Datenschutz Datentransfer zwischen EU und UK - was zu beachten ist

Redakteur: Katharina Juschkat

Der Brexit hat auch den Datenaustausch zwischen der EU und Großbritannien verändert. 5 Tipps, was Unternehmen jetzt beachten sollten.

Firmen zum Thema

Mit dem Austritt von Großbritannien aus der EU hat sich auch in Sachen Datentransfer einiges verändert.
Mit dem Austritt von Großbritannien aus der EU hat sich auch in Sachen Datentransfer einiges verändert.
(Bild: ©Thaut Images - stock.adobe.com)

Nicht nur Warenimporte und -exporte sind von Auswirkungen des Brexits betroffen – auch der Datentransfer mit dem ehemaligen EU-Land ändert sich. Derzeit gilt für Firmen im Vereinigten Königreich eine Übergangsfrist, in der sie zusätzlich zu ihren geltenden Datenschutzgesetzen ein Datenschutzniveau nach Artikel 44 der Datenschutzgrundverordnung bieten müssen. Europäische Unternehmen, die personenbezogene Informationen an britischen Standorten speichern, drohen hohe Strafzahlungen, wenn sie diese zusätzlichen Anforderungen nicht erfüllen.

Datenschutz in Großbritannien – angemessen oder nicht?

Diese zusätzlichen Anforderungen dürften jedoch nur auf Zeit nötig sein. Die Europäische Kommission hat inzwischen die britischen Datenschutzgesetze geprüft und als „angemessen“ erklärt. Allerdings müssen die zusätzlichen Anforderungen dennoch bis Juni erfüllt werden: Erst dann endet die Übergangsphase, in der die EU-Mitgliedsstaaten dem Entwurf zustimmen müssen. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich.

Unternehmen, die Daten mit Großbritannien austauschen – etwa auch bei Cloud-Diensten sowie im Wartungs- und Kundenservice – dürften den „Angemessenheitsbeschluss“ begrüßen. Allerdings warnt Datenexperte Marc Ahlgrim von Veritas davor, sich zu früh zu freuen: „Unter Umständen bleibt der Beschluss nicht lange wirksam. Wie bei früheren Abkommen zu diesem Thema besteht die Gefahr, dass NGOs vor den Europäischen Gerichtshof ziehen, um den Beschluss per Klage zu kippen.“

Der Kritikpunkt dabei: Datenschützer bemängeln, dass es Großbritannien mit der Sicherheit von Personendaten nicht sehr genau nimmt. Zudem gibt es keine Prüfung, wie gut Daten dort vor dem Zugriff von Geheimdiensten geschützt sind, da das Vereinigte Königreich Mitglied der Five-Eyes-Allianz ist – dem Zusammenschluss der Geheimdienste von Großbritannien, den USA, Neuseeland, Kanada und Australien.

In 5 Schritten zum sicheren Datenaustausch mit Großbritannien

Unternehmen, die personenbezogene Informationen mit Standorten im Vereinigten Königreich austauschen, sollten sich daher für mögliche Compliance-Probleme wappnen. In der Praxis haben sich laut Datensicherungsexperten Veritas fünf Best-Practice-Schritte bewährt, um diese Aufgabe zu lösen:

  • 1. Lokalisieren: Zunächst braucht es einen Überblick darüber, wo welche Informationen überhaupt gelagert sind – sozusagen eine Datenlandkarte. Das gilt vor allem für Daten, die in der Cloud liegen. Aus Compliance-Gründen sollte das Unternehmen daher prüfen, ob das Rechenzentrum in der EU oder einem geeigneten Drittland beheimatet ist.
  • 2. Suchen: Die DSGVO gibt EU-Bürgern das Recht, eine Übersicht über die von ihnen gespeicherten Daten zu verlangen. Firmen müssen diese zeitnah liefern. Eine Software und ein entsprechender Prozess, um Daten schnell zu finden und bei Bedarf zu löschen, sind daher essenziell.
  • 3. Minimieren: Durch die DSGVO soll erreicht werden, dass Unternehmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
  • 4. Schützen: Personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angriffe von außen und innen abzuwehren. Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden.
  • 5. Überwachen: Wer eine Sicherheitslücke melden will, muss zunächst wissen, dass sie existiert. Im zweiten Schritt geht es darum, schnell und eindeutig zu klären, welche Daten verloren gegangen sind. Denn die DSGVO fordert eindeutig, dass die von dem Vorfall Betroffenen sowie die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden. Daher ist eine professionelle Datenmanagement-Lösung empfehlenswert, mit der sich die komplexe Speicherinfrastruktur permanent und automatisch auf Unregelmäßigkeiten überprüfen lässt.

(ID:47260474)