Datenschutz im Brexit Chaos: Das müssen Unternehmen jetzt beachten

Von Karolina Wintermann am 13. März 2019

PC-Tastatur, auf der Brexit geschrieben steht

Wird das Vereinigte Königreich zum Drittland? Nun, es bleibt weiterhin spannend. Nachdem die EU-Kommission Großbritannien nach dem ursprünglichen Austrittstermin am 29. März eine erste Verschiebung auf den 12. April gewährte, könnte es jetzt mit der zweiten Verschiebung am 31. Oktober soweit sein - auch mit Blick auf die DSGVO. Viele Unternehmen, die enge Beziehungen mit Großbritannien pflegen, IT-Dienstleistungen oder Rechenzentren vor Ort nutzen, stellt das vor ein großes Problem. Denn wer selbige nicht behandelt, als säßen sie außerhalb der EU, verstößt gegen die Datenschutzgrundverordnung, was hohe Bußgelder nach sich zieht. Es gelten also dieselben komplexen Regeln wie beispielsweise im Austausch mit Partnern aus Indien oder Südafrika.

Datenchaos auf Drittlandebene

Der Datenaustausch mit solchen Drittländern ist außerhalb der EU streng reglementiert. Und offenbar plant die EU-Kommission vorläufig nicht, dem Vereinigten Königreich einen Status als sicheres Drittland zuzusprechen. Ein solcher Angemessenheitsbeschluss existiert beispielsweise für die Schweiz. Er würde damit auch weiterhin den unproblematischen Datenaustausch mit Partnern in Großbritannien sichern. Fehlt solch ein Beschluss, besteht die Möglichkeit, bei Unternehmen in Drittländern mit EU-Standardvertragsklauseln zu arbeiten. Hier verpflichten sich die Unternehmen zur Einhaltung der EU-Datenschutzstandards.

Doch was tun?

Laut Bitkom Research verarbeiten 14 Prozent aller deutschen Unternehmen mit mehr als 20 Mitarbeitern personenbezogene Daten auf der Insel. Sie sollten sich also besser früher als später mit diesem Szenario auseinandersetzen und prüfen, welche Unternehmensbereiche betroffen sind, um nicht im Notfallmodus sämtliche Daten überprüfen zu müssen, die in das Vereinigte Königreich führen.

Folgende Punkte gilt es in Hinblick auf die DSGVO zu beachten:

  • Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Webseite ist nun über die Datenübermittlung in ein Drittland zu informieren (Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO). 
  • Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist ihr auch über die Datenübermittlung in Drittländer Auskunft zu geben. (Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO).
  • Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen (Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO).

Gegebenenfalls sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung nach Großbritannien als Drittland geht (Art. 35 DSGVO).

Datenschutz aus der Cloud

Unternehmen können zudem für den Transport und die Speicherung von Daten auf Cloud-basierte Services setzen, die im Einklang mit der DSGVO stehen. So bestätigt beispielsweise Brainloop mit Zertifikaten wie ISO 27001/27018, ISAE 3402 Typ II und der TCDP-Zertifizierung, dass alle Online-Dienste hinsichtlich Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Wiederherstellbarkeit, Überprüfung zur Sicherung der Verarbeitung und Löschung alle Anforderungen an den Datenschutz erfüllen.

Unternehmen mit Sitz in Großbritannien sollten außerdem in Betracht ziehen, personenbezogenen Daten zukünftig in der EU zu lagern. Sie brauchen so keine neuen Vereinbarungen zu treffen und profitieren außerdem von den stabilen rechtlichen Rahmenbedingungen. Auch hier bietet Brainloop Unternehmen die Möglichkeit, ihre Daten sicher auf Servern in der EU zu speichern.

So oder so, es wird auch weiterhin spannend bleiben. Der Brexit bringt nicht nur enorme Rechtsunsicherheiten für Unternehmen mit sich, sondern auch aller Voraussicht nach deutliche Umsatzrückgänge. Umso wichtiger ist es, nun klar festzulegen, wie über die Landesgrenzen hinweg kommuniziert werden soll.

Compliance, Trends
Kostenlose Brainloop Demo: Jetzt Demo vereinbaren!

Das könnte Sie auch interessieren:

Mit Brief und Siegel: Brainloop ist datenschutzkonform
Mit Brief und Siegel: Brainloop ist datenschutzkonform

Die DSGVO kann kommen: Brainloops Cloud-Dienste sind TCDP-zertifiziert und erfüllen nachweislich datenschutzrechtliche Anforderungen.

Weiterlesen
Datenschutz-Sorglospaket für Schweizer Unternehmen
Datenschutz-Sorglospaket für Schweizer Unternehmen

Die neue EU-DSGVO betrifft mehr Schweizer Firmen, als viele meinen. Bei Brainloop können Unternehmen aber von einem «DSGVO-Sorglospaket» profitieren.

Weiterlesen
Exportschlager Datenschutz: DSGVO prägt internationale Sicherheit
Exportschlager Datenschutz: DSGVO prägt internationale Sicherheit

Die DSGVO übernimmt über die EU-Grenzen hinaus die Führungsrolle beim internationalen Datenschutz. Abkommen mit Drittländern erhöhen das Datenschutzniveau.

Weiterlesen
5 Tipps: So einfach kann Datenschutz sein
5 Tipps: So einfach kann Datenschutz sein

Der europäische Datenschutztag will das Bewusstsein der Bevölkerung in Sachen Datenschutz stärken. Mit unseren 5 Tipps sind Sie im Alltag gut aufgestellt.

Weiterlesen

Ihre Meinung zum Thema:

Brainloop Blog: Jetzt abonnieren
New call-to-action