Datenaustausch EU-UK: Rechtslage beim Datenschutz auch in Zukunft womöglich unübersichtlich

Marc Ahlgrim empfiehlt Unternehmen automatisiertes Daten-Management, um auf der sicheren Seite zu sein

[datensicherheit.de, 02.03.2021] Nach dem Austritt des Vereinigten Königreichs Großbritannien und Nordirland (UK) aus der Europäischen Union (EU) bleibt die rechtliche Situation beim Datenaustausch offenbar weiterhin ungeklärt. Frühestens ab Juni 2021 bestehe die Aussicht auf ein Urteil, um hierzu Klarheit zu schaffen. Doch auch dann sei das letzte Wort noch nicht gesprochen, „wenn man bedenkt, dass beispielsweise Max Schrems mit seiner Klage vor dem Europäischen Gerichtshof (EuGH) das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA beendete und Ende 2020 den ,EU-US Privacy Shield‘ kippte“. Veritas geht in einer aktuellen Stellungnahme auf die aktuelle Gesetzeslage bei der Speicherung von Daten aus der EU im UK, weist auf mögliche zukünftige Entwicklungen in dieser Sache hin und gibt Unternehmen „Best Practices“ an die Hand, um das eigene Datenmanagement auf eine solide Grundlage zu stellen – unabhängig vom aktuell geltenden Recht.

Foto: Veritas

Marc Ahlgrim: Individuelle Risiken erkennen und große Probleme als erstes angehen!

Rechtsgrundlage für gegenseitigen Datenaustausch über den Ärmelkanal neu zu definieren

Seit dem UK-Austritt aus der EU (BrExit) werde die Rechtsgrundlage für den gegenseitigen Datenaustausch über den Ärmelkanal neu diskutiert. Derzeit gelte für Firmen im UK eine Übergangsfrist, in welcher sie zusätzlich zu ihren geltenden Datenschutzgesetzen ein Datenschutzniveau nach Artikel 44 der DSGVO (Datenschutzgrundverordnung) bieten müssten. „Europäischen Unternehmen, die personenbezogene Informationen an britischen Standorten speichern, drohen hohe Strafzahlungen, wenn diese zusätzlichen Anforderungen nicht erfüllt sind“, warnt Marc Ahlgrim, „Digital Transformation Specialist Risk Mitigation and Compliance, GDPR“ bei Veritas.
Aktuell habe die Europäische Kommission die britischen Datenschutzgesetze nach einer eingehenden Prüfung für „angemessen“ erklärt, zusätzliche Anforderungen seien demnach nicht notwendig. Nach den Worten von EU-Kommissionsvizepräsidentin Věra Jourová böten die geltenden Regeln einen ausreichenden Schutz persönlicher Daten auf dem Niveau der EU. Allerdings müssten die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür hätten sie bis Juni 2021 Zeit – „dann endet die Übergangsphase“. Erst danach sei der Datenaustausch zwischen der EU und dem UK wieder ohne Einschränkungen möglich.

Nicht nur EU-Großkonzerne, auch -Mittelständler und -Start-ups tauschen mit UK-Standorten Daten aus

Nicht nur Großkonzerne, auch Mittelständler und Start-ups in Europa tauschten mit Standorten auf der Insel Daten aus. Gerade bei Cloud-Diensten sowie im Wartungs- und Kundenservice setzten viele Unternehmen aus der EU auf britische Dienstleister. Sie alle dürften den „Angemessenheitsbeschluss“ begrüßen, da er für Rechtssicherheit sorge. Ahlgrim: „Allerdings sollten sie sich nicht zu früh freuen, was die Sicherheit beim Datenaustausch zwischen der EU und UK angeht – unter Umständen bleibt der Beschluss nicht lange wirksam. Wie bei früheren Abkommen zu diesem Thema, zuletzt dem ,EU-US Privacy Shield‘ und seinem Vorgänger ,Safe Harbor‘, besteht auch diesmal die Gefahr, dass NGOs vor den Europäischen Gerichtshof ziehen, um den Beschluss per Klage zu kippen.“
Nach Ansicht von Datenschützern nehme es Großbritannien mit der Sicherheit von Personendaten nicht sehr genau. Zudem gebe es keine Prüfung, „wie gut Daten dort vor dem Zugriff von Geheimdiensten geschützt sind, da das Vereinigte Königreich Mitglied der Five-Eyes-Allianz ist“. Unternehmen, die personenbezogene Informationen mit Standorten im Vereinigten Königreich austauschen, sollten sich daher für mögliche Compliance-Probleme wappnen. Zu den wichtigsten Maßnahmen zählten umfassende Datenschutzkontrollen und die Implementierung eines automatisierten Datenmanagements, mit dessen Hilfe alte und neue Daten automatisch untersucht, kategorisiert und entsprechend ihrem Inhalt behandelt würden. In der Praxis haben sich laut Ahlgrim fünf Best-Practice-Schritte bewährt, um diese Aufgabe zu lösen:

Automatisiertes Datenmanagement: 5 bewährte Best-Practice-Schritte

• Lokalisieren:
  Zunächst brauche es einen Überblick darüber, wo welche Informationen überhaupt gelagert sind – sozusagen eine Datenlandkarte. Dies gelte vor allem für Daten, die in der Cloud liegen. Aus Compliance-Gründen sollte das Unternehmen daher prüfen, ob das Rechenzentrum in der EU oder einem geeigneten Drittland beheimatet ist.
• Suchen:
  Die DSGVO gebe EU-Bürgern das Recht, eine Übersicht über die von ihnen gespeicherten Daten zu verlangen – Firmen müssten diese zeitnah liefern. Eine Software und ein entsprechender Prozess, um Daten schnell zu finden und bei Bedarf zu löschen, seien daher essenziell.
• Minimieren:
  Mit die DSGVO solle erreicht werden, „dass Unternehmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern“. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
• Schützen:
  Eigentlich selbstverständlich: Personenbezogene Daten seien besonders schützenswert. Unternehmen müssten Maßnahmen ergreifen, um Angriffe von außen und innen abzuwehren. „Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden.“
• Überwachen:
  „Wer eine Sicherheitslücke melden will, muss zunächst wissen, dass sie existiert.“ Im zweiten Schritt gehe es darum, schnell und eindeutig zu klären, welche Daten verloren gegangen sind. Denn die DSGVO fordere eindeutig, „dass die von dem Vorfall Betroffenen sowie die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden“. Daher sei eine professionelle Datenmanagement-Lösung empfehlenswert, mit der sich die komplexe Speicherinfrastruktur permanent und automatisch auf Unregelmäßigkeiten überprüfen lasse.

Die für jeden dieser Schritte eingesetzten Datenmanagement-Werkzeuge folgten im Idealfall einer zentralen Policy, aus der sich Maßnahmen ableiten ließen, welche dann automatisch umgesetzt würden. Empfehlenswert sei zudem ein Service, welcher die verschiedenen Tools an die individuelle Umgebung anpasse und ein erstes Assessment zur generellen DSGVO-Reife durchführe. „Aus den Ergebnissen lassen sich schnell individuelle Risiken herauslesen und die großen Probleme als erstes angehen“, so Ahlgrim.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Kurzpapier Nr. 4: Datenübermittlung in Drittländer

datensicherheit.de, 15.03.2019
Datenschutz: Auf BrExit vorbereitet sein