Nachricht
Haben Energieversorger „Schrems II“ auf dem Radar?
Schrems II ist die Bezeichnung für ein Urteil (Rechtssache C 311/18 –„Schrems II“) des Europäischen Gerichtshofes (EuGH) im Bereich des Datenschutzes aus dem Jahr 2020, dass von vielen betroffenen Unternehmen, Institutionen und Verbänden aufgrund der Folgen der Corona Krise teilweise noch gar nicht wahrgenommen wurde. Wir sprachen darüber mit dem Energie- und Technologieexperten Maik Neubauer
Maik Neubauer ist Partner der Unternehmensberatung DECOMPLEXITY Europe und berät Energieversorger, Technologiefirmen sowie Betreiber kritischer Infrastrukturen bei komplexen Transformationsprogrammen sowie Digitaler Regulierung & Compliance. Er ist zudem Co-Founder von LEX AI, einer LegalTech Firma, die europäische und internationale Regulierung unter Nutzung künstlicher Intelligenz zusammenfasst und Rechtsexperten international vernetzt.
Herr Neubauer, welche Bedeutung hat das Urteil für Wirtschaftsunternehmen grundsätzlich?
Das weitreichende Urteil betrifft alle Unternehmen in der EU, die der europäischen Datenschutzgrundverordnung DSGVO unterliegen und die geschäftlich Daten mit den USA austauschen - aber auch generell alle Unternehmen, die US Cloud- oder Videodienste wie Microsoft M365, Teams, Zoom oder andere Cloud-basierte Anwendungen nutzen und somit ein Risiko eingehen, dass Personendaten unerkannt über diese Anwendungen oder integrierte Dritt-APIs der US Anbieter in nicht EU Länder gelangen. Generell sind daher alle Unternehmen in der EU betroffen, die US Datendienste und deren Applikationen einsetzen
Worauf müssen sich Unternehmen einstellen?
Die Prüfungsanforderungen beinhalten, dass der konkrete Übertragungsweg und die Datenverarbeitung beim Empfänger einem angemessenen Datenschutzniveau entsprechen müssen. Bei einer Übermittlung von personenbezogenen Daten ist nicht das allgemeine Datenschutzniveau im Empfängerland zu bewerten, sondern das konkrete Schutzniveau für die übertragenen Daten.
Unternehmen im Energiesektor, Stadtwerke, Netzgesellschaften und Betreiber von kritischen Infrastrukturen werden als Erste durch die Datenschützer aufgrund ihrer wichtigen Daten sowie ihrer gesamtwirtschaftlichen Positiva ins Visier genommen. Im Juni haben neun deutsche Datenschutzbehörden eine koordinierte Prüfung von Unternehmen hinsichtlich der Übermittlung von personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) begonnen. Diese konzertierte Initiative zielt darauf ab, die Anforderungen, die der EuGH in der „Schrems-II“ Entscheidung festgelegt hat, zu prüfen und durchzusetzen.
Was empfehlen Sie den Unternehmen der Energiewirtschaft?
Bereits implementierte IT- Compliancestrukturen und Prozesse umfassen zumeist statische Checklisten, Arbeitsanweisungen und Risikobewertungen. Für die Überprüfung der Anforderungen nach Schrems II reichen diese aber kaum aus. Denn durch Checklisten und Fragebögen kann kein Verantwortlicher herausfinden, was seine Cloud Plattformen mit den Unternehmens- und Kundendaten machen, wo sie tatsächlich gespeichert werden, welche APIs und Microservices im Gesamtsystem genutzt werden und wo relevante Cyberrisiken lauern.
Diese Punkte können nur mit automatisierten Verfahren und Werkzeugen geprüft werden - um dann eine Risikominimierung und Systemoptimierung durchzuführen und daraus eine compliancegerechte Dokumentation zu erstellen, die die Geschäftsführung bei Prüfungen unterstützt und im Ernstfall sogar rechtlich entlasten kann.
Wir bedanken uns für das Gespräch.
Info unter: www.decomplexity.eu; www.lexai.co