Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 3 Min.

Nach dem Brexit verlassen viele persönliche Daten Großbritannien


Computerwoche - epaper ⋅ Ausgabe 5/2020 vom 24.01.2020

Unternehmen, die Geschäftsverbindungen zu Großbritannien unterhalten, sollten mit dem Brexit ihre Verträge hinsichtlich der Datenschutzbestimmungen genau überprüfen. Hier lesen Sie, worauf Sie dabei achten sollten.


Von Michael Rath, Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln

Mehr zum Thema Brexit finden Sie auf der Website der COMPUTERWOCHE:

Mit dem Brexit droht ein IT- und Daten-Chaos www.cowo.de/3547450

Die DSGVO als Hilfsmittel gegen Grenzkontrollen im Datenverkehr www.cowo.de/3544510

Der Brexit und die Folgen für die ...

Artikelbild für den Artikel "Nach dem Brexit verlassen viele persönliche Daten Großbritannien" aus der Ausgabe 5/2020 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Computerwoche, Ausgabe 5/2020

Weiterlesen
epaper-Einzelheft 10,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 5/2020 von Allianz stuft Cyber-Kriminalität als höchstes Unternehmensrisiko ein. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Allianz stuft Cyber-Kriminalität als höchstes Unternehmensrisiko ein
Titelbild der Ausgabe 5/2020 von Microsoft entdeckt den Klimaschutz – CO2-neutral bis 2030 ist das Ziel. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Microsoft entdeckt den Klimaschutz – CO2-neutral bis 2030 ist das Ziel
Titelbild der Ausgabe 5/2020 von Bis 2025 sollen bei Bosch alle Produkte auf KI basieren. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bis 2025 sollen bei Bosch alle Produkte auf KI basieren
Titelbild der Ausgabe 5/2020 von „Software is eating the world“ – stimmt das wirklich?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
„Software is eating the world“ – stimmt das wirklich?
Titelbild der Ausgabe 5/2020 von Adobe baut seine Experience Cloud um Funktionen für Personalisierung aus. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Adobe baut seine Experience Cloud um Funktionen für Personalisierung aus
Titelbild der Ausgabe 5/2020 von Fit für die Digitalisierung – dank IT-Service-Management. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Fit für die Digitalisierung – dank IT-Service-Management
Vorheriger Artikel
Allianz stuft Cyber-Kriminalität als höchstes Unternehm…
aus dieser Ausgabe
Nächster Artikel Microsoft entdeckt den Klimaschutz – CO2-neutral bis 2030 i…
aus dieser Ausgabe

... IT-Branche www.cowo.de/3312870

Bis zum Brexit ist Großbritannien ein Mitgliedsstaat in der EU. Bis dahin gilt auch auf der Insel – genauso wie in Deutschland – die Datenschutz-Grundverordnung (DSGVO) direkt und unmittelbar. Die DSGVO regelt Rechte und Pflichten zum Schutz personenbezogener Daten und sanktioniert Verstöße mit zum Teil erheblichen Bußgeldern.

Das mit der neuen Datenschutzregelung geschaffene Schutzniveau in der EU soll nicht dadurch untergraben werden, dass Daten ins Ausland übermittelt werden, wo möglicherweise andere Bestimmungen gelten, die dem von der DSGVO geforderten Schutz nicht entsprechen. Innerhalb der EU gelten für den Datentransfer hingegen keine besonderen Voraussetzungen.

Internationaler Datenverkehr

Der Datenfluss zwischen verschiedenen Ländern ist für den internationalen Handel besonders wichtig. Zu Datenübertragungen kommt es beispielsweise dann, wenn Dienstleister im Ausland als Auftragsdatenverarbeiter eingesetzt werden, aber auch und insbesondere dann, wenn Cloud-Lösungen genutzt werden, bei denen sich die Server in der Regel nicht im eigenen Land befinden.

Laut einer aktuellen Studie im Auftrag des IT-Verbands Bitkom lassen elf Prozent der deutschen Unternehmen personenbezogene Daten in Großbritannien verarbeiten, davon wollen aber nur zwei Prozent die Datenverarbeitung auf der Insel nach dem Brexit fortführen.

Die Auswirkungen auf den Datenschutz hängen erheblich vom Austrittsszenario ab. Nachdem das britische Unterhaus dem Austrittsabkommen bereits zugestimmt hat – das Placet des Oberhauses ist reine Formsache –, gilt bis zum 31. Dezember 2020 ein Übergangszeitraum. Damit soll ein harter Schnitt für die Wirtschaft abgefedert werden. In dieser Zeit würde Großbritannien im Hinblick auf die DSGVO weiterhin als EU-Mitgliedsstaat behandelt, sodass die Verantwortlichen mehr Zeit hätten, sich auf den Ernstfall vorzubereiten. Beide Seiten planen, ein umfangreiches Freihandelsabkommen auszuhandeln. Ob das bis Ende 2020 steht, ist aber mehr als zweifelhaft.

Das Austrittsabkommen sieht zudem die Option vor, die Übergangszeit bis zu zweimal zu verlängern. Letztendlich ist die Fortgeltung der DSGVO aber kein Dauerzustand. Über kurz oder lang ist eine Anpassung an die neue Rechtslage notwendig.

Im Falle des No-Deal-Brexits oder nach Ablauf einer etwaigen Übergangsphase wird die Datenübermittlung in Großbritannien dann so behandelt wie in jedes andere Drittland auch. Sie ist nicht grundsätzlich unzulässig, solange das europäische Datenschutzniveau gewährleistet bleibt. Die DSGVO bietet hierfür einige Lösungsmöglichkeiten.

Die Datenübermittlung in ein Drittland unter DSGVO-Bedingungen

Eine Möglichkeit, sensible und damit schützenswerte Daten in ein Drittland zu übertragen, bietet die Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission. Damit stellt die Kommission fest, dass in dem Drittland ein angemessenes Datenschutzniveau besteht, sodass die Datenübermittlung DSGVOkonform möglich ist. Entsprechende Beschlüsse bestehen bereits unter anderem für Kanada, die Schweiz und die USA unter Geltung des Privacy Shields. Es ist vorstellbar, dass die Kommission auch für Großbritannien als ehemaliger EU-Mitgliedsstaat einen entsprechenden Angemessenheitsbeschluss erlassen könnte.

Momentan ist ein solches Verfahren aber nicht im Gange, sodass mit dem Erlass eines Angemessenheitsbeschlusses erst einmal nicht zu rechnen ist. Doch auch ohne Angemessenheitsbeschluss der Kommission ist eine Datenübermittlung ins Ausland möglich, wenn geeignete Garantien bestehen. Dies können sein:

• Standarddatenschutzklauseln: Das sind von der Europäischen Kommission geneh migte Vertragswerke. Der Verantwortliche kann mit seinem Vertragspartner in Großbritannien deren Geltung vereinbaren, darf aber keine Änderungen vornehmen, sondern muss die Standardvertragsklauseln so übernehmen, wie sie genehmigt wurden. Derzeit stehen drei Zusammenstellungen von Standarddatenschutzklauseln zur Verfügung.

• Verbindliche unternehmensinterne Regelungen (Binding Corporate Rules, BCR): Darunter versteht man unternehmensinterne Regelungen (in einem multinationalen Unternehmen), mit denen sich ein Unternehmen zu Maßnahmen zum Schutz personenbezogener Daten verpflichtet. Bereits genehmigte BCR dürfen weiter genutzt werden, müssen aber angepasst werden. Falls noch keine BCR bestehen, müssen diese von der Aufsichtsbehörde genehmigt werden.

• Genehmigte Verhaltensregeln und Zertifizierungen haben gemeinsam, dass sie verbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland enthalten müssen. Es handelt sich dabei um mit der DSGVO eingeführte neue Instrumente zum Schutz personenbezogener Daten bei der Datenübermittlung, sodass hier Einzelheiten noch nicht feststehen.

Darüber hinaus kommen für bestimmte Fälle Ausnahmen in Betracht. Die Ausnahmetatbestände sind in der DSGVO aufgelistet und restriktiv auszulegen.

Handlungsbedarf

Der erste Schritt sollte immer der Blick ins Verarbeitungsverzeichnis sein. Hieraus sollte sich ergeben, ob und welche Daten nach Großbritannien übermittelt werden. Anschließend ist für jede Verarbeitung gründlich zu prüfen, ob die Übermittlung weiterhin DSGVOkonform funktioniert. Gegebenenfalls müssen Verträge mit Auftragsverarbeitern oder gemeinsamen Verantwortlichen aktualisiert werden.

In jedem Fall muss das Ergebnis der Prüfung schriftlich festgehalten werden, um der Rechenschaftspflicht nach der DSGVO gerecht zu werden. Schließlich müssen auch Dokumente wie Verarbeitungsverzeichnis, Datenschutzerklärung und DatenschutzFolgenabschätzung aktualisiert werden.

Der Ausstieg naht

Nachdem der britische Premierminister Boris Johnson mit seinen Konservativen bei den Wahlen am 12. Dezember 2019 die Mehrheit im britischen Unterhaus erobert hat, könnte die jahrelange Hängepartie um den Ausstieg der Briten aus der Europäischen Union endlich einen Abschluss finden. Ob ein langes Siechtum der britischen Wirtschaft folgt oder aber ein Neuanfang auf beiden Seiten des Kanals, steht noch in den Sternen.