Datenaustausch mit UK: Die Rechtslage in Sachen Datenschutz könnte auch in Zukunft unübersichtlich bleiben

Mit einem automatisierten Datenmanagement sind Unternehmen auf der sicheren Seite.

Seit dem Austritt Großbritanniens aus der EU wird die Rechtsgrundlage für den gegenseitigen Datenaustausch über den Ärmelkanal neu diskutiert. Derzeit gilt für Firmen im Vereinigten Königreich eine Übergangsfrist, in der sie zusätzlich zu ihren geltenden Datenschutzgesetzen ein Datenschutzniveau nach Artikel 44 der DSGVO (Datenschutzgrundverordnung) bieten müssen. Europäischen Unternehmen, die personenbezogene Informationen an britischen Standorten speichern, drohen hohe Strafzahlungen, wenn diese zusätzlichen Anforderungen nicht erfüllt sind.

Jetzt hat die Europäische Kommission die britischen Datenschutzgesetze nach einer eingehenden Prüfung für „angemessen“ erklärt, zusätzliche Anforderungen sind demnach nicht notwendig. Nach den Worten von EU-Kommissionsvizepräsidentin Věra Jourová bieten die geltenden Regeln einen ausreichenden Schutz persönlicher Daten auf dem Niveau der EU. Allerdings müssen die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni Zeit, dann endet die Übergangsphase. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich.

Nicht nur Großkonzerne, auch Mittelständler und Start-ups in Europa tauschen mit Standorten auf der Insel Daten aus. Gerade bei Cloud-Diensten sowie im Wartungs- und Kundenservice setzen viele Unternehmen aus der EU auf britische Dienstleister. Sie alle dürften den „Angemessenheitsbeschluss“ begrüßen, da er für Rechtssicherheit sorgt.

Allerdings sollten sie sich nicht zu früh freuen, was die Sicherheit beim Datenaustausch zwischen der EU und UK angeht, warnt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR bei Veritas: „Unter Umständen bleibt der Beschluss nicht lange wirksam. Wie bei früheren Abkommen zu diesem Thema, zuletzt dem EU-US Privacy Shield und seinem Vorgänger Safe Harbor, besteht auch diesmal die Gefahr, dass NGOs vor den Europäischen Gerichtshof ziehen, um den Beschluss per Klage zu kippen.“ Nach Ansicht von Datenschützern nimmt es Großbritannien mit der Sicherheit von Personendaten nicht sehr genau. Zudem gibt es keine Prüfung, wie gut Daten dort vor dem Zugriff von Geheimdiensten geschützt sind, da das Vereinigte Königreich Mitglied der Five-Eyes-Allianz ist.

Unternehmen, die personenbezogene Informationen mit Standorten im Vereinigten Königreich austauschen, sollten sich daher für mögliche Compliance-Probleme wappnen. Zu den wichtigsten Maßnahmen zählen umfassende Datenschutzkontrollen und die Implementierung eines automatisierten Datenmanagements, mit dessen Hilfe alte und neue Daten automatisch untersucht, kategorisiert und entsprechend ihrem Inhalt behandelt werden. In der Praxis haben sich fünf Best-Practice-Schritte bewährt, um diese Aufgabe zu lösen:

• Lokalisieren: Zunächst braucht es einen Überblick darüber, wo welche Informationen überhaupt gelagert sind – sozusagen eine Datenlandkarte. Das gilt vor allem für Daten, die in der Cloud liegen. Aus Compliance-Gründen sollte das Unternehmen daher prüfen, ob das Rechenzentrum in der EU oder einem geeigneten Drittland beheimatet ist.
• Suchen: Die DSGVO gibt EU-Bürgern das Recht, eine Übersicht über die von ihnen gespeicherten Daten zu verlangen. Firmen müssen diese zeitnah liefern. Eine Software und ein entsprechender Prozess, um Daten schnell zu finden und bei Bedarf zu löschen, sind daher essenziell.
• Minimieren: Durch die DSGVO soll erreicht werden, dass Unternehmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
• Schützen: Eigentlich selbstverständlich: Personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angriffe von außen und innen abzuwehren. Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden.
• Überwachen: Wer eine Sicherheitslücke melden will, muss zunächst wissen, dass sie existiert. Im zweiten Schritt geht es darum, schnell und eindeutig zu klären, welche Daten verloren gegangen sind. Denn die DSGVO fordert eindeutig, dass die von dem Vorfall Betroffenen sowie die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden. Daher ist eine professionelle Datenmanagement-Lösung empfehlenswert, mit der sich die komplexe Speicherinfrastruktur permanent und automatisch auf Unregelmäßigkeiten überprüfen lässt.

Die für jeden dieser Schritte eingesetzten Datenmanagement-Werkzeuge folgen im Idealfall einer zentralen Policy, aus der sich Maßnahmen ableiten lassen, die dann automatisch umgesetzt werden. Empfehlenswert ist zudem ein Service, der die verschiedenen Tools an die individuelle Umgebung anpasst und ein erstes Assessment zur generellen DSGVO-Reife durchführt. Aus den Ergebnissen lassen sich schnell individuelle Risiken herauslesen und die großen Probleme als erstes angehen.