Anzeige

Brexit

Nach dem Brexit gilt Großbritannien als Drittland im Sinne der Datenschutz-Grundverordnung (DSGVO vgl. Art. 44-50). Deutsche Unternehmen, die Daten von EU-Bürgern durch Cloud-Dienste in Großbritannien verarbeiten, müssen sich dadurch neuen Herausforderungen stellen.

Sie sollten ihre Verträge mit britischen Cloud Providern schon heute prüfen und ggf. anpassen, um britische Cloud-Dienste auch nach dem 31.12.2020 datenschutzkonform nutzen zu können. Obwohl der Austritt des Vereinigten Königreichs aus der Europäischen Union (EU) generell keine unlösbaren Probleme bei der Nutzung von Cloud-Diensten schafft, ist von Einschränkungen auszugehen – sofern nicht die nötigen Schritte eingeleitet werden, um die Vorgaben der DSGVO trotz Brexit zu erfüllen.

Die grenzüberschreitende Verarbeitung personenbezogener Daten von EU-Staatsangehörigen in Großbritannien wird durch den Brexit komplizierter. Zu betonen ist aber, dass die Datenübermittlung nach Großbritannien nicht grundsätzlich unzulässig geworden ist. Allerdings muss dabei das Datenschutzniveau der EU stets gewährleistet sein. Laut einer Studie im Auftrag des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) haben elf Prozent der deutschen Unternehmen personenbezogene Daten vor dem Brexit in Großbritannien verarbeiten lassen, davon planten nur zwei Prozent, die Datenverarbeitung nach dem Austritt aus der EU dort weiterzuführen.

Neue Rechtsgrundlage für Datentransfers

Noch debattiert die EU darüber, das Vereinigte Königreich als sicheres Drittland auszuweisen, wie bisher etwa die Schweiz, Japan und Südkorea. Ein solcher Beschluss der EU-Kommission ist jedoch fraglich. Um Cloud-Services weiter reibungslos nutzen zu können, sollten Unternehmen daher umgehend handeln. Die Rechtmäßigkeit der Verarbeitung von Personendaten von EU-Staatsangehörigen durch Cloud-Dienste hängt in erster Linie von der Region ab, in der diese Daten verarbeitet werden. Nutzen Unternehmen etwa Software as a Service (SaaS) eines Anbieters aus Großbritannien, könnte das unter Umständen für Probleme sorgen. Die Datenschutz-Grundverordnung ist dort nicht mehr bindend! Britische SaaS-Anbieter sind nach britischem Recht folglich nicht mehr verpflichtet, den Anforderungen des EU-Datenschutzes zu entsprechen.

Einigung mit Großbritannien steht aus

Es bestehen Zweifel, ob Großbritannien in absehbarer Zeit von der EU-Kommission als sicheres Drittland ausgewiesen wird. „Vor dem Hintergrund, dass die britische Regierung bereits angekündigt hat, sich generell nicht weiter an EU-Regeln zu halten, ist ein harter Brexit auch in Sachen Datenschutz absehbar“, so Stefan Müller, Senior Business Consultant der direkt gruppe. Die Anforderungen des EU-Datenschutzes in der Praxis zu erfüllen kann schnell kompliziert werden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber hat daher bereits darauf hingewiesen, dass er Bedarf für Verbesserungen bei der praktischen Umsetzung der DSGVO sieht. Das gelte insbesondere im Bereich der Zusammenarbeit der Datenschutzaufsichtsbehörden in grenzüberschreitenden Verfahren: „Unterschiede in den nationalen Verwaltungsverfahren dürfen nicht dazu führen, dass die Effektivität der Durchsetzung der DSGVO gegenüber Unternehmen, die Datenschutzverstöße begangen haben, beeinträchtigt wird.“

Handlungsbedarf für Nutzer von Cloud-Services

Es gibt zielführende Maßnahmen, die schnell von Unternehmen in der EU umgesetzt werden sollten, um in Zukunft britische Cloud-Dienste datenschutzkonform nutzen zu können. Stefan Müller empfiehlt den Unternehmen, bestehende Cloud-Verträge um die Standarddatenschutzklauseln der EU-Kommission zu ergänzen. Diese Vertragsklauseln stellen geeignete Garantien für einen angemessenen Datenschutz im Sinne des Art. 46 DSGVO dar, die zwischen dem EU-Unternehmen und dem britischen Cloud-Anbieter vereinbart werden. Durch diese vertraglichen Garantien ist ein angemessenes Datenschutzniveau sichergestellt und eine Datenverarbeitung durch Cloud-Dienste in Großbritannien möglich. Zu beachten ist laut Müller, dass die datenschutzrechtliche Neubewertung nicht auf den britischen Cloud Provider beschränkt bleibt, sondern auch alle gegebenenfalls vorhandenen Subunternehmern des Anbieters umfasst. „

