Ein harter Brexit, also der Austritt Großbritanniens aus der EU ohne Austrittsabkommen, wird Experten zufolge zu einem undurchsichtigen Datenchaos führen.
Warum der Brexit in Verbindung mit der DSGVO zu massiven Problemen führen kann und welche Folgen sich dadurch für international tätige Unternehmen ergeben können, verraten wir jetzt.
Harter Brexit macht Großbritannien zum Drittland
Am 30. März ist es schon soweit: das Vereinigte Königreich verlässt die EU. Sämtliche Bemühungen von Premierministerin Theresa May, durch einen Brexit-Deal mit der EU den Schaden so gering wie möglich zu halten, scheiterten am britischem Parlament. Stand heute wird es also kein spezielles Austrittsabkommen geben. Und das bedeutet: Ganz Großbritannien gilt ab 0 Uhr am 30. März als Drittland. Für Behörden und Unternehmen, die in direkter Verbindung mit dem Vereinigten Königreich stehen und Daten austauschen, hat das bitterböse Konsequenzen. Es droht das totale Datenchaos. Und dummerweise gibt es bislang auch keinen Notfallplan, der an dieser Stelle in Kraft treten könnte. Die einzige Hoffnung: Parlament und Regierung einigen sich noch auf eine kurzfristige Verschiebung des Brexit-Termins. Wirklich realistisch scheint dies angesichts der Stimmverhältnisse allerdings nicht. Und eine Lösung für das eigentliche Problem würde eine Verschiebung auch nicht lösen. Es bliebe nur etwas mehr Zeit, einen Masterplan zu schmieden.
Ohne Übergangsregelung droht Datenchaos
Internationale IT-Experten wie beispielsweise der Branchenverband Bitkom sind sich sicher: ein harter Brexit ist nichts anderes als eine tickende Zeitbombe. Und wenn sie hochgeht, herrscht ein absolutes Datenchaos. Die fehlende Übergangsregelung und die strengen Richtlinien der DSGVO tragen ihren Teil dazu bei. Datentransfers zwischen der EU und Großbritannien werden künftig sehr viel teurer und komplexer. Und bislang weiß niemand, wie man dieser Sache Herr werden soll. Bundesdatenschützer Jürgen H. Müller meint in diesem Zusammenhang: „[Es gibt] keine Übergangszeit, in der die Behörden Übermittlungen ohne entsprechende Schutzvorkehrungen tolerieren.“ Und generell fällt beim Thema Daten bisher weder dem Vereinigten Königreiche noch der europäischen Union irgendeine zielführende Lösung für ein Übergangsregime ein.
Der Brexit und die DSGVO – 5 Schritte, die Unternehmen jetzt durchführen sollten
Der Ausschuss der europäischen Datenschutzbehörden hat jetzt 5 Schritte kommuniziert, die Behörden und Unternehmen, die direkt betroffen sein werden, jetzt dringend durchführen sollten.
1. Schritt: Prüfen, wie die an Großbritannien übermittelten Daten verarbeitet werden
2. Schritt: Festlegen geeigneter Transferinstrumente (zum Beispiel Standarddatenschutzklauseln wie SDSK sowie Ad-hoc-Klauseln der EU)
3. Schritt: Umsetzung des Instruments
4. Schritt: Lückenlose Dokumentation aller geplanten Datenübermittlungen
5. Schritt: Aktualisierung aller zugehörigen Datenschutzerklärungen konform der DSGVO
Ein harter Brexit macht es darüber hinaus erforderlich, dass alle Datentransfers künftig rechtlich zu klären sind. Je nach konkreten Anwendungsfällen, kommt eine der drei SDSK Sets infrage. Diese Klauseln kennen Unternehmen, die mit den USA zusammenarbeiten bereits, sofern sich letztere nicht unter den „EU US Privacy Shield“ begeben haben. Die Klauseln selbst dürfen im Wortlaut nicht verändert, aber durchaus in einen umfassenderen Vertrag integriert werden. Damit gelten sie als sogenannten Ad-hoc-Vertragsklauseln. Selbige müssen allerdings immer erst einmal noch von nationalen Aufsichtsbehörden genehmigt werden.
Umstellung nach Brexit wird zu Überlastung führen
Nach dem Brexit müssen sich Unternehmen an das standardisierte Datenschutz- und Sicherheitskonzept (kurz SDSK) anpassen. Problem: das geht nicht von heute auf morgen. Experten befürchten, dass die komplexe Umstellung vor allem für kleine bis mittlere Firmen kaum in Eigenregie zu stemmen ist. Zu undurchsichtig ist der Dschungel aus Gesetzen, Reformen und Richtlinien. Einmal abgesehen davon, dass kleine und mittlere Unternehmen in der Regel keine eigenen Juristen oder Datenschutzexperten beschäftigen. Zudem stellt sich die Frage, wie die entsprechenden Behörden, die sowieso als konsequent unterbesetzt gelten seitdem die DSGVO eingeführt wurde, dem Ansturm gerecht werden wollen. Schnelle Genehmigungen kann wohl niemand erwarten. Und genau das kann weitrechende wirtschaftliche Folgen haben.
Glück haben da noch die großen Konzerne. Ob Telekom, Post oder Mobilfunanbieter: wer multinational tätig ist und auch in Großbritannien Standorte unterhält, kann eine sogenannte „Binding Corporate Rules“ (BCRs) zum internen Datenaustausch festlegen. Aber auch die muss natürlich noch genehmigt werden und mit der DSGVO übereinstimmen.
Beantragung von Ausnahmeregelungen
Unternehmen, die auf Standardklauseln verzichten wollen und über keine Corporate Rules verfügen, können eine Ausnahmeregelung beantragen. Möglich macht das Artikel 49 der DSGVO. Diese Regelung kann dann gelten, wenn die Organisation für den Datentransfer ein „zwingend berechtigtes Interesse“ vorweisen kann oder eine „ausdrückliche Einwilligung des Betroffenen“ vorliegt. Aber natürlich gibt es auch hier wieder ein Problem. Mit der Ausnahmeregelung können nur Einzelverträge abgeschlossen werden. Eine Beantragung für langfristige und/oder sich wiederholende Vorgänge ist ausgeschlossen.
Privacy Shield mit Großbritannien
Mittel- bis langfristig wird es nur eine Lösung geben: ein Privacy Shield mit Großbritannien. Das geht dann, wenn Drittstaaten ein gleich- oder höherwertiges Datenschutzniveau vorweisen können. Beispiele sind Japan, Kanada oder die USA, mit denen derartige Beschlüsse bereits vorliegen. Bis solche Abkommen in trockenen Tüchern sind, dauert es aber. Und bis dahin herrscht wohl Chaos.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung