Aktueller Channel Fokus:

Managed Services

Die DSGVO erfordert Entscheidungen

Brexit wirft neues Licht auf die Standortfrage für den IT-Betrieb

| Autor / Redakteur: Thorsten Hennrich* / Ulrike Ostler

Ein Brexit hat viele Konsequenzen, auch auf die Frage: "Wo befinden sich die Daten und wo wird gerechnet?
Ein Brexit hat viele Konsequenzen, auch auf die Frage: "Wo befinden sich die Daten und wo wird gerechnet? (Bild: gemeinfrei)

Die EU-Kritiker in Großbritannien sind bei der dortigen Europawahl als Sieger hervorgegangen und so wird das Land wohl - nach jetzigem Stand - bis spätestens Ende Oktober 2019 aus der EU austreten (müssen). Damit sind so manche in Europa tätige Unternehmen und Organisationen auch mit einer Standortfrage ihrer IT konfrontiert. Dazu Thorsten Hennrich, Rechtsanwalt und General Counsel bei Plusserver.

Nach einer Bitkom-Umfrage übertragen 14 Prozent aller deutschen Unternehmen, die personenbezogene Daten durch externe Dienstleister verarbeiten lassen, Kunden- und Auftragsdaten auch nach Großbritannien. Diese Unternehmen laufen nach Ansicht des Branchenverbands Gefahr, im Falle eines ungeregelten Brexits in ein Datenchaos zu versinken. Der Grund: Mit einem ungeregelten Brexit wäre Großbritannien datenschutzrechtlich aus Sicht der EU ein so genannter „Drittstaat“.

Großbritannien als Drittstaat

Datenübermittlungen in eben diese Drittstaaten unterliegen wiederum besonderen Voraussetzungen, wozu insbesondere ein angemessenes, zur EU vergleichbares Datenschutzniveau zählt. Grund genug für viele Unternehmen, die Standortfrage für ihren IT-Betrieb vor dem Hintergrund des Brexits datenschutzrechtlich auf den Prüfstand zu stellen.

Zahlreiche Unternehmen haben in den letzten Wochen mit großem Interesse die Vorgänge und Abstimmungen im britischen Unterhaus in Bezug auf den Austritts Großbritanniens aus der EU verfolgt, insbesondere sofern sie personenbezogene Daten an dortige Datenempfänger übermitteln, IT-Dienstleistungen von britischen Unternehmen in Anspruch nehmen oder Auftragsverarbeiter in Großbritannien beschäftigen. Denn ein „No-Deal-Brexit“ ohne Angemessenheitsbeschluss der EU-Kommission hätte als „worst case“ zur Folge, dass sich die Übermittlung personenbezogener Daten nach Großbritannien datenschutzrechtlich komplexer gestalten würde als in Länder wie Argentinien, Neuseeland oder Israel, für die von der EU-Kommission ein angemessenes Datenschutzniveau bereits festgestellt worden ist.

Ohne eine derartige Angemessenheitsentscheidung würde Großbritannien aus Sicht der EU-Datenschutz-Grundverordnung (DSGVO) nämlich als Drittstaat ohne angemessenes, zur EU vergleichbares Datenschutzniveau zu betrachten sein. Aus diesem Grund beruhen auch viele Hoffnungen darauf, dass die EU-Kommission mit dem Austritt Großbritanniens aus der EU den zuvor beschriebenen „worst case“ nicht eintreten lässt und einen Angemessenheitsbeschluss herbeiführen wird. Ob und wann dies aber der Fall sein wird, ist aktuell aber noch unklar.

Der IT-Standort auf dem Prüfstand

Unternehmen, die mit datenschutzrechtlichen Fragestellungen im Zusammenhang des Brexits konfrontiert sind, stellt sich oftmals eine grundsätzliche Frage. Sie haben nämlich darüber zu entscheiden, ob sie das vorhandene „Setup“ mit IT-Infrastrukturen und Dienstleistern in Großbritannien belassen und datenschutzrechtlich DSGVO-konform ausgestalten sollen oder stattdessen zukünftig nicht ausschließlich auf IT-Infrastrukturen und Dienstleister mit Standorten in der EU zu setzen.

Diejenigen Unternehmen, die auch zukünftig weiterhin in Großbritannien personenbezogene Daten verarbeiten lassen wollen, haben dabei abzuwägen, ob die Mehraufwände zur Erfüllung der datenschutzrechtlichen Anforderungen an einen internationalen Datentransfers in einen Drittstaat wirtschaftlich gerechtfertigt sind. Die datenschutzrechtlichen Voraussetzungen für Datenübermittlungen an Datenempfänger in Drittstaaten sind – anders als der Brexit – bereits geregelt und im 5. Kapitel der DSGVO (Art. 44 ff. DSGVO) enthalten.

Ohne Angemessenheitsbeschluss der EU-Kommission bedarf es hiernach vor allem geeigneter Garantien, um Datenübermittlungen an Drittstaaten datenschutzkonform durchführen zu können. Hierfür existieren verschiedene Möglichkeiten:

Ergänzendes zum Thema
 
Über die Plusserver GmbH

Verbindliche interne Datenschutzvorschriften (so genannte Binding Corporate Rules – BCR) sind gerade für große Konzerne ein beliebtes Mittel zur Herbeiführung eines angemessen Datenschutzniveaus innerhalb der Unternehmensgruppe. Die Einführung von BCR ist aber regelmäßig mit einem hohen Zeit- und Kostenaufwand verbunden. Zudem sind BCR von der zuständigen Aufsichtsbehörde für den Datenschutz zu genehmigen.

Eine weitere und in der Praxis beliebte Möglichkeit zur Herbeiführung eines angemessen Datenschutzniveaus sind die Standardvertragsklauseln der EU-Kommission. Werden diese unverändert vereinbart, bedürfen sie keiner weiteren Genehmigung durch die Aufsichtsbehörde. Da Unternehmen in der Regel mit einer Vielzahl an Partnern zusammenarbeiten, kann sich die Umstellung sämtlicher Verträge ebenfalls als zeitaufwändig erweisen.

Nach der DSGVO können beispielsweise auch genehmigte Verhaltensregeln die Grundlage für Datentransfer in Drittstaaten bilden. Und ganz grundsätzlich lassen sich personenbezogene Daten natürlich auch mit dem Einverständnis der betroffenen Personen in Drittstaaten übermitteln. Die Einholung von Einwilligungen kann sich aber gerade bei umfangreichen Datensätzen als schwierig erweisen, da von jeder einzelnen Person, deren persönliche Daten in Drittstaaten gespeichert und verarbeitet werden, eine ausdrückliche Einwilligungserklärung einzuholen ist. Das ist per se aufwändig. Nahezu unmöglich wird dies beim Cloud Computing oder in Big-Data-Verarbeitungsszenarien, die auf die Verarbeitung großer Mengen an personenbezogenen Daten angelegt sind.

Verlagerung des IT-Betriebs in die EU als mögliche Alternative

Die Einhaltung der datenschutzrechtlichen Anforderungen für Drittstaatentransfers kann viele Unternehmen im Falle eines ungeregelten Brexits vor Herausforderungen stellen. Aus DSGVO-Konformitätsgesichtspunkten kann daher die Verlagerung von IT-Infrastrukturen aus Großbritannien in den EU-Raum sich als Alternative anbieten, da sich die datenschutzrechtlichen Fragestellungen in Bezug auf Großbritannien in diesem Fall erst gar nicht stellen.

Viele Unternehmen stellen vor diesem Hintergrund ihre bestehende IT-Strategie daher zumindest auf den Prüfstand. Im Rahmen der Bewertung der Chancen und Vorteile einer möglichen Migration bietet es sich natürlich an, nicht nur datenschutzrechtliche Themen zu berücksichtigen, sondern auch das allgemeine Digital-Business-Szenario zu überdenken. So kann der Brexit neue Chancen bieten, im Rahmen einer neuen IT-Strategie zugleich auch auf zukunftsweisende Hybrid- und Multi-Cloud-Architekturen zu wechseln – und mithin allgemein in die Gestaltung der IT von morgen zu investieren.

* Dr. Thorsten Hennrich ist Rechtsanwalt und General Counsel bei Plusserver.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45949715 / Recht)