Die wichtigsten Fragen zur EU-Datenschutz-Grundverordnung

In diesem Artikel lesen Sie,

• für welche Unternehmen die DSGVO gilt,
• welche Auswirkung die Verordnung auf die IT-Sicherheit hat und
• warum die Standortfrage des Hosting-Anbieters wichtig ist.

Seit Frühjahr 2018 gilt die europäische Datenschutz-Grundverordnung (DSGVO) in allen EU-Ländern. Die wichtigsten Fragen zum aktuellen Datenschutzrecht für Unternehmen im Überblick:

Die europäische Datenschutz-Grundverordnung betrifft jeden, der personenbezogene Daten verarbeitet – Unternehmen oder Vereine, Ämter, Behörden oder Schulen. Dabei ist es gleich, ob eine Organisation die Daten erhebt, speichert oder „nur“ weiterleitet.

Seit 2018 gilt die Datenschutz-Grundverordnung verbindlich und rechtswirksam in allen Ländern der EU. Das heißt: Jede und jeder Betroffene kann seine in der DSGVO festgehaltenen Rechte unmittelbar vor den nationalen Gerichten der EU-Mitgliedsländer einklagen. Jedem Unternehmen, das gegen dieses geltende Recht verstößt, drohen empfindliche Sanktionen durch die Aufsichtsbehörden.

Die Höhe von Bußgeldern ist einheitlich geregelt und kann bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro betragen. Das kann auch bei großen Unternehmen zu einem ernsthaften wirtschaftlichen Risiko werden. In Fragen der Sanktionierung müssen die Aufsichtsbehörden untereinander ein gemeinsames Vorgehen absprechen. Ihre Aufgabe ist es, verhältnismäßige, aber auch abschreckende Sanktionen zu verhängen.

Die Datenschutz-Grundverordnung enthält einen umfassenden Katalog an Datensicherheitsmaßnahmen. Damit wird erstmals IT-Sicherheit als Standard eingefordert – ein wichtiger Schritt, denn unzureichend gesicherte Unternehmen erfahren mitunter gar nicht, wenn sie Opfer eines Hackerangriffs mit Datendiebstahl wurden. Derartige Nachlässigkeit wird mit der DSGVO bestraft, denn diese sieht eine Meldepflicht vor: Ein Verlust personenbezogener Daten muss innerhalb von 24 Stunden angezeigt werden.

Zur Einhaltung der DSGVO ist es entscheidend, wo die Rechenzentren eines Cloud-Anbieters stehen oder wo die Speicherung und Verarbeitung personenbezogener Daten erfolgt.
Denn der Europäische Gerichtshof hat im Sommer 2020 mit Schrems II den Privacy Shield gekippt. Somit besteht das Datenschutzabkommen zwischen Europa und den USA nicht länger. Daher können sich Unternehmen bei einer Datenspeicherung in Drittstaaten nicht mehr auf diese Vereinbarung berufen, die die Einhaltung europäischer Datenschutzstandards auch außerhalb der EU sicherstellen sollte.

Alle Daten in der Open Telekom Cloud liegen in mehrfach zertifizierten, hochsicheren Rechenzentren in Deutschland und den Niederlanden. Das heißt alle Daten verbleiben jederzeit auf europäischem Boden und im europäischen Rechtsraum.

Die DSGVO-Konformität ihrer Public Cloud haben Telekom und T-Systems zudem frühzeitig von unabhängiger Seite prüfen und bescheinigen lassen. Dass das Angebot vollständig die strengen Voraussetzungen erfüllt, zeigt das „Trusted Cloud-Datenschutzprofil 1.0“ (TCDP 1.0). Es bescheinigt der Open Telekom Cloud eine rechtskonforme Datenschutz-Zertifizierung für definierte Cloud-Dienste. Künftig wird die TCDP-Zertifizierung durch die Zertifizierung „GDPR CC“ abgelöst. Das Ziel: den europäischen Datenschutz nachhaltig anzuwenden. Durch „GDPR CC“ können wir die Vereinbarkeit Ihrer Datenverarbeitungsvorgänge mit datenschutzrechtlichen Anforderungen der DSGVO nachweisen.