• DAX----
  • ES50----
  • US30----
  • EUR/USD----
  • BRENT----
  • GOLD----
Brexit

Der Brexit und das Datenschutzproblem

Sollte es tatsächlich zu einem ungeregelten Brexit kommen, rollen auf Unternehmen eine ganze Reihe von Problemen zu. Eines davon betrifft den Datenschutz. Denn für die Anwendung der DSGVO gibt es keine Übergangsregelung.

12.03.2019 | 10:30 Uhr

Weder ist endgültig klar, ob der Brexit kommt. Noch sind detaillierte Modalitäten der Umsetzung vereinbart. Derzeit sieht es so aus, als ob am 29. März 2019 um 23.00 Uhr mitteleuropäischer Zeit Großbritannien die EU verlässt. Einfach so. Was dann passiert: Man weiß es nicht so genau. Immerhin gibt es einige Übergangsregelungen. So ist zum Beispiel geklärt, wie der Devisenhandel post Brexit stattfinden wird – wenigstens vorläufig.

Zu den offenen Fragen gehört der Datenschutz. Die europäische Datenschutzverordnung DSGVO, im vergangenen Jahr gerade erst mit großem Aufwand und vielen Unsicherheiten eingeführt, könnte zum Problemfall werden. „Im Falle eines ungeregelten Brexits kommen auf Unternehmen große datenschutzrechtliche Herausforderungen zu, auf die es sich bereits jetzt vorzubereiten gilt, denn es gibt, anders als beim Inkrafttreten der DSGVO, keine Übergangsregelung“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

Großbritannien sorgt als Drittland für Datenschutzprobleme

Sollte Großbritannien die EU mit einem lakonischen Schulterzucken und ohne Handshake verlassen, wird es bei der Anwendung der DSGVO kompliziert. Denn Finanzdienstleister, die Geschäfts- und Kundenbeziehungen nach Großbritannien pflegen, übermitteln personenbezogene Daten wie Name, Anschrift, Geburtsdatum, Religionszugehörigkeit sowie Bankdaten dorthin. Das kann im direkten Geschäft geschehen oder auch durch die Inanspruchnahme von Dienstleistungen, zum Beispiel wenn sie mit Anbietern für IT-Leistungen zusammenarbeiten, die ihren Sitz dort haben oder bestimmte Leistungen von Rechenzentren mit dortigem Sitz in Anspruch nehmen.

Das Problem: Im Falle eines harten Brexits erhält Großbritannien gemäß der Datenschutz-Grundverordnung (DSGVO) über Nacht den Status eines Drittlandes, sodass eine Datenübermittlung nicht mehr ohne Weiteres stattfinden kann. Stattdessen greifen die Artikel 44 bis 50 der EU DSGVO. Der Artikel 44 besagt, dass „[j]edwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, […] nur zulässig [ist], wenn der Verantwortliche und der Auftragsverarbeiter die […] niedergelegten Bedingungen einhalten und auch die […] Bestimmungen dieser Verordnung eingehalten werden“. Das bedeutet, die Übermittlung der Daten kann zwar weiterhin stattfinden, unterliegt jedoch spezielle Regeln, damit betroffene Personen Schutz erfahren. „Um diesen zu garantieren, müssen Unternehmen verschiedenste Schutzmaßnahmen treffen. Hierunter fallen unter anderem EU-Standardvertragsklauseln oder sogenannte Binding Corporate Rules, also verbindliche interne Datenschutzvorschriften. Letztere müssen jedoch durch eine Aufsichtsbehörde genehmigt werden“, erklärt HUBIT-Chef Hösel.

Gibt es einen Ausweg aus dem Dilemma?

Für die Kommission und Großbritannien geht es bald darum, zu klären, ob das Datenschutzniveau Großbritanniens dem der EU entspricht. Falls Großbritannien nicht einen eigenen Weg gehen will, sondern sich am EU-Standard orientiert, darf „eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation […] vorgenommen werden“. In diesem Fall verfasst die Kommission einen sogenannten Angemessenheitsbeschluss, der die Übermittlung personenbezogener Daten in das Vereinigte Königreich ohne besondere Einschränkungen zulässt. „Diese Entscheidung trifft die EU jedoch aller Voraussicht nach erst nach einem vollzogenen Austritt. Deshalb wird es eine Übergangsphase geben, in der Großbritannien datenschutzrechtlich als Drittland behandelt wird – selbst wenn die EU irgendwann ein Angemessenheitsbeschluss verfasst“, erläutert der zertifizierte Datenschützer Hösel.

Praxis-Tipp: Vorbereitungen treffen

Um eine Verletzung der Datenschutzrechte zu vermeiden, empfiehlt es sich für Unternehmen, bereits jetzt einige Maßnahmen zu ergreifen. Eine Maßnahme: Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung der Website sollten Unternehmen über die Datenübermittlung in ein Drittland informieren. Darüber hinaus muss das Verzeichnis von Verarbeitungstätigkeiten Datenübermittlungen in Drittländer – also Großbritannien – auflisten. Gegebenenfalls muss zudem eine Ergänzung oder Neu-Durchführung der Datenschutz-Folgenabschätzung erfolgen.

Fazit: Schon bei der Einführung sorgte die DSGVO bei Unternehmen für Verunsicherung. Das Thema ist leider noch nicht durch.

Diesen Beitrag teilen: