de en
Nexia Ebner Stolz

Rechtsberatung

Brexit: Unternehmen brauchen Notfallplan für Datentransfer

Im Falle ei­nes No-Deal-Brex­its müssen Un­ter­neh­men eine rechts­kon­forme Da­tenüber­mitt­lung nach Großbri­tan­nien si­cher­stel­len. Meist bie­ten die EU-Stan­dard­ver­trags­klau­seln eine Lösung.

Trotz der ak­tu­el­len Ent­wick­lung im bri­ti­schen Un­ter­haus be­steht nach wie vor die Ge­fahr ei­nes har­ten Brex­its. Das ist eine Ge­fahr für den Da­ten­trans­fer, da Großbri­tan­nien nach einem un­ge­re­gel­ten Aus­tritt aus da­ten­schutz­recht­li­cher Per­spek­tive ab 1.11.2019 zu einem un­si­che­ren Dritt­land würde. Der Aus­tausch von In­for­ma­tio­nen würde da­durch viel kom­ple­xer und teu­rer. Ab­hilfe kann nur ein so­ge­nann­ter An­ge­mes­sen­heits­be­schluss der EU-Kom­mis­sion schaf­fen. Dazu müsste die EU-Kom­mis­sion das Da­ten­schutz­ni­veau im UK als aus­rei­chend an­er­ken­nen und Großbri­tan­nien als si­che­res Dritt­land ein­stu­fen. Im Falle ei­nes un­ge­re­gel­ten Brex­its dürfte dies aber nicht recht­zei­tig möglich sein. Un­ter­neh­men müssen sich also drin­gend wapp­nen.

Brexit: Unternehmen brauchen Notfallplan für Datentransfer© Unsplash

Das gilt für Un­ter­neh­men je­der Größe quer durch alle Bran­chen. Laut ei­ner Um­frage des IT-Bran­chen­ver­bands Bit­kom lässt je­des siebte Un­ter­neh­men per­so­nen­be­zo­gene Da­ten in Großbri­tan­nien ver­ar­bei­ten. Be­trof­fen ist nicht nur der Trans­fer in das Re­chen­zen­trum ei­nes Clou­dan­bie­ters in UK, son­dern auch der in­ner­halb ei­nes Kon­zerns, etwa mit bri­ti­schen Nie­der­las­sun­gen und Toch­ter­ge­sell­schaf­ten. Im ers­ten Schritt müssen Un­ter­neh­men prüfen, für wel­che per­so­nen­be­zo­ge­nen Da­ten ein har­ter Brexit re­le­vant ist. In die­sen Fällen lässt sich häufig mit Hilfe der EU-Stan­dard­ver­trags­klau­seln eine rechts­kon­forme Über­mitt­lung si­cher­stel­len.

Wer per­so­nen­be­zo­gene In­for­ma­tio­nen ohne eine ge­si­cherte Rechts­grund­lage über­mit­telt, ris­kiert hohe Bußgelder gemäß EU-Da­ten­schutz­grund­ver­ord­nung. Der Bun­des­da­ten­schutz­be­auf­tragte Ul­rich Kel­ber warnte kürz­lich im Han­dels­blatt, dass es keine Überg­angs- oder auf­sichts­behörd­li­che Schon­frist ge­ben werde.

Was ist also zu tun? Vier Schritte zu einem Not­fall­plan:

  1. Wel­che Pro­zesse und In­for­ma­tio­nen sind be­trof­fen? Vor­keh­run­gen sind nicht nur für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten nach Eng­land not­wen­dig. Schon der Zu­griff auf eine Kun­den­da­ten­bank durch ein Un­ter­neh­men mit Sitz in UK kann zu Pro­ble­men führen.
  2. Sind die Hin­weise über die Da­ten­ver­ar­bei­tung im Un­ter­neh­men ent­spre­chend an­ge­passt? Wie wer­den die Be­trof­fe­nen in­for­miert?
  3. Auf wel­cher Rechts­grund­lage ist der Trans­fer der In­for­ma­tio­nen wei­ter­hin zulässig? Wur­den die EU-Stan­dard­ver­trags­klau­seln ver­ein­bart? Für Al­ter­na­ti­ven ei­ner rechts­si­che­ren Da­tenüber­mitt­lung in ein Dritt­land, wie Bin­ding-Cor­po­rate Ru­les, ge­neh­migte Ver­hal­tens­re­geln oder Zer­ti­fi­zie­run­gen, ist aus­rei­chend Zeit für die Vor­be­rei­tung ein­zu­pla­nen.
  4. Ist der Wech­sel in die Cloud ei­nes in­ter­na­tio­na­len Tech­kon­zerns sinn­voll, der die Da­ten an­ders als ein mit­telständi­scher Dienst­leis­ter ra­sch von einem bri­ti­schen Re­chen­zen­trum in ei­nes auf dem Fest­land ver­la­gern kann?
nach oben