IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Bildquelle: Pixabay
Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen.
Darauf weist der eco Verband hin. Die Empfehlung gelte auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der hier kostenlos heruntergeladen werden kann.
„Der Austritt des Vereinigten Königreichs aus der EU schafft zwar keine grundsätzlichen Probleme für die Nutzung von Cloud-Diensten“, sagt Rechtsanwalt und Datenschutz-Auditor Dr. Jens Eckhardt, Vorstand EuroCloud Deutschland_eco e. V. „Dennoch besteht dringender Handlungsbedarf, rechtzeitig zum Austritt die DSGVO-Anforderungen zu erfüllen.“
Keine Karenz für Datentransfer nach UK
Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.
Dies erfordere eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Großbritannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar sei. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein.
Verschärfend komme hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.
Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen. Diese seien „ready to use“. Zwingend zu beachten sei allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.
Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.
Alle Subunternehmer müssen erfasst werden
Für Cloud-Services könnten sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer.
Nach dem Austritt sei dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.
