"Die Rolle der Datenschutzbeauftragten in den Unternehmen wird im neuen Jahr schwieriger werden", sagt der Datensicherheitsexperte Detlef Schmuck, Geschäftsführer des deutschen Datendienstes TeamDrive. Vor allem die breitflächige Nutzung von Software des US-Anbieters Microsoft in der deutschen Wirtschaft stelle ein zunehmendes Problem dar, weil dadurch die Gefahr bestehe, dass personenbezogene Daten in die USA gelangten. Seitdem der Europäische Gerichtshof das transatlantische Datenschutzabkommen EU-US Privacy Shield im vorletzten Jahr für ungültig erklärt hatte, stehe der Datenschutz in weiten Teilen der deutschen Wirtschaft auf tönernen Füßen, meint der TeamDrive-Chef.
Dazu Detlef Schmuck: "Die gängigen Microsoft-Programme wie Windows, Teams, Office und 365 lassen sich hierzulande nur gesetzeskonform verwenden, wenn die Datenhaltung konsequent aus den USA herausgehalten wird. Doch genau das ist schwierig, weil es hierzu detaillierter Einstellungen bedarf, insbesondere um den Microsoft-eigenen US-Datendienst OneCloud von den Installationen fernzuhalten. Zudem lässt sich eine dauerhaft gesetzeskonforme Installation nur schwer aufrechterhalten, weil Microsoft mit jedem Update bei jedem Programm die Gelegenheit erhält, OneCloud neu einzuschleusen oder sonstige Einstellungen zu ändern. So gibt es beispielsweise konkrete Hinweise darauf, dass Microsoft bei Updates von Windows seinen US-Clouddienst immer wieder automatisch einspielt. Die Datenschutzbeauftragten müssen also kontinuierlich überprüfen, ob ihre Unternehmen noch gesetzeskonform zur Datenschutz-Grundverordnung arbeiten oder sich möglicherweise durch ein Update oder eine sonstige Änderung ungewollt in die Illegalität begeben haben. Das ist kein leichter Job für 2022."
Verantwortung bei Datenschützern, Vorstand und Geschäftsführung
Neben der ständigen technischen Überprüfung könnten das Jahr 2022 über zudem juristische Scharmützel um das Thema betrieblicher Datenschutz auf der Agenda stehen, mutmaßt Detlef Schmuck. Er sagt: "Es ist zu erwarten, dass die US-Anbieter mit immer neuen Datenschutzklauseln, Gutachten, Testaten und der Verlagerung von Cloudkapazität nach Deutschland versuchen werden zu beweisen, dass ihre Angebote sehr wohl DSGVO-konform sind. Doch US-Konzerne wie beispielsweise Microsoft unterliegen letztlich der US-Gesetzgebung, und der Europäische Gerichtshof hat klipp und klar entschieden, dass der niedrige US-Datenschutz mit den hohen europäischen Anforderungen an den Schutz personenbezogener Daten unvereinbar ist. Diese grundlegende Lücke kann weder Microsoft noch ein anderer US-Anbieter derzeit überbrücken, auch nicht mit noch so vielen juristischen Spitzfindigkeiten. Am Ende bleibt die Haftung für die Datenschutzverletzungen am Vorstand oder an der Geschäftsführung der hiesigen Unternehmen kleben – und natürlich an den Datenschutzbeauftragten."