Wird das Vereinigte Königreich zum Drittland? Nun, es bleibt weiterhin spannend. Nachdem die EU-Kommission Großbritannien nach dem ursprünglichen Austrittstermin am 29. März eine erste Verschiebung auf den 12. April gewährte, könnte es jetzt mit der zweiten Verschiebung am 31. Oktober soweit sein – auch mit Blick auf die DSGVO. Viele Unternehmen, die enge Beziehungen mit Großbritannien pflegen, IT-Dienstleistungen oder Rechenzentren vor Ort nutzen, stellt das vor ein großes Problem. Denn wer selbige nicht behandelt, als säßen sie außerhalb der EU, verstößt gegen die Datenschutzgrundverordnung, was hohe Bußgelder nach sich zieht. Es gelten also dieselben komplexen Regeln wie beispielsweise im Austausch mit Partnern aus Indien oder Südafrika.
Datenchaos auf Drittlandebene
Der Datenaustausch mit solchen Drittländern ist außerhalb der EU streng reglementiert. Und offenbar plant die EU-Kommission vorläufig nicht, dem Vereinigten Königreich einen Status als sicheres Drittland zuzusprechen. Ein solcher Angemessenheitsbeschluss existiert beispielsweise für die Schweiz. Er würde damit auch weiterhin den unproblematischen Datenaustausch mit Partnern in Großbritannien sichern. Fehlt solch ein Beschluss, besteht die Möglichkeit, bei Unternehmen in Drittländern mit EU-Standardvertragsklauseln zu arbeiten. Hier verpflichten sich die Unternehmen zur Einhaltung der EU-Datenschutzstandards.
Doch was tun?
Laut Bitkom Research verarbeiten 14 Prozent aller deutschen Unternehmen mit mehr als 20 Mitarbeitern personenbezogene Daten auf der Insel. Sie sollten sich also besser früher als später mit diesem Szenario auseinandersetzen und prüfen, welche Unternehmensbereiche betroffen sind, um nicht im Notfallmodus sämtliche Daten überprüfen zu müssen, die in das Vereinigte Königreich führen.
Folgende Punkte gilt es in Hinblick auf die DSGVO zu beachten:
- Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Webseite ist nun über die Datenübermittlung in ein Drittland zu informieren (Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO).
- Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist ihr auch über die Datenübermittlung in Drittländer Auskunft zu geben. (Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO).
- Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen (Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO).
Gegebenenfalls sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung nach Großbritannien als Drittland geht (Art. 35 DSGVO).
Datenschutz aus der Cloud
Unternehmen können zudem für den Transport und die Speicherung von Daten auf Cloud-basierte Services setzen, die im Einklang mit der DSGVO stehen. So bestätigt beispielsweise Brainloop mit Zertifikaten wie ISO 27001/27018, ISAE 3402 Typ II und der TCDP-Zertifizierung, dass alle Online-Dienste hinsichtlich Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Wiederherstellbarkeit, Überprüfung zur Sicherung der Verarbeitung und Löschung alle Anforderungen an den Datenschutz erfüllen.
Unternehmen mit Sitz in Großbritannien sollten außerdem in Betracht ziehen, personenbezogenen Daten zukünftig in der EU zu lagern. Sie brauchen so keine neuen Vereinbarungen zu treffen und profitieren außerdem von den stabilen rechtlichen Rahmenbedingungen. Auch hier bietet Brainloop Unternehmen die Möglichkeit, ihre Daten sicher auf Servern in der EU zu speichern.
So oder so, es wird auch weiterhin spannend bleiben. Der Brexit bringt nicht nur enorme Rechtsunsicherheiten für Unternehmen mit sich, sondern auch aller Voraussicht nach deutliche Umsatzrückgänge. Umso wichtiger ist es, nun klar festzulegen, wie über die Landesgrenzen hinweg kommuniziert werden soll.
Geschrieben von Karolina Wintermann