfaltspflichtengesetz – Was ist hier zu erwarten und wann?Umsetzungsbedarf und -möglichkeiten für Vergabestellen.