Alle bestehenden Verträge sollten nach Möglichkeit durch die Standardschutzklausel ergänzt werden. Britische Cloud Provider müssen sicherstellen, dass alle Sub-Unternehmer, mit denen sie zusammenarbeiten, das EU-Datenschutzniveau garantieren können“, betont Müller. Neben den Standardvertragsklauseln ist auch eine Lösung möglich, die dem EU-US Privacy Shield entspricht. Dieser regelt auf Grundlage eines Vertrages zwischen der EU und den USA die Anforderungen an den Datenschutz und legt Mindeststandards fest: „Am besten wäre es für die Nutzer von Cloud-Services, Großbritannien bekäme ebenfalls eine solche Regelung oder den Status als sicheres Drittland, ähnlich dem Status der Schweiz. Eine solche Einigung zwischen EU und UK ist momentan allerdings nicht absehbar.“

Die sicherste Lösung bieten also die Standardvertragsklauseln für britische Cloud Provider, wenngleich die DSGVO weitere Möglichkeiten vorsieht, die sich in der Praxis aber kaum bewähren. Für den Fall, dass die bisher erläuterten Lösungen nicht möglich sind, kann auch ein Wechsel zu einem Cloud-Anbieter, der eine Datenverarbeitung von Personendaten innerhalb der EU ermöglicht, eine Option sein.

Fazit:

Mit dem endgültigen Vollzug des Brexits am 01.01.2021 ist davon auszugehen, dass Großbritannien zu einem Drittland im Sinne der DSGVO wird. Unternehmen in der EU müssen daher sicherstellen, dass das EU-Datenschutzniveau während der Verarbeitung von Personendaten durch britische Cloud Provider gewahrt bleibt. Das kann am einfachsten erreicht werden, indem man die Standardvertragsklauseln der EU in die Verträge mit britischen Cloud-Anbietern aufnimmt, um auch in Zukunft Cloud-Dienste made in England nutzen zu können.

Daniel Knep, freier Journalist für Wordfinder PR

www.direkt-gruppe.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Datentransfer

Datentransfer an Dritte ist die größte Sorge der deutschen Verbraucher

Inwiefern hat sich das Einkaufsverhalten von Kunden seit Beginn der Covid-19-Pandemie vom stationären auf den Onlinehandel verlagert? Welche Dinge stören deutsche Verbraucher am meisten, wenn sie ein Online-Nutzerkonto anlegen? Was sind die beliebtesten…
Datenschatz

Der Datenschatz und sein Fluch

Nutzerprofile sind Gold wert, heißt es immer wieder im Online-Marketing. Nur so lassen sich Kunden verstehen und Marketingbotschaften gezielt ausspielen. Kein Wunder, dass Marketer alles tun, um diesen Datenschatz zu heben. Dass sie sich mit US-Anbietern und…
Hintertür

Hintertüren für Ende-zu-Ende-Verschlüsselung?

Die Regierungschefs der Europäischen Union führen aktuell Gespräche darüber, ob und wie ihre Behörden in Zukunft verschlüsselte Kommunikation abhören und in die Strafverfolgung einbeziehen können.
Cookies

Cookies im Netz - Was sie alles können

Als Süßspeise bei den meisten überaus beliebt, genießen Cookies unter Internetnutzern hingegen häufig einen schlechten Ruf. Auch Datenschützer warnen immer wieder vor Cookies. Doch warum ist das so? Immerhin sorgen Cookies in erster Linie für ein möglichst…
USA-Flagge

Der Druck auf Unternehmen bei der Nutzung von US-Clouds wächst

Deutsche Unternehmen müssen schleunigst ihre Cloud-Strategie überprüfen, nachdem der EuGH das Ende des „Privacy Shield“-Abkommens eingeleitet hat. Ein Statement von Tobias Gerlinger, CEO und Managing Director von ownCloud in Nürnberg.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!