Autor: Aylin Tuncer

Seit unserer Veröffentlichung am 01. April 2022 zum Thema DSGVO (Datenschutz-Grundverordnung) und M365 – der sichere Kompass „Schrems III“ ist in Sicht – hat sich wieder Einiges getan.

Am 7.Oktober 2022 hat US-Präsident Joe Biden den Nachfolger des Privacy Shields, das „European Union-U.S. Data Privacy Framework“ (EU-U.S. DPF) unterzeichnet. Hier die Presseerklärung. Die EU- Kommission ist nun aufgerufen zu prüfen, ob sie auf dieser Grundlage einen Angemessenheitsbeschluss erlassen kann. Es gibt hierzu bereits Stellungnahmen der EU-Kommission. Eines ist sicher: Schrems III kommt. Aber bis der neue Urteilsspruch des EuGHs (Europäischer Gerichtshof) vorliegt, können wir dann zumindest zeitweise, wieder den Datenaustausch mit den USA betreiben.

Was uns beeindruckt hat, ist der Beschluß des Oberlandgerichts Karlsruhe zum Thema „Kein Ausschluss von US-Cloudanbietern.“ Dem war folgende Entscheidung vorausgegangen: Die Vergabekammer Baden-Württemberg hat Mitte Juli 2022 verkündet, dass öffentliche Stellen keine Angebote von Tochtergesellschaften US-amerikanischer Cloud-Anbieter berücksichtigen dürften, was beispielsweise den Ausschluss von Cloud-Diensten wie Amazon Web Services (AWS), Microsoft 365 oder Google aus öffentlichen Ausschreibungen zur Folge gehabt hätte (vgl. Vergabekammer Baden-Württemberg, Beschluss vom 13. Juli 2022). Diesen Beschluß hat das OLG (Oberlandesgericht) Karlsruhe aufgehoben. Obwohl der Cloud Anbieter zugesichert hatte, dass personenbezogene Daten der EU-Kunden allein auf Servern in Frankfurt am Main verarbeitet würden, reichten diese Zusagen der Vergabekammer nicht. Sie sah das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der Europäischen Union. Das OLG stellt nun in der Aufhebung der Entscheidung des Untergerichts klar, dass öffentliche Auftraggeber sich auf bindende Zusagen der europäischen Tochtergesellschaften verlassen dürfen, wonach die personenbezogenen Daten allein in Deutschland verarbeitet würden und keine Übermittlung in Drittländer erfolge. Grundsätzlich ist also zunächst mal davon auszugehen, dass die Anbieter ihre vertraglichen Zusagen erfüllen. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel ergeben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Das klingt danach, dass der schon abgehängt geglaubte „Ehrbare Kaufmann“ zumindest bei den Obergerichten dem Defätisten sichtbar näherkommt. Das „Zero Trust Model“ gilt nicht für das OLG Karlsruhe. Und das ist gut so.
München, den 31. Oktober 2022

Daten sind heute die wichtigste Ressource für Innovation, Wettbewerbsfähigkeit und Wachstum. Sie gelten mit als die wertvollsten Rohstoffe des digitalen Zeitalters. Ihr Schutz hat höchste Priorität. Durch die europäische Datenschutzgrundverordnung (DSGVO) ist das Thema Datenschutz in den letzten Jahren bei allen Unternehmen in den Vordergrund gerückt. Die praktische Umsetzung der DSGVO stellt für viele Organisationen zum Teil noch eine Herausforderung dar.
Klar ist: Datenschutz ist für Unternehmen keine einmalige Angelegenheit, sondern ein Dauerthema. Der Aufwand für die Implementierung adäquater Lösungen ist hoch, deren Handhabung nicht immer einfach. Das erschwert vielen Firmen die Einhaltung von Compliance-Regeln. Die global ausgerichtete Wirtschaft, internationale Kooperationen und nicht zuletzt die digitale Transformation machen die Einhaltung von Recht und Gesetz aber zwingend notwendig. Mit juristisch komplexen aber einfach zu handhabenden Lösungen und Werkzeugen sowie gebündeltem juristischem und technologischem Fachwissen unterstützt PRW Legal Tech GmbH Organisationen jeder Branche dabei, die Vorgaben der DSGVO mit angemessenem und transparentem Aufwand umzusetzen und kontinuierlich einzuhalten.
Gemeinsam mit der auf die Microsoft Cloud-Dienste spezialisierten Cloud Business Group (CBG IT GmbH) hat PRW Rechtsanwälte dafür eine spezielle Software mit Namen PRW® Compliance Set: M365 entwickelt und diese in die neu gegründete PRW Legal Tech GmbH überführt. Mit dieser Lösung lassen sich Microsoft 365 Umgebungen komfortabel auf die Einhaltung von Datenschutz, Informationssicherheit und die Wahrung der Mitbestimmungsrechte überprüfen. Die technische und rechtliche Analyse beinhaltet nicht nur eine Darstellung der tatsächlich genutzten IT-Umgebung, zum Lösungspaket gehören auch detaillierte technische und juristische Handlungsempfehlungen.

