Digitalization

Am 31. Oktober 2019 ist Stichtag: Großbritannien verlässt die Europäische Union. Die veränderten Beziehungen schaffen neue Herausforderungen, etwa beim Datenschutz.

Während die Verhandlungen rund um den Brexit im Spätsommer 2019 immer absurder und dramatischer werden, tickt die Uhr erbarmungslos weiter. Von einem Austrittabkommen, das die zukünftigen Beziehungen zwischen Großbritannien und der EU regelt, fehlt nach wie vor jede Spur. Die Folge: Auf allen Ebenen herrscht Unsicherheit. Unternehmen stehen vor gewaltigen Aufgaben, um die zukünftige Zusammenarbeit mit britischen Organisationen zu gestalten.

Eine der größten Herausforderungen ist der Umgang mit sensiblen Informationen – von Kunden, Partnern oder Lieferanten. Die europäische Datenschutzgrundverordnung (EU-DSGVO) hat zwar im Mai 2018 die Verarbeitung personenbezogener Daten europaweit geregelt. Doch der Brexit schafft neue und harte Fakten. Denn als unsicheres Drittland wird Großbritannien datenschutzrechtlich von der EU getrennt.

 

Daten-Highway Ärmelkanal

Als enge Handelspartner tauschen Deutschland und die britischen Inseln täglich enorme Datenmengen aus. Laut dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) lässt jedes siebte Unternehmen personenbezogene Daten in Großbritannien verarbeiten. Eine Umfrage des Bundesverbands Digitale Wirtschaft (BVDW) ergab zudem, dass 60 Prozent der Befragten eine Übergangsfrist von mindestens einem Jahr benötigen, um Ihre Systeme und Verträge an die geänderte Sach- und Rechtslage für Datentransfers nach UK anzupassen.

Speziell großen Konzerne sollten viel Zeit einplanen, um herauszufinden, wie stark der Daten-Highway über den Ärmelkanal genutzt wird. Denn davon hängen Änderungsbedarf und der Umfang der Anpassungen ab. „Die Datenschutzverantwortlichen in Unternehmen müssen alle Prozesse im Blick haben, bei denen personenbezogene Daten nach Großbritannien transferiert werden oder britische Verarbeiter darauf zugreifen“, erklärt Stefan Latz, Datenschutz-Experte von TÜV Hessen. „Erst danach können die notwendigen Schritte folgen, um den Transfer rechtlich abzusichern.“

Um möglichen Risiken vorzubeugen, müssen europäische Unternehmen bestehende Verträge entsprechend aktualisieren. Bevor die Daten in Großbritannien gespeichert oder verarbeitet werden, ist zudem eine Einwilligung der betroffenen Verbraucher notwendig. Für die Nutzung der Daten, die von britischen Anbietern erhoben werden, ändert sich hingegen nichts. Die sensiblen Informationen sind weiter von der EU-DSGVO geschützt – die gültigen Richtlinien anzuwenden, könnte aber bei einem ungeregelten Brexit schwierig sein.

 

Die Zeit drängt

Dass derzeit keine berechenbaren Lösungen in Sicht sind, erschwert die Suche nach Lösungen. Im Idealfall wird bis zum Stichtag Ende Oktober 2019 ein Austrittsabkommen unterzeichnet, das Großbritannien gemäß Artikel 45 der DSGVO zu einem sicheren Drittland erklärt. Seit der Einführung der europäischen Datenschutzgrundverordnung im Mai 2018 erhielten unter anderem Australien, Kanada oder die Schweiz diesen Status. Doch auch bei dieser Option gibt es Haken. Die britische „Investigatory Powers Bill“ von 2016 ermöglicht zumindest theoretisch eine umfassende Vorratsdatenspeicherung. Zudem entsteht ohne britische Anerkennung des EU-US-Privacy-Shield für Datenübermittlungen zwischen Großbritannien und USA ein weiteres Risiko.

Zahlreiche Experten empfehlen deshalb Standardvertragsklauseln, um den Datentransfer zwischen Großbritannien und der EU rechtlich zu regeln. „Speziell in den Finanzbranchen und bei Versicherungen arbeiten zahlreiche Unternehmen bereits mit diesen Lösungen“, bestätigt Stefan Latz. Der Vorteil: Standardvertragsklauseln benötigen keine weitere Genehmigung von Aufsichtsbehörden. So können individuell wirksame vertragliche Vereinbarungen getroffen werden, die den Datentransfer nach Großbritannien ermöglichen.

 

Unsichere Sicherheit

Die vorgefertigten Vertragsklauseln verpflichten die Partner zur Einhaltung der europäischen Datenschutzrichtlinien gemäß der EU-DSGVO. Dennoch sollten Unternehmen neben dem Abschluss der Verträge prüfen, ob die Vertragspartner sich an die Vorgaben halten – oder ob das passende Datenschutzkonzept vorhanden ist. Weil die EU-DSGVO in Kraft trat, als Großbritannien noch EU-Mitglied war, erfüllen die meisten britischen Organisationen das notwendige Sicherheitsniveau.

Mit einem Online-Tool hilft die britische Datenschutzbehörde Information Commissioner’s Office (ICO) zusätzlich. Allerdings empfiehlt die Behörde Organisationen auf dem europäischen Festland, die Anforderungen der EU-DSGVO parallel zu prüfen. So wird das Risiko beim Transfer und der Verarbeitung von personenbezogenen Daten in Großbritannien minimiert. Doch trotz aller Vorkehrungen sorgt die unkalkulierbare Lage rund um den Brexit weiterhin für Unsicherheit. Daran wird sich auch bis zum 31. Oktober 2019 nicht viel ändern.