Datenschutz und Brexit

PrintMailRate-it

​​​​veröffentlicht am 6. April 2020 | Lesedauer ca. 2 Minuten | von Bastian Schönnenbeck

  

Gegenwärtig gilt für Großbritannien die Einhaltung der europäischen Datenschutz-Normen. Doch was passiert nach der Übergangsphase am 31. Dezember 2020, wenn das Vereinigte Königreich endgültig kein EU-Mitglied mehr ist?

  

 

  

Grundsätzlich greifen dann die Art. 44-50 der DSGVO, wonach Großbritannien ab dem 1. Januar 2021 als Dritt­land einzustufen ist. Für den Datenaustausch zwischen Deutschen und Britischen Unternehmen hätte das v.a. verschärfte Regeln zur Folge, sofern die EU-Kommission Großbritannien nicht als „sicheres Drittland” klassi­fi­ziert (wie z.B. auch die Schweiz oder Japan). Dafür müsste gewährleistet sein, dass das bisherige Datenschutz­niveau weiterhin eingehalten werden kann. Angesichts der Aussagen der britischen Regierung, man wolle eigene und unabhängige Datenschutzregeln etablieren, scheint ein EU-Beschluss hierzu jedoch fraglich.

  

Weiterhin problematisch erscheinen die ohnehin schon harsch kritisierten britischen Überwachungsgesetze, die von europäischen Gerichten wiederholt als Verfehlung der europäischen Datenschutzgesetze ausge­sprochen wurden. Denkbar wäre eine Lösung, die sich an dem EU-US Privacy Shield orientiert. Damit wurden die Niveau-Differenzen der Datenschutznormen zwischen der EU und den USA ausgeglichen – wenngleich auch der Ansatz zu anhaltenden Diskussionen zwischen Datenschützern und Juristen führt.

  

Müssen Unternehmen reagieren? Datentransfers & Cloud-Services

Eine rechtmäßige Verarbeitung von personenbezogenen Daten hängt gemäß DSGVO von mehreren Faktoren ab: U.a. auch dem Ort der Diensterbringung gemäß den Regelungen des Marktortprinzips in Art. 3 Abs. 2 DSGVO. Für Unternehmen, die Software as a Service (SaaS) eines Anbieters aus Großbritannien nutzen, könnte das zu Problemen führen. Denn britische Unternehmen sind ab dem 1. Januar 2021 nicht mehr verpflichtet, die aktuell bindenden Datenschutzvorgaben einzuhalten. Es sollten also nach Möglichkeit bereits heute die beste­hen­den Verträge mit Auftragsverarbeitern aus Großbritannien geprüft werden. Insbesondere Cloud-Dienste mit dazugehörigen Cloud-Verträgen sollten um die Standarddatenschutzklauseln der EU-Kommission ergänzt werden. Die Standardklauseln beziehen sich u.a. auf Art. 46 der DSGVO, wonach gemäß Art. 46 Abs. 1 „ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine inter­natio­nale Organisation nur übermitteln (darf), sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechts­behelfe zur Verfügung stehen”.

  

Diese vertragliche Mindestabsicherung könnte letztlich auch die Rechenschaftspflicht zwischen dem Verant­wortlichen (Unternehmen aus Deutschland) und seinen Nutzerdaten sicherstellen. Zu prüfen wären die Einzel­fälle hinsichtlich der „geeigneten Garantien” und was genau darunter je nach individuellem Anbieter zu ver­ste­hen ist. Ohne etwaige Angleichungen oder einer EU-UK-Einigung zum Datenschutz-Umgang, wäre eine rechts­konforme Verarbeitung von personenbezogenen Daten kaum gewährleistet. In letzter Konsequenz würde das wohl einen Anbieterwechsel, hin zu einem in der EU ansässigen Provider, bedeuten.

  

Fazit

Sofern Großbritannien und die EU keine Einigung über die datenschutzrechtliche Einstufung Großbritanniens als „sicheres Drittland“ finden, hätte das signifikante Auswirkungen auf die Datenverarbeitung zwischen Deutschen und Britischen Unternehmen. Deutsche Unternehmen müssen schließlich dafür sorgen, dass die Verarbeitung von personenbezogenen Daten gemäß den europäischen Normen und Regeln erfolgt. Um weiter­hin die (Cloud)-Dienste aus Großbritannien nutzen zu können, empfiehlt es sich mindestens, die vertragliche Grundlage der Zusammenarbeit zu prüfen und um Standardvertragsklauseln der EU zu ergänzen.

Kontakt

Contact Person Picture

Frank Reutter

Dipl.-Wirtschaftsinformatiker, Wirtschaftsprüfer, Steuerberater, CISA

Partner

+49 221 949 909 316

Anfrage senden

Mehr lesen?

 
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu