de en
Nexia Ebner Stolz

Rechtsberatung

Brexit: Unternehmen brauchen Notfallplan für Datentransfer

Im Falle eines No-Deal-Brexits müssen Unternehmen eine rechtskonforme Datenübermittlung nach Großbritannien sicherstellen. Meist bieten die EU-Standardvertragsklauseln eine Lösung.

Trotz der aktu­el­len Ent­wick­lung im bri­ti­schen Unter­haus besteht nach wie vor die Gefahr eines har­ten Bre­x­its. Das ist eine Gefahr für den Daten­trans­fer, da Großbri­tan­nien nach einem unge­re­gel­ten Aus­tritt aus daten­schutz­recht­li­cher Per­spek­tive ab 1.11.2019 zu einem unsi­che­ren Dritt­land würde. Der Aus­tausch von Infor­ma­tio­nen würde dadurch viel kom­ple­xer und teu­rer. Abhilfe kann nur ein soge­nann­ter Ange­mes­sen­heits­be­schluss der EU-Kom­mis­sion schaf­fen. Dazu müsste die EU-Kom­mis­sion das Daten­schutz­ni­veau im UK als aus­rei­chend aner­ken­nen und Großbri­tan­nien als siche­res Dritt­land ein­stu­fen. Im Falle eines unge­re­gel­ten Bre­x­its dürfte dies aber nicht recht­zei­tig mög­lich sein. Unter­neh­men müs­sen sich also drin­gend wapp­nen.

Brexit: Unternehmen brauchen Notfallplan für Datentransfer© Unsplash

Das gilt für Unter­neh­men jeder Größe quer durch alle Bran­chen. Laut einer Umfrage des IT-Bran­chen­ver­bands Bit­kom lässt jedes siebte Unter­neh­men per­so­nen­be­zo­gene Daten in Großbri­tan­nien ver­ar­bei­ten. Betrof­fen ist nicht nur der Trans­fer in das Rechen­zen­trum eines Clou­dan­bie­ters in UK, son­dern auch der inn­er­halb eines Kon­zerns, etwa mit bri­ti­schen Nie­der­las­sun­gen und Toch­ter­ge­sell­schaf­ten. Im ers­ten Schritt müs­sen Unter­neh­men prü­fen, für wel­che per­so­nen­be­zo­ge­nen Daten ein har­ter Bre­xit rele­vant ist. In die­sen Fäl­len lässt sich häu­fig mit Hilfe der EU-Stan­dard­ver­trags­klau­seln eine rechts­kon­forme Über­mitt­lung sicher­s­tel­len.

Wer per­so­nen­be­zo­gene Infor­ma­tio­nen ohne eine gesi­cherte Rechts­grund­lage über­mit­telt, ris­kiert hohe Buß­gel­der gemäß EU-Daten­schutz­grund­ver­ord­nung. Der Bun­des­da­ten­schutz­be­auf­tragte Ulrich Kel­ber warnte kürz­lich im Han­dels­blatt, dass es keine Über­gangs- oder auf­sichts­be­hörd­li­che Schon­frist geben werde.

Was ist also zu tun? Vier Schritte zu einem Not­fall­plan:

  1. Wel­che Pro­zesse und Infor­ma­tio­nen sind betrof­fen? Vor­keh­run­gen sind nicht nur für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten nach Eng­land not­wen­dig. Schon der Zugriff auf eine Kun­den­da­ten­bank durch ein Unter­neh­men mit Sitz in UK kann zu Pro­b­le­men füh­ren.
  2. Sind die Hin­weise über die Daten­ver­ar­bei­tung im Unter­neh­men ent­sp­re­chend ange­passt? Wie wer­den die Betrof­fe­nen infor­miert?
  3. Auf wel­cher Rechts­grund­lage ist der Trans­fer der Infor­ma­tio­nen wei­ter­hin zuläs­sig? Wur­den die EU-Stan­dard­ver­trags­klau­seln ver­ein­bart? Für Alter­na­ti­ven einer rechts­si­che­ren Daten­über­mitt­lung in ein Dritt­land, wie Bin­ding-Cor­po­rate Rules, geneh­migte Ver­hal­tens­re­geln oder Zer­ti­fi­zie­run­gen, ist aus­rei­chend Zeit für die Vor­be­rei­tung ein­zu­pla­nen.
  4. Ist der Wech­sel in die Cloud eines inter­na­tio­na­len Tech­kon­zerns sinn­voll, der die Daten anders als ein mit­tel­stän­di­scher Dienst­leis­ter rasch von einem bri­ti­schen Rechen­zen­trum in eines auf dem Fest­land ver­la­gern kann?
nach oben