DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

All­ge­meine Aus­wir­kungen des Brexits

Die Aus­wir­kungen des Brexits auf den Daten­schutz in Europa

Eigentlich sollte der Aus­tritt des Ver­ei­nigten König­reichs am 29. März 2019 beginnen, doch nun wurde der Brexit weiter ver­schoben. Ob diese oder weitere Termine letzten Endes ein­ge­halten wird ist fraglich. Fest steht jedoch, dass ein Aus­tritt Groß­bri­tan­niens enorme Aus­wir­kungen haben wird. So drohen bei­spiels­weise Grenz­kon­trollen, Roaming-Gebühren oder auch das Weg­fallen der Arbeit­neh­mer­frei­zü­gigkeit.
Aus­wir­kungen des Brexits auf den Daten­schutz
Groß­bri­tan­niens Aus­tritt wird sich aber auch auf den Daten­schutz in Europa aus­wirken. So ist vor allem für Deutschland, Groß­bri­tannien einer der größten Export­märkte. Folglich findet ein Aus­tausch von per­so­nen­be­zo­genen Daten, wie die von Lie­fe­ranten, Kund*innen und Beschäf­tigten statt. Auch unter­neh­mens­in­terner Daten­aus­tausch wäre davon betroffen. Ohne Son­der­ver­ein­ba­rungen würde Groß­bri­tannien bei einem harten Brexit, also ohne Aus­tritts­ab­kommen, auf­grund der Daten­­schutz-Grun­d­­ver­­­ordnung am Tag des Aus­tritts als Drittland gelten. Dies hätte zur Folge, dass eine Über­tragung von per­so­nen­be­zo­genen Daten grund­sätzlich nicht mehr erlaubt wäre. Das hat auch die EU-Kom­­mission so bereits 2018 bestätigt.
Eben­falls bedeutet ein Aus­tritt ohne Über­gangs­re­ge­lungen, dass nicht recht­zeitig ein Ange­mes­sen­heits­be­schluss erlassen werden kann. Bei diesem Beschluss wird das bri­tische Daten­schutz­niveau geprüft und ent­schieden, ob dieses mit dem euro­päi­schen ver­gleichbar ist. Trifft dies zu, so ist der Daten­aus­tausch wei­terhin ohne Ein­schrän­kungen erlaubt.

Die Über­tragung von per­so­nen­be­zo­genen Daten wäre auch möglich, wenn Betroffene aus­drücklich ein­wil­ligen, die Über­mittlung für die Erfüllung eines Ver­trags erfor­derlich ist, die Über­mittlung aus wich­tigen Gründen des öffent­lichen Inter­esses not­wendig ist, geeignete Garantien nach Art. 46 der Daten­schutz­grund­ver­ordnung oder interne Daten­schutz­vor­schriften gemäß Art. 47 der DSGVO vor­liegen.

Garantien können in diesem Zusam­menhang zum Bei­spiel bereits von einer Auf­sichts­be­hörde ange­nommene Stan­dard­da­ten­schutz­klauseln sein oder auch geneh­migte Zer­ti­fi­zie­rungs­me­cha­nismen mit rechts­ver­bind­lichen und durch­setz­baren Ver­pflich­tungen.

Die Daten­schutz­recht­liche Lage der USA

Die USA ist daten­schutz­rechtlich als Drittland ein­ge­stuft. Der Grund dafür ist, dass das Safe-Harbor-Abkommen aus dem Jahr 2000, welches die Über­mittlung per­so­nen­be­zo­gener Daten in die USA rechtlich erlaubte, vom Euro­päi­schen Gerichtshof am 06. Oktober 2015 für ungültig erklärt worden ist. Die Nach­fol­ge­re­gelung EU-US Privacy Shield sind Zusi­che­rungen der US-Regierung, wie die eines ein­ge­schränkten Zugriffs durch US-Behörden. Vor­gaben dieser Regelung sollen das Daten­schutz­niveau der USA mit dem der Euro­päi­schen Union gleich­wertig machen. Unter­nehmen müssen sich in eine Liste ein­tragen und sich selbst ver­pflichten, die Daten­schutz­vor­gaben ein­zu­halten. Nur so ist die Über­tragung von Daten erlaubt.
Firmen die nicht Teil des EU-US Privacy Shields sind müssen Stan­dard­da­ten­klauseln sowie Ad-hoc-Klauseln der EU in ihren Ver­trägen auf­nehmen.
Wie pro­ble­ma­tisch dieser unge­re­gelte Zustand sein kann, erleben viele euro­päische Nutzer täglich. Denn selbst ein Jahr nach Inkraft­treten der DSGVO sind viele ame­ri­ka­nische Online-Firmen nicht DSGVO konform, weshalb viele euro­päische Nutzer*innen keinen Zugriff auf deren Web­seiten haben.
Ein harter Brexit würde wahr­scheinlich zu einem ähnlich unge­re­gelten daten­schutz­recht­lichen Zustand führen.

Was sollten Unter­nehmen tun?

Unter­nehmen sollten nicht in Panik ver­fallen. Es ist noch genug Zeit, um Risiken abzu­schätzen und sich dem­entspre­chend vor­zu­be­reiten. Emp­feh­lenswert ist, egal ob weicher oder harter Brexit, bereits jetzt eine Analyse der Daten­flüsse von und nach Groß­bri­tannien durch­zu­führen, um Anpassung von Geschäfts­pro­zessen recht­zeitig zu beginnen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Alper Kaya, DATEV eG

Alper Kaya ist seit Herbst 2014 Student der Wirt­schafts­wis­sen­schaften mit Schwer­punkt Betriebs­wirt­schaft an der Friedrich-Alex­ander-Uni­ver­sität Erlangen-Nürnberg.
Seit 2018 ist er daneben als Werk­student bei der Datev eG tätig. Derzeit unter­stützt Herr Kaya den Beauf­tragten für den Daten­schutz im Bereich Service und Ver­trieb.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.