Home
Intern
veröffentlicht am 6. April 2020 | Lesedauer ca. 2 Minuten | von Bastian Schönnenbeck
Gegenwärtig gilt für Großbritannien die Einhaltung der europäischen Datenschutz-Normen. Doch was passiert nach der Übergangsphase am 31. Dezember 2020, wenn das Vereinigte Königreich endgültig kein EU-Mitglied mehr ist?
Grundsätzlich greifen dann die Art. 44-50 der DSGVO, wonach Großbritannien ab dem 1. Januar 2021 als Drittland einzustufen ist. Für den Datenaustausch zwischen Deutschen und Britischen Unternehmen hätte das v.a. verschärfte Regeln zur Folge, sofern die EU-Kommission Großbritannien nicht als „sicheres Drittland” klassifiziert (wie z.B. auch die Schweiz oder Japan). Dafür müsste gewährleistet sein, dass das bisherige Datenschutzniveau weiterhin eingehalten werden kann. Angesichts der Aussagen der britischen Regierung, man wolle eigene und unabhängige Datenschutzregeln etablieren, scheint ein EU-Beschluss hierzu jedoch fraglich.
Weiterhin problematisch erscheinen die ohnehin schon harsch kritisierten britischen Überwachungsgesetze, die von europäischen Gerichten wiederholt als Verfehlung der europäischen Datenschutzgesetze ausgesprochen wurden. Denkbar wäre eine Lösung, die sich an dem EU-US Privacy Shield orientiert. Damit wurden die Niveau-Differenzen der Datenschutznormen zwischen der EU und den USA ausgeglichen – wenngleich auch der Ansatz zu anhaltenden Diskussionen zwischen Datenschützern und Juristen führt.
Eine rechtmäßige Verarbeitung von personenbezogenen Daten hängt gemäß DSGVO von mehreren Faktoren ab: U.a. auch dem Ort der Diensterbringung gemäß den Regelungen des Marktortprinzips in Art. 3 Abs. 2 DSGVO. Für Unternehmen, die Software as a Service (SaaS) eines Anbieters aus Großbritannien nutzen, könnte das zu Problemen führen. Denn britische Unternehmen sind ab dem 1. Januar 2021 nicht mehr verpflichtet, die aktuell bindenden Datenschutzvorgaben einzuhalten. Es sollten also nach Möglichkeit bereits heute die bestehenden Verträge mit Auftragsverarbeitern aus Großbritannien geprüft werden. Insbesondere Cloud-Dienste mit dazugehörigen Cloud-Verträgen sollten um die Standarddatenschutzklauseln der EU-Kommission ergänzt werden. Die Standardklauseln beziehen sich u.a. auf Art. 46 der DSGVO, wonach gemäß Art. 46 Abs. 1 „ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln (darf), sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen”.
Diese vertragliche Mindestabsicherung könnte letztlich auch die Rechenschaftspflicht zwischen dem Verantwortlichen (Unternehmen aus Deutschland) und seinen Nutzerdaten sicherstellen. Zu prüfen wären die Einzelfälle hinsichtlich der „geeigneten Garantien” und was genau darunter je nach individuellem Anbieter zu verstehen ist. Ohne etwaige Angleichungen oder einer EU-UK-Einigung zum Datenschutz-Umgang, wäre eine rechtskonforme Verarbeitung von personenbezogenen Daten kaum gewährleistet. In letzter Konsequenz würde das wohl einen Anbieterwechsel, hin zu einem in der EU ansässigen Provider, bedeuten.
Sofern Großbritannien und die EU keine Einigung über die datenschutzrechtliche Einstufung Großbritanniens als „sicheres Drittland“ finden, hätte das signifikante Auswirkungen auf die Datenverarbeitung zwischen Deutschen und Britischen Unternehmen. Deutsche Unternehmen müssen schließlich dafür sorgen, dass die Verarbeitung von personenbezogenen Daten gemäß den europäischen Normen und Regeln erfolgt. Um weiterhin die (Cloud)-Dienste aus Großbritannien nutzen zu können, empfiehlt es sich mindestens, die vertragliche Grundlage der Zusammenarbeit zu prüfen und um Standardvertragsklauseln der EU zu ergänzen.
Frank Reutter
Dipl.-Wirtschaftsinformatiker, Wirtschaftsprüfer, Steuerberater, CISA
Partner
Anfrage senden
Digital GRC: Governance, Risk & Compliance konsequent digital
