Großbritannien wird beim Datenschutz als Drittland eingestuftDSGVO und der Brexit: Was man als Cloud-Kunde beachten sollte
24. April 2020Nach dem Brexit gilt Großbritannien als Drittland im Sinne der Datenschutz-Grundverordnung (DSGVO vgl. Art. 44-50) – mit der Folge: Deutsche Unternehmen, die Daten von EU-Bürgern durch Cloud-Dienste in Großbritannien verarbeiten, müssen sich dadurch neuen Herausforderungen stellen. Sie sollten ihre Verträge mit britischen Cloud Providern schon heute prüfen und ggf. anpassen, um britische Cloud-Dienste auch nach dem 31.12.2020 datenschutzkonform nutzen zu können. Obwohl der Austritt des Vereinigten Königreichs aus der Europäischen Union (EU) generell keine unlösbaren Probleme bei der Nutzung von Cloud-Diensten schafft, ist von Einschränkungen auszugehen – sofern nicht die nötigen Schritte eingeleitet werden, um die Vorgaben der DSGVO trotz Brexit zu erfüllen.
Die grenzüberschreitende Verarbeitung personenbezogener Daten von EU-Staatsangehörigen in Großbritannien wird durch den Brexit komplizierter. Zu betonen ist aber, dass die Datenübermittlung nach Großbritannien nicht grundsätzlich unzulässig geworden ist.
Allerdings muss dabei das Datenschutzniveau der EU stets gewährleistet sein. Laut einer Studie im Auftrag des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) haben elf Prozent der deutschen Unternehmen personenbezogene Daten vor dem Brexit in Großbritannien verarbeiten lassen, davon planten nur zwei Prozent, die Datenverarbeitung nach dem Austritt aus der EU dort weiterzuführen.
Neue Rechtsgrundlage für Datentransfers
Noch debattiert die EU darüber, das Vereinigte Königreich als sicheres Drittland auszuweisen, wie bisher etwa die Schweiz, Japan und Südkorea. Ein solcher Beschluss der EU-Kommission ist jedoch fraglich. Um Cloud-Services weiter reibungslos nutzen zu können, sollten Unternehmen daher umgehend handeln. Die Rechtmäßigkeit der Verarbeitung von Personendaten von EU-Staatsangehörigen durch Cloud-Dienste hängt in erster Linie von der Region ab, in der diese Daten verarbeitet werden.
Nutzen Unternehmen etwa Software as a Service (SaaS) eines Anbieters aus Großbritannien, könnte das unter Umständen für Probleme sorgen. Die Datenschutz-Grundverordnung ist dort nicht mehr bindend! Britische SaaS-Anbieter sind nach britischem Recht folglich nicht mehr verpflichtet, den Anforderungen des EU-Datenschutzes zu entsprechen.
Einigung mit Großbritannien steht aus
Es bestehen Zweifel, ob Großbritannien in absehbarer Zeit von der EU-Kommission als sicheres Drittland ausgewiesen wird. „Vor dem Hintergrund, dass die britische Regierung bereits angekündigt hat, sich generell nicht weiter an EU-Regeln zu halten, ist ein harter Brexit auch in Sachen Datenschutz absehbar“, so Stefan Müller, Senior Business Consultant der direkt gruppe. Die Anforderungen des EU-Datenschutzes in der Praxis zu erfüllen kann schnell kompliziert werden.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber hat daher bereits darauf hingewiesen, dass er Bedarf für Verbesserungen bei der praktischen Umsetzung der DSGVO sieht. Das gelte insbesondere im Bereich der Zusammenarbeit der Datenschutzaufsichtsbehörden in grenzüberschreitenden Verfahren: „Unterschiede in den nationalen Verwaltungsverfahren dürfen nicht dazu führen, dass die Effektivität der Durchsetzung der DSGVO gegenüber Unternehmen, die Datenschutzverstöße begangen haben, beeinträchtigt wird.“
Handlungsbedarf für Nutzer von Cloud-Services
Es gibt zielführende Maßnahmen, die schnell von Unternehmen in der EU umgesetzt werden sollten, um in Zukunft britische Cloud-Dienste datenschutzkonform nutzen zu können. Stefan Müller empfiehlt den Unternehmen, bestehende Cloud-Verträge um die Standarddatenschutzklauseln der EU-Kommission zu ergänzen. Diese Vertragsklauseln stellen geeignete Garantien für einen angemessenen Datenschutz im Sinne des Art. 46 DSGVO dar, die zwischen dem EU-Unternehmen und dem britischen Cloud-Anbieter vereinbart werden.
Durch diese vertraglichen Garantien ist ein angemessenes Datenschutzniveau sichergestellt und eine Datenverarbeitung durch Cloud-Dienste in Großbritannien möglich. Zu beachten ist laut Müller, dass die datenschutzrechtliche Neubewertung nicht auf den britischen Cloud Provider beschränkt bleibt, sondern auch alle gegebenenfalls vorhandenen Subunternehmern des Anbieters umfasst. „Alle bestehenden Verträge sollten nach Möglichkeit durch die Standardschutzklausel ergänzt werden. Britische Cloud Provider müssen sicherstellen, dass alle Sub-Unternehmer, mit denen sie zusammenarbeiten, das EU-Datenschutzniveau garantieren können“, betont Müller.
Neben den Standardvertragsklauseln ist auch eine Lösung möglich, die dem EU-US Privacy Shield entspricht. Dieser regelt auf Grundlage eines Vertrages zwischen der EU und den USA die Anforderungen an den Datenschutz und legt Mindeststandards fest: „Am besten wäre es für die Nutzer von Cloud-Services, Großbritannien bekäme ebenfalls eine solche Regelung oder den Status als sicheres Drittland, ähnlich dem Status der Schweiz. Eine solche Einigung zwischen EU und UK ist momentan allerdings nicht absehbar.“
Die sicherste Lösung bieten also die Standardvertragsklauseln für britische Cloud Provider, wenngleich die DSGVO weitere Möglichkeiten vorsieht, die sich in der Praxis aber kaum bewähren. Für den Fall, dass die bisher erläuterten Lösungen nicht möglich sind, kann auch ein Wechsel zu einem Cloud-Anbieter, der eine Datenverarbeitung von Personendaten innerhalb der EU ermöglicht, eine Option sein.
Fazit
Mit dem endgültigen Vollzug des Brexits am 01.01.2021 ist davon auszugehen, dass Großbritannien zu einem Drittland im Sinne der DSGVO wird. Unternehmen in der EU müssen daher sicherstellen, dass das EU-Datenschutzniveau während der Verarbeitung von Personendaten durch britische Cloud Provider gewahrt bleibt. Das kann am einfachsten erreicht werden, indem man die Standardvertragsklauseln der EU in die Verträge mit britischen Cloud-Anbietern aufnimmt, um auch in Zukunft Cloud-Dienste made in England nutzen zu können.
Daniel Knep ist freier Journalist für Wordfinder PR.