Brexit-Abstimmung: IT-Wirtschaft warnt vor Datenchaos in Europa
Der IT-Branchenverband Bitkom warnt vor den Folgen eines ungeregelten Austritts Großbritanniens aus der EU. "Mit der Ablehnung des Brexit-Deals droht Europa ein Datenchaos. Sollte die EU-Kommission die Austrittsfrist nicht verlängern, gilt jetzt das Worst-Case-Szenario" , sagte Bitkom-Präsident Achim Berg(öffnet im neuen Fenster) . Die von Premierministerin Theresa May mit der EU ausgehandelte Ausstiegsvereinbarung wurde am Dienstag vom Unterhaus in London mit deutlicher Mehrheit abgelehnt(öffnet im neuen Fenster) . Daher droht nun ein ungeregelter Austritt des Landes zum 29. März 2019.
Nach Darstellung von Bitkom müssten deutsche Unternehmen dann "ihre britischen Geschäftspartner und Kunden, dortige Rechenzentren oder IT-Dienstleister behandeln, als säßen sie außerhalb der EU" . Selbst der Datenverkehr mit einem Land wie Uruguay sei vom 30. März an einfacher als mit Großbritannien. Wer dies missachte und beispielsweise Kunden- oder Auftragsdaten dort verarbeiten oder speichern lasse, verstoße gegen die Datenschutz-Grundverordnung (DSGVO).
Viele Auftragsverarbeiter auf der Insel
Einer Bitkom-Umfrage zufolge(öffnet im neuen Fenster) lassen viele Unternehmen in Deutschland ihre personenbezogenen Daten über externe Dienstleister in Großbritannien verarbeiten. 14 Prozent der Firmen, die externe Dienstleister nutzten, übertrügen dazu die Daten auf die Insel.
Um Verstöße zu vermeiden, müssten die Firmen künftig die explizite Einwilligung jedes einzelnen Betroffenen einholen, Verträge mit sogenannten Standardvertragsklauseln anpassen oder sich als Konzern verbindliche interne Datenschutzvorschriften genehmigen lassen. Diese Umstellungen seien enorm aufwendig und in der kurzen verbliebenen Zeit vor allem für kleine und mittlere Unternehmen kaum zu schaffen.
Angemessenheitsentscheidung erforderlich
Nach dem Austritt aus der EU gilt Großbritannien als Drittstaat, mit dem unter bestimmten Bedingungen ein Austausch personenbezogener Daten von EU-Bürgern möglich ist. Dazu müsste die EU-Kommission feststellen, dass in Großbritannien ein vergleichbares Datenschutzniveau wie in der EU herrscht. Eine solche "Adäquatsentscheidung" ist auch die Grundlage für den Datenverkehr mit den USA auf der Basis des früheren Safe-Harbor-Abkommens und des neuen Privacy Shield.
Nach Ansicht der britischen Regierung ist das an sich problemlos möglich. Es seien lediglich technische Korrekturen erforderlich, damit die DSGVO nach dem EU-Austritt voll angewendet werde, hatte Claire Bradshaw vom britischen Digital- und Kulturministerium DCMS im September 2018 auf der Bitkom-Datenschutzkonferenz in Berlin gesagt . Allerdings hatte sie gewarnt: Sollte es bis März keinen Austrittsvertrag mit der EU geben, stünde man beim Thema Daten vor dem Abgrund. Das sei keine akademische Frage, sondern würde sich auf den Alltag der gesamten Bevölkerung auswirken.
Eco hofft auf neue Verhandlungen
Das Ministerium habe daher die Politiker dazu gedrängt, einen pragmatischen Kurs zu verfolgen. Ihre Abteilung habe eindringlich dafür geworben, ein sogenanntes Adäquatsverfahren mit der EU-Kommission zu starten, damit es keine Unterbrechung beim Datentransfer gebe. Der Bitkom rechnet aber damit, dass im Falle eines ungeregelten Brexits ein solcher Beschluss nicht rechtzeitig vorliegt.
Vor den Gefahren des ungeregelten Austritts warnt auch der IT-Verband Eco. "Die europäischen und in Europa angesiedelten internationalen Unternehmen der Digitalwirtschaft benötigen dringend Rechtssicherheit und eine verlässliche Grundlage für die reibungslose Fortführung ihrer Geschäftsmodelle und Geschäftsprozesse" , sagte Eco-Vorstand Oliver Süme. Allerdings könnten die EU und Großbritannien die "neu gewonnene Zeit effektiv nutzen, um zeitnah praktikable Lösungen zu finden, auf deren Grundlage die rechtskonforme internationale Datenübermittlung weiterhin gewährleistet ist" .
Nachtrag vom 16. Januar 2019, 13:07 Uhr
Die EU-Kommission verwies auf Anfrage von Golem.de auf den im November 2018 vorgestellten " Aktionsplan für den Notfall(öffnet im neuen Fenster) " . Darin kommt die Kommission zu dem Schluss, dass es neben einer Adäquatsentscheidung mehrere andere "geeignete Garantien" für eine datenschutzkonforme Datenübertragung in ein Drittland gebe. Dazu zählten die von der Kommission genehmigten Standardvertragsklauseln, verbindliche unternehmensinterne Datenschutzvorschriften und Verwaltungsvereinbarungen. Zudem könnten Daten auch ohne solche Garantien übertragen werden, beispielsweise "bei ausdrücklicher Einwilligung der betroffenen Person, zur Erfüllung eines Vertrags, zur Ausübung von Rechtsansprüchen oder aus wichtigen Gründen des öffentlichen Interesses" . Aus diesem Grund sei "die Annahme eines Angemessenheitsbeschlusses nicht Teil der Krisenplanung der Kommission" .