"Viele Energieversorger haben Schrems II nicht auf dem Radar" - Interview ZfK

Schrems II führt zu einer erheblichen Erweiterung der Nachweis-, Dokumentations- und Compliancepflichten der DSGVO", sagt Maik Neubauer. Was das für Versorger bedeutet, erklärt der Partner der Unternehmensberatung Decomplexity Europe ausführlich im ZfK-Interview mit Stefanie Gust

Herr Neubauer, Sie warnen davor, „Schrems II“ zu unterschätzen, um was geht es hier denn überhaupt?

Schrems II ist die Bezeichnung für ein Urteil (Rechtssache C 311/18 – „Schrems II“) des Europäischen Gerichtshofes (EuGH) im Bereich des Datenschutzes aus dem Sommer 2020, dass von vielen betroffenen Unternehmen, Institutionen und Verbänden aufgrund der Folgen der Corona Krise teilweise noch gar nicht wahrgenommen wurde. Der österreichische Datenschutzaktivist Max Schrems hatte mit Erfolg gegen das seit 2016 praktizierte „EU-US Privacy Shield“ geklagt. Ohne hier ins Detail zu gehen, hat nach Ansicht der Luxemburger Richter dieses internationale Datenschutzabkommen nicht wirksam genug den möglichen Zugriff der Geheimdienste aus einem Drittland wie den USA auf personenbezogene Daten von EU-Bürgern verhindert. Daher wurde dieses Privacy Shield durch den EuGH für nichtig erklärt.

Das weitreichende Urteil betrifft alle Unternehmen in der EU, die der europäischen Datenschutzgrundverordnung DSGVO unterliegen und die geschäftlich Daten mit den USA austauschen - aber auch generell alle Unternehmen, die US Cloud- oder Videodienste wie Microsoft M365, Teams, Zoom oder andere Cloud-basierte Anwendungen nutzen und somit ein Risiko eingehen, dass Personendaten unerkannt über diese Anwendungen oder integrierte Dritt-APIs der US Anbieter in nicht EU Länder gelangen.

Wie haben die deutschen Aufsichtsbehörden auf das Urteil reagiert?

Die Datenschutzkonferenz (DSK), ein Zusammenschluss der einzelnen Aufsichtsbehörden in Deutschland, teilte in einer Stellungnahme mit, dass Datenübermittlungen, die nur auf das EU-US Privacy Shield gestützt werden, unverzüglich eingestellt werden müssten. Darüber hinaus reichten die sogenannten Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus. Die Wertung des Urteils betreffe auch andere geeignete Garantien aus Art. 46 DSGVO wie verbindliche interne Datenschutzvorschriften.

Sie sagen, auch deutsche Stadtwerke und Energieunternehmen sind von dem Thema betroffen. Reicht es nicht einfach, die DSGVO umzusetzen?

Wie gesagt sind generell erst einmal alle Unternehmen in der EU betroffen, die US Datendienste und deren Applikationen einsetzen. Unternehmen im Energiesektor, Stadtwerke, Netzgesellschaften und Betreiber von kritischen Infrastrukturen sind selbstverständlich die ersten Unternehmen, die durch die Datenschützer aufgrund ihrer wichtigen Daten sowie Ihrer gesamtwirtschaftlichen Stellung ins Visir genommen werden. Im Juni haben neun deutsche Datenschutzbehörden eine koordinierte Prüfung von Unternehmen hinsichtlich der Übermittlung von personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) begonnen. Diese konzertierte Initiative zielt darauf ab, die Anforderungen, die der EuGH in der „Schrems-II“ Entscheidung im Juli 2020 festgelegt hat, zu prüfen und durchzusetzen.

Viele Unternehmen haben in diesem Kontext noch nicht realisiert, dass Schrems II zu einer erheblichen Erweiterung der Nachweis-, Dokumentations- und Compliancepflichten der DSGVO führt und das Unternehmen nachweisen müssen, dass sie die erforderlichen Bewertungen durchgeführt und zumindest erste Schritte unternommen haben, um sicherzustellen, dass ihre Datenverarbeitungsprozesse den Anforderungen der „durch Schrems II erweiterten“ DSGVO entsprechen.

Auf was müssen sich die Energieversorger einstellen?

Die Datenschutzbehörden werden Unternehmen mit abgestimmten Fragebögen kontaktieren. Dabei werden zunächst verschiedene Bereiche wie die Nutzung von E-Mail Services, Webhosting, Bewerberportale, Verschlüsselung und der gesamte konzerninterne Datenaustausch überprüft. Insbesondere Stadtwerke und Energieversorger, die viele persönliche Kundendaten speichern und verwalten müssen sich auf detaillierte Fragen einstellen. Auf Basis der Auswertung der Fragebögen werden die 18 deutschen Datenschutzbehörden dann evaluieren in welchem Umfang Unternehmen aus dem Energiesektor Schrems II umgesetzt hat - um dann ggf. weitere Überprüfungen zu initiieren oder sogar Bußgelder im Rahmen der DSGVO zu verhängen, die bekanntlich relativ schmerzhaft ausfallen können.

Neben Bußgeldern von Behörden drohen generell auch Schadensersatzansprüche von Personen, deren Daten nachweislich in Drittstaaten übermittelt wurden, also etwa von Kunden oder Mitarbeitern. Die Berliner Datenschutzbehörde umschrieb dieses Risiko in einer Mitteilung wie folgt: „Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten, und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können. Dieser dürfte insbesondere den immateriellen Schaden, d.h. ein Schmerzensgeld umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen“. Zum einen sollten Energieversorger das Thema Schrems II Umsetzung nicht auf die lange Bank schieben, auch wenn es derzeit sicherlich im Rahmen der Energiewende andere strategische Prioritäten gibt.

Auf der anderen Seite sind sich die Aufsichtsbehörden der besonderen Herausforderungen bewusst, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt und werden die Komplexität sicherlich bei ihren Maßnahmen berücksichtigen.

Es entsteht also wieder ein erheblicher Mehraufwand für die Energiebranche, um die erweiterte DSGVO Compliance zu dokumentieren?

Es kommt wie immer darauf an was von den Stadtwerken und EVU bereits im Zuge der bisherigen DSGVO Compliance umgesetzt wurde. Alle Versorger sollten bereits IT Compliancestrukturen und Prozesse implementiert haben. Diese umfassen in vielen Fällen statische Checklisten, Arbeitsanweisungen und Risikobewertungen. Für die Überprüfung der Anforderungen nach Schrems II reichen diese aber kaum aus, da durch Checklisten und Fragebögen kein Verantwortlicher herausfinden kann, was seine Cloud Plattformen mit den Unternehmens- und Kundendaten machen, wo sie tatsächlich gespeichert werden, welche APIs und Microservices im Gesamtsystem genutzt werden und wo Cyberrisiken lauern.

Diese Punkte können nur mit automatisierten Verfahren und Werkzeugen geprüft werden - um dann eine Risikominimierung und Systemoptimierung durchzuführen und daraus eine compliancegerechte Dokumentation zu erstellen, die die Geschäftsführung bei Prüfungen unterstützt und im Ernstfall sogar rechtlich entlasten kann.

Daher hat Ihr Unternehmen mit Partnern aus dem Rechts- und IT-Bereich ein automatisiertes Compliancesystem entwickelt, das Unternehmen bei der Herstellung der Compliance unterstützen kann ?

Auf Basis der erweiterten Anforderungen und unserer Erfahrungen im Bereich der Energieversorger und der Betreiber von kritischen Infrastrukturen bieten wir Unternehmen in diesem Bereich ein hochautomatisiertes Complianceverfahren an, um die anstehenden unternehmensinternen Prüfungen im Rahmen der Schrems II Thematik extrem zu beschleunigen und erst möglich zu machen, da eine rein manuelle Überprüfung unseres Erachtens nicht zu ausreichenden Ergebnissen führt.

Bei der Automatisierung haben wir uns auf Unternehmen fokussiert, die die Microsoft M365 Cloud Lösungen einsetzen und als Kommunikationsplattform vorwiegend Microsoft Teams nutzen. Aufgrund der hohen Verbreitung der Microsoft Cloud Technologien glauben wir hier einen erheblichen Teil der deutschen Energieversorgungslandschaft ansprechen zu können.

Welchen konkreten Nutzen haben die Unternehmen durch den Einsatz dieses automatisierten Compliance Checks ?

Nach einer ersten automatisierten Prüfung der M365 Cloud Umgebung in den EVU bzw. beim Systemdienstleister der Stadtwerke, erhalten diese eine detaillierte Risikobewertung der IT Datenrisiken auf Basis der Schrems II Rechtssprechung sowie klare Empfehlungen, was sie zur Erreichung einer Compliance im Systemsetup optimieren müssen. Nach unserer Erfahrung werden Unternehmen, die entweder die M365 Cloud Systeme in der Standardkonfiguration nutzen (was sehr viele Firmen im Zuge der Corona bedingten schnellen Einsatzbereitschaft immer noch machen) oder bislang keinerlei Maßnahmen ergriffen haben, um den Datenschutz in diesen Systemen zu hinterfragen und zu dokumentieren, im Zuge diese Prüfung viele „Aha Momente“ erleben.

Auf Basis der Ergebnisse des ersten Systemchecks sowie der Optimierung der Cloud Parameter wird dann ein zweiter automatisierter Check erfolgen, um die Optimierungsauswirkungen zu dokumentieren. Auf Wunsch erhält der Kunden zudem ein vollständiges DSGVO/Schrems II Rechtsgutachten, in dem die Prüfungen und Maßnahmen detailliert dokumentiert sind. Dieses Gutachten ist eine hervorragende Basis für die kontinuierliche Weiterentwicklung des IT Compliancesystems und dient zudem zur Reduzierung von potentiellen Haftungsrisiken des Managements.

Wie oft sollte so eine Überprüfung der Cloud Systeme stattfinden ?

Wir empfehlen Unternehmen diesen „Check“ zweimal im Jahr durchzuführen, um sicherzustellen, dass der Datenschutz auch bei Systemupdates und der Nutzung von neuen Cloud Anwendungen Bestand hat. Die Kosten für diese automatisierten Compliancechecks liegen weit unter den Risiken von potentiellen Datenlecks oder möglichen Bußgeldern bei Nichteinhaltung der neuen Compliancekriterien.

Weitere Informationen: www.decomplexity.eu/cloudcompliance

#dsgvo #schremsii #cloudcomputing #itcompliance #datasecurity