Brexit: Firmen drohen Probleme bei Übertragung personenbezogener Daten

CIOProjekte

Mit dem Brexit ändert sich auch die Rechtsgrundlage für den Austausch personenbezogener Daten zwischen Deutschland und Großbritannien. Darauf hat der eco Verband jetzt hingewiesen. Er empfiehlt Firmen mit Standorten in Großbritannien, sich auf mehrere Szenarien vorzubereiten.

Wie genau ist noch nicht sicher, aber fest steht: Der Brexit wird die rechtlichen Bedingungen für den Transfer personenbezogener Daten zwischen Großbritannien und den EU-Ländern verändern. Innerhalb der EU konnten bislang Daten bedenkenlos ausgetauscht werden, selbst wenn die nationalen Regelungen voneinander abwichen. Dennoch galt das Datenschutzniveau der anderen Mitgliedsstaaten- und damit auch der etwas lockerer Standard in Großbritannien – ohne weitere Prüfungen als angemessen.

(Bild: Shutterstock.com/Elena Schweitzer)

Mit Vollzug des Brexit wird Großbritannien jedoch zum sogenannten Drittland. Für die gilt datenschutzrechtlich aktuell § 4 b BDSG. Zukünftig greift dann Art. 44 ff. der europäischen Datenschutzgrundverordnung (DSGVO). Die schreibt vor, dass vor der Übermittlung von personenbezogenen Daten in ein Drittland sichergestellt werden muss, dass der Zielstaat ein “angemessenes Datenschutzniveau” gewährleistet.

“Ob ein Land ein angemessenes Datenschutzniveau hat oder nicht stellt die EU-Kommission fest. Wenn dem so ist, dann ist eine Übertragung in dieses Drittland ohne weitere Prüfungen verantwortlicher Stellen möglich”, erklärt Rechtsanwältin Katharina Küchler von der Rechtsabteilung des eco -Verband der Internetwirtschaft e. V.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Dieses Status strebt die britische Regierung nach Ansicht der Juristin offensichtlich an, wie mehrere Passagen in einschlägigen Dokumenten und Plänen nahelegen. Allerdings ist nicht sicher, ob die EU-Kommission den Abtrünnigen diesen Status auch gewährt. Ein Grund dafür könnte der Ende 2016 beschlossene, sogenannte Investigatory Powers Act sein. Es ist fraglich, ob der dem aktuellen und vor allem dem mit der EU-DSGVO im Mai 2018 endgültig neu definierten Datenschutzverständnis der EU entspricht.

Katharina Küchler von der Rechtsabteilung des eco -Verband der Internetwirtschaft e. V. (Bild: eco)
Katharina Küchler von der Rechtsabteilung des eco -Verband der Internetwirtschaft e. V. (Bild: eco)

Der Investigatory Powers Act sieht für den britischen Geheimdienst unter anderem umfangreiche Überwachungsrechte gegenüber Telekommunikationskonzernen und Internetanbietern vor. Küchler weiter: „Wenn die Angemessenheit für ein Land nicht generell festgestellt werden kann, dann müssen die verantwortlichen Stellen permanent die Zulässigkeit der Datenübermittlung prüfen und dafür sorgen, dass die von der Übermittlung betroffenen Personen Garantien für den Schutz ihrer Persönlichkeitsrechte erhalten.”

Die Datenübermittlung sei dann beispielsweise nur aufgrund von EU-Standardvertragsklauseln, Binding Corporate Rules oder ähnlichen Instrumenten möglich. Mit den USA wurde von der EU dazu das – vielfach kritisch gesehene und doch etwas wacklige – Abkommen Privacy Shield getroffen. Problematisch ebi so einem Abkommen ist – wie viele Unternehmen aus Erfahrungen mit dem Vorgänger Safe Harbor wissen – dass es auch relativ kurzfristig geändert werden kann.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Laut Küchler müssen sich mit dem Problem der Datenübermittlung alle Unternehmen beschäftigen, die im Rahmen geschäftlicher Beziehungen Daten nach Großbritannien übermitteln wollen oder über Standorte in einem EU-Land und Großbritannien verfügen. Ausnahmen im Sinne eines Konzernprivilegs gebe es weder beim Bundesdatenschutzgesetz noch werde es die bei der DSGVO geben.

Datenschutzbeauftragte in diesen Unternehmen sollten sich daher auf unterschiedliche Szenarien vorbereiten. Ausgangspunkt der Betrachtung sollte es sein, die aktuellen Datenflüsse zu überprüfen. Dabei könne auch ein externer Datenschutzbeauftragter helfen. Seinen Mitgliedsunternehmen greift der eco Verband hier unter die Arme, andere Firmen müssen sich nach Alternativen umsehen.

Umfrage

Welche Ziele verfolgen Sie mit der digitalen Transformation?

Ergebnisse

Loading ... Loading ...
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen