Vereinigtes Königreich wird „unsicheres Drittland“

Das Ausscheiden des Vereinigten Königreichs aus der EU bringt erhebliche Konsequenzen bei der grenzüberschreitenden Verarbeitung von Daten mit sich. [...]

Andreas Schütz, Anwalt bei Taylor Wessing. (c) Taylor Wessing

Datenschutzrechtlich relevant ist der Brexit für jene Organisationen, die Verantwortliche im Sinne der DSGVO sind, die über eine Niederlassung, Tochtergesellschaft oder ein verbundenes Unternehmen in dem Vereinigten Königreich verfügen, deren Daten in der EU verarbeitet werden, oder die Daten des Verantwortlichen verarbeiten. Auch Unternehmen, die Dienstleister (Auftragsverarbeiter) mit Sitz im Vereinigten Königreich beauftragen sowie zur Ausführung von eigenen Leistungen Auftragnehmer im Vereinigten Königreich einsetzen (Transportunternehmen), sind betroffen.


Grundsätzlich ist davon auszugehen, dass (z.B. bei einem Cloud-Dienst) alle Datenkategorien, die der Verantwortliche verarbeitet, betroffen sein können. Wenn etwa Online-Dienste auf einer Website benutzt werden, bei denen der Dienstleister im Vereinigten Königreich ansässig ist, sind auch personenbezogene Daten von Website-Besuchern betroffen. Werden diese Daten transferiert, liegt eine Datenübermittlung in ein »unsicheres« Drittland vor. Unternehmen müssen somit ein angemessenes Schutzniveau beim Empfänger im Vereinigten Königreich sicherstellen.


Das Schutzniveau kann durch einen sogenannten »Angemessenheitsbeschluss« der EU-Kommission erreicht werden, wobei bezweifelt werden darf, dass ein derartiger Beschluss kurzfristig erfolgen wird. Abhilfe auf individueller Ebene könnten Standardvertragsklauseln zwischen Verantwortlichem und Empfänger schaffen. Die DSGVO sieht außerdem vor, dass die Datenschutzbehörde konkrete Vertragsklauseln zwischen Verantwortlichen und Empfängern im Drittland zu Zwecken des »internationalen Datentransfers« genehmigen kann.
Weitere zulässige Datenübermittlungen wären etwa die notwendige Übermittlung zur Vertragserfüllung im Interesse von Betroffenen (wobei die Datenübermittlung nur gelegentlich erfolgen darf) oder die Geltendmachung oder Abwehr von Rechtsansprüchen. Auch im Falle des Vorhandenseins von »genehmigten Verhaltensregeln« ist eine Datenübermittlung zulässig.


Betroffenen Unternehmen ist zu raten, jegliche Datenübermittlung auf ihre Zulässigkeit zu analysieren. Es ist zu prüfen, ob personenbezogene Daten regelmäßig oder nur gelegentlich übermittelt werden und auf welcher Rechtsgrundlage dies erfolgt. Betroffene sind darüber zu informieren, dass deren Daten in ein »unsicheres Drittland« übermittelt werden und Datenschutzhinweise sind entsprechend anzupassen.
Obwohl die DSGVO nunmehr nahezu ein Jahr in Kraft ist und zahlreiche Unternehmen die Bestimmungen umgesetzt haben, herrscht weiterhin hoher organisatorischer Aufwand. Äußere Einflüsse wie ein Brexit machen Unternehmen das Leben keinesfalls leichter.

Andreas Schütz | Taylor Wessing


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*