Brexit: Wohin mit den Daten?

Wer personenbezogene Daten in Großbritannien speichert oder verarbeitet, sollte kurzfristig handeln.

Die Meldungen zum Thema Brexit überschlagen sich täglich. Bei all den bisherigen Abstimmungen im britischen Unterhaus und der jetzt erfolgten Verschiebung bis Ende Oktober 2019 ist nach wie vor unklar, ob es einen geregelten Brexit geben wird oder nicht. Insbesondere im Falle eines ungeregelten Brexits könnte Europa ein Datenchaos drohen, wie auch der Branchenverband Bitkom in einer Pressemitteilung jüngst herausgestellt hat. Denn aus Sicht des Datenschutzes wird die Datenschutz-Grundverordnung (DSGVO) in Großbritannien nach einem ungeregelten Brexit keine Wirkung mehr entfalten.

Dies hätte zur Folge, dass sich die Übermittlung personenbezogener Daten nach Großbritannien – ohne einen Angemessenheitsbeschluss der EU-Kommission – rechtlich deutlich komplexer gestalten würde als in Länder wie Argentinien, Neuseeland oder Israel. Für diese hat nämlich die Kommission einen derartigen Feststellungsbeschluss zur Angemessenheit des Datenschutzniveaus getroffen. Für Unternehmen, die in Großbritannien dennoch Kunden- oder Auftragsdaten verarbeiten lassen wollen, ergibt sich mithin ein großer Mehraufwand. Denn die datenschutzrechtlichen Anforderungen für internationale Datentransfers sind künftig zu berücksichtigen.

Brexit und Datenschutz: Jedes siebte Unternehmen steht vor Problemen

14 Prozent der deutschen Unternehmen, die personenbezogene Daten über externe Dienstleister verarbeiten lassen, übertragen laut einer Bitkom-Umfrage Kunden- und Auftragsdaten auch nach Großbritannien. Diese Unternehmen kommen derzeit nicht darum herum, sämtliche datenschutzrelevanten Übermittlungen nach Großbritannien auf den Prüfstand zu stellen und, wo erforderlich, an die Anforderungen für internationale Datentransfers anzupassen. Auch der Branchenverband Bitkom sieht zu Recht, dass vor allem kleine und mittlere Unternehmen vor der Herausforderung stehen, ihre Geschäftsprozesse anpassen zu müssen. Dies könnte aus Sicht des Verbandes wiederum die Gesamtwirtschaft in Deutschland empfindlich treffen.

Brexit ohne Angemessenheitsbeschluss der EU-Kommission

Der Austausch personenbezogener Daten von EU-Bürgern mit „Drittstaaten“ ist unter bestimmten Voraussetzungen möglich. Drittstaaten sind alle Länder außerhalb der Europäischen Union. Mit Austritt aus der EU wäre Großbritannien ein solcher Drittstaat.

Für Drittstaaten wird aus Sicht des europäischen Datenschutzrechts grundsätzlich angenommen, dass dort kein angemessenes, der EU vergleichbares Datenschutzniveau vorhanden ist. Allerdings kann die EU-Kommission das Bestehen eines angemessenen Schutzniveaus wiederum nach einer entsprechenden Prüfung für ein bestimmtes Land feststellen. Für das Vereinigte Königreich ist derzeit aber noch kein Verfahren zur Feststellung der Angemessenheit des Datenschutzniveaus absehbar. Auch der Bitkom rechnet nicht damit, dass im Fall eines ungeregelten Brexits ein entsprechender Beschluss rechtzeitig vorliegen wird.

Datenverarbeitung in UK: So bleibt sie DSGVO-konform

Solange es nach einem Brexit keine besondere Datenschutzregelung zu Gunsten von Großbritannien gibt, müssen betroffene Unternehmen als verantwortliche Stellen geeignete Garantien im Sinne der Art. 44 ff. DSGVO schaffen, um Datenübermittlungen nach Großbritannien auch weiterhin datenschutzkonform fortführen zu können. Hierfür bestehen die folgenden Möglichkeiten:

Binding Corporate Rules

Unternehmensinterne Datentransfers in Drittländer sind auf Basis bindender Unternehmensrichtlinien erlaubt. Diese garantieren das EU-Datenschutzniveau innerhalb der kompletten Unternehmensgruppe. Die Einführung der BCR ist jedoch langwierig und kostspielig und von den Aufsichtsbehörden für den Datenschutz zu genehmigen.

 Standardvertragsklauseln der EU-Kommission

Die von der EU-Kommission bereitgestellten Standardverträge sollen im Falle einer Verwendung ohne Änderungen ein angemessenes Datenschutzniveau beim Datenempfänger herstellen. Allerdings gilt die Umstellung sämtlicher Verträge als durchaus zeitaufwändig.

Genehmigte Verhaltensregeln

Verhaltensregeln (Code of Conduct) genannt sind verbindliche Vorgaben eines (Branchen-)Verbands oder einer anderen Vereinigung. Sie legen die datenschutzrechtlichen Verhaltensweisen der jeweiligen Mitglieder fest.

Einverständnis der betroffenen Personen

Jede einzelne Person, deren persönliche Daten in Drittstaaten gespeichert und verarbeitet werden, müssen ihre explizite Einwilligung dazu geben. Gerade beim Cloud Computing und einer Verarbeitung großer Mengen an personenbezogenen Daten ist die Einholung der Einwilligung der jeweils betroffenen Personen de facto aber mit einem großen Aufwand verbunden und in den meisten Fällen nicht möglich.

Der einfache Weg: Datenverarbeitung in Deutschland

Welche der oben genannten Möglichkeiten auch immer umgesetzt werden soll: Die Zeit drängt und die aufwändigen Umstellungen sind vor allem für kleine und mittlere Unternehmen kurzfristig nur schwer zu bewältigen. Nichtsdestotrotz drohen bei Verstößen gegen die DSGVO beträchtliche Bußgelder.

„Unternehmen, die derzeit auf Datenverarbeitung oder IT-Infrastrukturen in Großbritannien setzen, ist grundsätzlich zu empfehlen, personenbezogene Daten innerhalb der EU zu speichern und zu verarbeiten, sofern sie sich nicht mit den datenschutzrechtlichen Anforderungen für internationale Datentransfers auseinandersetzen wollen“, schildert Dr. Thorsten Hennrich, Rechtsanwalt und Legal Counsel beim Managed-Cloud-Provider PlusServer.

Dabei ist Deutschland eines der gefragtesten Länder. Denn im Falle eines deutschen Standorts bleiben Unternehmen im Hinblick auf den Datenschutz auf der sicheren Seite, unabhängig davon wie sich die politische Lage in Bezug auf Großbritannien entwickeln sollte. Hinzu kommt: Der Umzug in eine deutsche Cloud-Lösung ist mit einem passenden Dienstleister eine reine Routineaufgabe und in einem überschaubaren zeitlichen Rahmen zu bewältigen.

Mehr Infos zum Thema

Keine Angst vor der Migration in eine neue Cloud-Lösung in Deutschland. Im Paper erfahren Sie, in welchen Schritten diese abläuft und wie ein Managed Cloud Service Provider Sie bei der Planung und Umsetzung unterstützt.

Jetzt downloaden