Der Brexit und der Datenschutz

Nach der – sehr schnell von vielen Wählern wieder bedauerten – Entscheidung über ein Ende der Mitgliedschaft Großbritanniens in der Europäischen Union, stehen europäische Unternehmen nun vor der Frage, ob und unter welchen Bedingungen sie in Zukunft Daten mit Unternehmen in England, Schottland und Wales austauschen können, wie sicher die Daten-Speicherung auf der Insel noch ist und wie sich die Datenschutzgesetze in GB nach dem EU Austritt ändern werden
Solange Großbritannien noch Mitglied der EU ist- und daran ändert das Referendum ja erst einmal einige Zeit lang auch nichts, wird alles so bleiben wie es ist. Sobald das Land aber dem Europäischen Rat seine Absicht, sich aus der Europäischen Union zurückzuziehen offiziell  mitgeteilt und ein –noch zu bestimmender Politiker des Landes- die Austritts-Papiere unterschrieben hat, tritt folgende Situation ein:
Abwarten und „not amused “ Tee Trinken

Die Datenübertragung in das Vereinigte Königreich wird dann nicht mehr innerhalb der EU stattfinden, sondern mit einem Drittland erfolgen. Daraus ergeben sich drei Szenarien wie die datentechnischen Beziehungen zu britischen Unternehmen, Rechenzentren, Software- und Cloud-Anbietern auf bilateraler Ebene gestaltet werden können: Das Vereinigte Königreich ist weiterhin Mitglied des EWR und unterliegt damit ähnlichen Datenschutz-Regeln wie die heute schon assoziierten EWR-Mitgliedstaaten Norwegen, Island und Liechtenstein. In diesen Ländern hat die Europäische Kommission das erforderliche Schutzniveau im Rahmen der Angemessenheitsentscheidungen positiv etabliert.

In Deutschland gelten in diesem Fall -nach den Regeln des Bundesdatenschutzgesetzes (BDSG)- die Vorschriften über die Datenübermittlung an Drittstaaten nach §4b und §4c BDSG wobei für Großbritannien dann neu geprüft werden müsste, ob ein „angemessener Daten- Schutz“ überhaupt sichergestellt werden kann.
Überprüfung der Zulässigkeit der Datenübermittlung an Drittstaaten

Oder aber England und Co. implementieren das Schweizer Modell und anerkennen und unterzeichnen die zugehörigen Elemente des EU-Rechts im Rahmen gesonderter Vereinbarungen. Hierzu kann auch die EU-Datenschutzrichtlinie und die EU-Datenschutzverordnung gehören.

Falls es keine Einigung zwischen dem Vereinigten Königreich und der EU gibt, wird Großbritannien ein „Drittland“ und es gelten für europäische Unternehmen die selben Prinzipien, Warnung und Verbote wie für den sonstigen weltweiten grenzüberschreitenden Datentransfer, etwa für die Übertragung von Daten nach Nord- und Südamerika, Afrika oder Asien. Diese Länder gelten aus Sicht des EU-Datenschutzrecht pauschal als „unsicher“ und die  Datenschutzanforderungen in Europa erfodern bei Daten-Übertragung und Speicherung in  diese Länder meist ergänzende Maßnahmen um ein angemessenes Datenschutzniveau zu gewährleisten.

Dies gilt insbesonders in Bezug auf personenbezogene Daten. Ein einfaches Abkommen über die Verarbeitung personenbezogener Daten gemäß des deutschen §11 BDSG (Auftragsdatenverarbeitung) ist in diesem Fall nicht mehr ausreichend,

Es bleibt im Moment abzuwarten auf welche Bedingungen die EU und GB sich nach den folgenden Verhandlungen einigen. Es ist aber eine Tatsache, dass der Bedarf und der Wunsch nach Lösungen weiter steigen wird, bei denen Unternehmen die Kontrolle über ihre Daten nicht abgeben und dabei gleichzeitig alle Möglichkeiten flexibler inter- und intra- Unternehmens Kollaboration zur digitalen Transformation des Unternehmens behalten können. Das iExtranet von Oodrive ist, je nach Anforderung, onPremise, als SaaS oder aus der Private Cloud zu bedienen. Das Hosting in Deutschland ist jedoch für deutsche Oodrive Kunden immer garantiert, wie sie im Whitepaper zum Thema Secure File Sharing und Colloboration eindrücklich nachlesen können.
Privacy Shield 2.0
Auch die Verhandlungen über das EU-US-Privacy Shield werden im Lichte der Entwicklungen in Großbritannien in einem neuen Licht erscheinen. Wenn zwischen der EU und den USA neue Standards für den Datenaustausch geschaffen werden, wird es später möglich sein, diese Bedingungen auch auf das Vereinigte Königreich zu übertragen.

Für die Vereinigten Staaten besteht nach dem Safe Harbor EuGH im Oktober 2015 die Möglichkeit ein entsprechendes Datenschutzniveau durch eine Selbstzertifizierung der US-Empfänger zu gewährleisten. Über die Nachfolgeregelung – die so genannte „EU-US-Privacy Shield“ gewählt wird derzeit