Reggie Davis ist der General Counsel (Chefjurist) von DocuSign. Wir sprachen mit ihm über die neue EU-Datenschutz-Grundverordnung (DSGVO oder GDPR auf Englisch), den Ansatz von Docusign und wie Kunden die DSGVO erfüllen können.

F:            Was ist die DSGVO (GDPR)?       

A:              Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Vorschrift mit dem Ziel, den Datenschutz für Menschen innerhalb der EU zu stärken und die Datenschutzbestimmungen für Unternehmen EU-weit zu vereinheitlichen.

DSGVO (GDPR) tritt am 25. Mai 2018 in Kraft und erlegt Unternehmen, die personenbezogene Daten erfassen und verarbeiten, ein höheres Maß an Haftung auf. Bei Nichteinhaltung drohen empfindliche Geldstrafen. Einzelpersonen erhalten mehr Mitspracherechte darüber, was Unternehmen mit ihren Daten anstellen dürfen.

F:            Welchen Ansatz verfolgt DocuSign im Hinblick auf die DSGVO?

A:               Docusign hat rechtlich sowohl den Status als Daten-Verantwortlicher und Auftragsverarbeiter. Datenschutz und Datensicherheit für unsere Kunden ist dementsprechend unsere oberste Priorität. Die Umstellung auf die DSGVO in de EU verfolgen wir daher sehr genau und passen uns dementsprechend an.   

So hat DocuSign verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) erarbeitet und diese zusammen mit erläuternden Unterlagen den europäischen Aufsichtsbehörden zur Zulassung vorgelegt. Wir werden unseren Kunden auch weiterhin die von der EU empfohlenen Musterklauseln zugrundelegen. (als Daten-Verantwortliche und Auftragsverarbeiter). Diese garantieren unseren Kunden angemessenen Datenschutz und entsprechen allen rechtlichen Anforderungen.

DocuSign verfügt über aktuelle Zertifikationen gemäß ISO 27001 und dem PCI Data Security Standard. Weiters wenden wir Kontrollmechanismen an, die den Vorgaben von SOC1 und SOC2 oder vergleichbaren Standards genügen. Die Erfüllung dieser Standards wird jährlich überprüft.

Alle E-Dokument-Daten, die unsere Kunden im Rahmen der Nutzung des DocuSign-Dienstes erstellen, werden automatisch mit einem AES-256-Bit- oder einem vergleichbaren Schlüssel verschlüsselt. Zudem werden E-Dokumente, die DocuSign im Auftrag von Kunden im EWR verarbeitet, in europäischen Rechenzentren gespeichert.

F:            Was sind verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR)?

A:              BCR definieren die weltweiten Richtlinien eines Unternehmens bezüglich des Datenschutzes. Sie ermöglichen multinationalen Unternehmen die interne, grenzüberschreitende Übermittlung personenbezogener Daten gemäß den EU-Datenschutzvorschriften.

BCR werden den europäischen Datenschutzbehörden vorgelegt, die sie dann prüfen, ggf. anpassen und genehmigen. Danach sind alle personenbezogenen Daten, die an das Unternehmen oder unternehmensintern übermittelt werden, geschützt. BCR werden in der DSGVO explizit genannt und gelten gemeinhin als „Goldstandard“ des Datenschutzes.

 

F:            Worin besteht der Unterschied zwischen BCR und der Datenschutz-Grundverordnung?

A:              Die DSGVO ist die allgemein geltende Datenschutzverordnung, die am 25. Mai 2018 in Kraft treten wird. BCR sind einer von mehreren DSGVO-konformen Mechanismen, personenbezogene Daten zu übermitteln.

 

F:            Wie bereitet sich DocuSign auf die Einhaltung der DSGVO vor? ​

A:              Unsere Geschäftsgrundlage ist Vertrauen und ein sorgfältiger Umgang mit Kundendokumenten. Docusign hat eine starke Compliance-Kultur und wir haben solide Sicherheitsvorkehrungen entwickelt, die sich in der ISO-27001-Zertifizierung widerspiegeln. Für unsere Bemühungen um DSGVO-Konformität ist dies von großem Vorteil.

DocuSign verfolgt aktiv die Auslegungen der EU-Aufsichtsbehörden zu wichtigen DSGVO-Anforderungen, um auf dieser Grundlage gut begründete Entscheidungen treffen zu können. Zugleich überarbeitet wir selbst – ebenso wie viele Anbieter von Clouddiensten – gerade unser eigenes Datenschutzprogramm, damit es bis zum 25. Mai 2018 den Vorgaben der DSGVO entspricht.

F:            Setzt DocuSign in seinen Bemühungen um DSGVO-Konformität seine eigene Technologie ein?

A:              Ja. DocuSign nutzt für interne Prozesse – etwa zur Erstellung, Prüfung und Genehmigung von Richtlinien – in der Regel seine eigene Technologie. Elektronische Signaturen von DocuSign sind gut für DSGVO – Anwendungsfälle gerüstet. Als “Trusted Service Provider” bietet Docusign die rechtliche Grundlage für Anwendungsfälle, in denen Unternehmen auf die Einwilligung der Dateneigentümer angewiesen sind.

Wir werden ganz genau schauen, wie wir diese Technologie in solchen Fällen einsetzen können.

Auch dem Abschluss von Verträgen mit Dienstleistern (einschließlich Datenverarbeitern) dürfte bei DocuSign-Signaturen nichts im Wege stehen. Wir werden diese Technologie neben anderen Mechanismen einsetzen, um sicherzustellen, dass Verträge mit Dienstleistern die gemäß der DSGVO vorgeschriebenen Datenschutzbestimmungen enthalten.

F:            Kann DocuSign Kunden dabei helfen, die DSGVO zu erfüllen?

A:              DocuSign kann Kunden auf mehrerlei Weise helfen:

  • Unternehmen müssen für die Verarbeitung personenbezogener Daten die Einwilligung der Betroffenen einholen. Hier kann Docusign helfen, diese Einwilligungen zu erfassen und zu dokumentieren.
  • Unternehmen, die die Transparenz ihrer Datenverarbeitung erhöhen wollen, kann Docusign dabei helfen, sowohl die Verarbeitung als auch die erfolgreiche Übermittlung der Daten zu bestätigen.
  • DocuSign ist auch das ideale Tool für Unternehmen, die ihren Beschaffungsprozess mit ihren Zulieferern an DSGVO-Bestimmungen anpassen müssen.

Schlagwort