Die Relevanz von Data Privacy Compliance für Energieunternehmen - Interview ThemenMagazinEnergie

Schrems II führt zu einer erheblichen Erweiterung der Nachweis-, Dokumentations- und Compliancepflichten der DSGVO", sagt Maik Neubauer. Was das für Energieunternehmen bedeutet, erklärt der Partner der Unternehmensberatung Decomplexity Europe im Interview mit dem Herausgeber des ThemenMagazinsEnergie, Dr. Lothar Müller

Schrems II ist die Bezeichnung für ein Urteil (Rechtssache C 311/18 –„Schrems II“) des Europäischen Gerichtshofes (EuGH) im Bereich des Datenschutzes aus dem Jahr 2020, dass von vielen betroffenen Unternehmen, Institutionen und Verbänden aufgrund der Folgen der Corona Krise teilweise noch gar nicht wahrgenommen wurde.

Herr Neubauer, welche Bedeutung hat das Urteil für Wirtschaftsunter­nehmen grundsätzlich?

Das weitreichende Urteil betrifft alle Unternehmen in der EU, die der europäischen Datenschutzgrundverordnung DSGVO unterliegen und die geschäftlich Daten mit den USA austauschen - aber auch generell alle Unternehmen, die US Cloud- oder Videodienste wie Microsoft M365, Teams, Zoom oder andere Cloud-basierte Anwendungen nutzen und somit ein Risiko eingehen, dass Personendaten unerkannt über diese Anwendungen oder integrierte Dritt-APIs der US Anbieter in nicht EU Länder gelangen. Generell sind daher alle Unternehmen in der EU betroffen, die US Datendienste und deren Applikationen einsetzen

Worauf müssen sich Unternehmen einstellen?

Die Prüfungsanforderungen beinhalten, dass der konkrete Übertragungsweg und die Datenverarbeitung beim Empfänger einem angemessenen Datenschutzniveau entspre- chen müssen. Bei einer Übermittlung von personenbezogenen Daten ist nicht das allgemeine Datenschutzniveau im Empfängerland zu bewerten, sondern das konkrete Schutzniveau für die übertragenen Daten. Unternehmen im Energiesektor, Stadtwerke, Netzgesellschaften und Betreiber von kritischen Infrastrukturen werden als Erste durch die Datenschützer aufgrund ihrer wichtigen Daten sowie ihrer gesamtwirtschaftlichen Position ins Visier genommen. Im Juni haben neun deut- sche Datenschutzbehörden eine koordinierte Prüfung von Unternehmen hinsichtlich der Übermittlung von personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) begonnen. Diese konzertierte Initiative zielt darauf ab, die Anforderungen, die der EuGH in der „Schrems-II“ Entscheidung festgelegt hat, zu prüfen und durchzusetzen.

Was empfehlen Sie den Unternehmen der Energiewirtschaft?

Bereits implementierte IT- Compliancestrukturen und Prozesse umfassen zumeist statische Checklisten, Arbeitsanweisungen und Risikobewertungen. Für die Überprüfung der Anforderungen nach Schrems II reichen diese aber kaum aus. Denn durch Checklisten und Fragebögen kann kein Verantwortlicher herausfinden, was seine Cloud Plattformen mit den Unternehmens- und Kundendaten machen, wo sie tatsächlich gespeichert werden, welche APIs und Microservices im Gesamtsystem genutzt werden und wo relevante Cyberrisiken lauern. Diese Punkte können nur mit automatisierten Verfahren und Werkzeugen geprüft werden - um dann eine Risikominimierung und Systemoptimierung durchzuführen und daraus eine compliancegerechte Dokumentation zu erstellen, die die Geschäftsführung bei Prüfungen unterstützt und im Ernstfall sogar rechtlich entlasten kann.

Weitere Informationen: www.decomplexity.eu/cloudcompliance

#dsgvo #schremsii #cloudcomputing #itcompliance #datasecurity