Wie alles anfing
Rechtsanwalt Wilfried Reiners gründete 1989 in Deutschland die erste Anwaltskanzlei mit Spezialisierung auf den IT-Markt. Zehn Jahre später firmierte die Kanzlei unter der Marke „PRW“ zu PRW Rechtsanwälte. 2006 erfolgte mit dem IT- erfahrenen Diplom-Betriebswirt Ralph Bösling die Gründung der PRW Consulting GmbH, deren Schwerpunktthemen Compliance und Datenschutz sind. Im Jahr 2022 entstand die PRW Legal Tech GmbH (Geschäftsführung: Melanie Mathaei, Stephan Bail, Wilfried Reiners und Michael Stadtelmeyer als CTO), die digitale Rechtsdienstleistungen anbietet. Zahlreiche namhafte Unternehmen setzen auf die anerkannte Expertise der juristischen IT-Dienstleistungen der PRW Group.
„Wer immer tut, was er schon kann, bleibt immer das, was er schon ist“, ist eine Anleihe von RA Wilfried Reiners bei Henry Ford. Dem Motto folgend, setzte er sein Engagement rund um das Thema Datenschutz und Compliance konsequent fort. Dabei wurde schon früh erkennbar, dass das Thema „Compliance“ nur interdisziplinär erfolgreich realisiert werden kann. Heute arbeiten in der PRW Group Anwälte, IT-Spezialisten und Datenschutzprofis auf Augenhöhe im Team zusammen.
Ob Mittelstand oder börsennotiert – bis heute setzen zahlreiche Firmen und Organisationen auf die Zusammenarbeit mit der PRW Group. Die Gründe dafür sind vielfältig. Kunden schätzen den permanenten Innovationsprozess, die Zuverlässigkeit sowie die umfassende Kompetenz in den Bereichen IT-Compliance, Datenschutz und Datensicherheit.
Wichtige Eckpfeiler für den Erfolg der PRW Group sind Vertrauen, Wertschätzung, Transparenz und leidenschaftliches Engagement. Oberste Prämisse ist die Einhaltung eines traditionellen Wertekanons, der sich an dem des „ehrbaren Kaufmanns“ orientiert.
Digitalisierung ist die Zukunft
Kein Wirtschaftsbereich kann es sich heute leisten, die digitale Transformation auf die lange Bank zu schieben. Sowohl in der Industrie als auch bei den Dienstleistungen gehört der Digitalisierung die Zukunft. Das gilt ganz besonders auch für das juristische Umfeld. Bereits heute basieren zahlreiche Vorgänge rund um Recht und Justiz auf computerbasierten Anwendungen und Prozessen. Die sichere Gestaltung von Datenschutzmaßnahmen hat dabei stets einen hohen Stellenwert.
Die Menschen bei der PRW Group haben diese Entwicklung frühzeitig erkannt. Services für die Mandanten wurden und werden – wo immer möglich – digitalisiert. Das Entwicklungsteam arbeitet bereits an weiteren Produkten für die Zukunft, z. B. der unkomplizierten Umsetzung des Hinweisgeberschutzgesetzes (Stichwort „Whistleblowing“).
„Mit unserer gebündelten Innovationskraft werden wir unsere Marktpräsenz im Bereich digitalisierter Rechtsdienstleistungen für den rechtskonformen IT-Betrieb kontinuierlich ausbauen.“
Rechtsanwalt Wilfried Reiners, CEO der PRW Group und Mitbegründer der PRW Legal Tech GmbH

Laut der Umfrage des Digitalverbands Bitkom, loben 67 Prozent der befragten Unternehmen, dass die DSGVO weltweit Maßstäbe für den Umgang mit personenbezogenen Daten setzt. Zudem ist jedes zweite Unternehmen (50 Prozent) der Meinung, dass die DSGVO zu einheitlichen Wettbewerbsbedingungen innerhalb der EU führt. Somit ist die Umfrage sehr hilfreich, um die DSGVO Umsetzungsszenarien in Deutschland zu bewerten. Wilfried Reiners, einer der führenden europäischen Rechtsanwälte im IT-Recht, sieht allerdings auch Punkte, die kritisch hinterfragt werden sollten:
Der Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder führt in der am 27. September 2022 von Bitkom veröffentlichten Pressemitteilung wie folgt aus: „Die Idee der DSGVO, einen einheitlichen Datenschutzrahmen mit hohen Standards für Europa zu schaffen, war und ist richtig. Bislang ist aber nicht gelungen, daraus den oft behaupteten Wettbewerbsvorteil zu ziehen.“ Diese Aussage ist laut Rechtsanwalt Reiners nur im ersten Satz belastbar. Der zweite Teil, laut dem es nicht gelungen sei, den behaupteten Wettbewerbsvorteil zu schaffen, ist jedoch kritisch zu sehen.
Wer behauptet, die Einhaltung einer Ordnungsvorschrift bedinge einen Wettbewerbsvorteil, verkennt den Wert und Zweck von Ordnungsvorschriften. Die Einhaltung von Gesetzen sollte selbstverständlich sein und ausgehend von einer wirtschaftlichen Betrachtung nicht bedeuten, dass ein Vorteil gegenüber den Mitbewerbern auf dem Markt entsteht, die sich gesetzeskonform verhalten.
Im Gegenteil, wenn eine Wertegemeinschaft für sich beschlossen hat, die Regelungen der DSGVO als Maßstab zu vereinbaren, dann verschafft sich derjenige einen Vorteil, der diesen Maßstab nicht oder nur fragmentiert umsetzt.
Die fehlende Umsetzung der DSGVO liegt nach Ansicht der Unternehmen überwiegend an Gründen, die sie nicht selbst zu verantworten haben. Sie führen vor allem die Rechtsunsicherheit und eine widersprüchliche Auslegung der Datenschutzvorgaben innerhalb Europas und zwischen den Bundesländern an. So geben 88 Prozent an, die Umsetzung der DSGVO sei nie vollständig abgeschlossen, unter anderem da es neue Guidelines gibt. 78 Prozent der Unternehmen sehen bestehende Rechtsunsicherheiten zu den Vorgaben der DSGVO als Hindernis.
Wer diese Aussagen analysiert, kann auf den Gedanken kommen, dass die kulturell noch nicht abgeschlossene Umsetzung eines Wertemodells (Datenschutz) oder eine widersprüchliche Auslegung ein Rechtfertigungsgrund für ein „dann lieber nix tun“ ist. Hier sollte daran erinnert werden, dass Unwissenheit nicht vor Strafe schützt, bewusst vorgehaltenes Halbwissen erst recht nicht. Man ist zunächst zu einer angemessenen Gewissensanspannung unter Aufbietung seiner intellektuellen Erkenntniskräfte verpflichtet. Unterlässt man dies und hat es aufgrund dessen in zurechenbarer Weise versäumt, die Rechtswidrigkeit seines Verhaltens zu erkennen, so ist das Handeln (fehlende weitere Umsetzung) vorwerfbar und somit vermeidbar. Vor dem Hintergrund dieser Rechtsgedanken sollten sich Entscheider fragen, ob sie sich die in der Umfrage abgegebenen Positionen leisten können. Leisten bedeutet hier die Akzeptanz von Bußgeldern und Imageschäden auf unterschiedlichen Ebenen.