Der Brexit des Vereinigten Königreichs und die Folgen für das Datenmanagement von US-Unternehmen in Europa

Die Auswirkungen des Votums des Vereinigten Königreichs für den Austritt aus der Europäischen Union

Dies könnte weitreichende Folgen für internationale Unternehmen haben, die ihre Datenmanagementpolitik überdenken müssen. Das Vereinigte Königreich ist zwar Teil der EU, unterliegt aber denselben Gesetzen zur Datensouveränität wie andere EU-Länder. Wenn sich das Vereinigte Königreich trennt, werden sich diese Gesetze ändern. US-Unternehmen, die in Europa tätig sind, müssen möglicherweise eine Reihe von Datenschutzgesetzen für das Vereinigte Königreich und eine andere für EU-Mitgliedsländer verwalten. Das Thema wird sich sowohl auf Anbieter von Cloud- und Managed Services auswirken, die ihren Kunden zusätzliche Optionen für das Hosting von Daten in Europa anbieten müssen, als auch auf Endnutzer in Unternehmen, die möglicherweise überdenken müssen, wo ihre Daten in Europa gespeichert sind.

Da immer mehr Unternehmen von Datenschutzverletzungen bedroht sind, ist die Einhaltung der Datenschutzvorschriften ein immer wichtigeres Thema. Unternehmen, die im Vereinigten Königreich tätig sind, sollten sicherstellen, dass sie sich der potenziellen Konsequenzen für die Einhaltung der Vorschriften bewusst sind, insbesondere im Hinblick auf die neue EU-Datenschutzgrundverordnung (GDPR), die das Vereinigte Königreich wahrscheinlich nicht umsetzen wird. Unternehmen, die ausschließlich im Vereinigten Königreich mit britischen Kunden tätig sind und Daten nur im Vereinigten Königreich speichern, müssen daher wahrscheinlich keine wesentlichen Änderungen an ihren Datenschutzverfahren vornehmen. US-Unternehmen, die auch in der EU tätig sind, müssten jedoch die Einhaltung der Datenschutz-Grundverordnung für die Daten ihrer EU-Kunden sicherstellen und sollten daher die nachstehend beschriebenen Schritte in Betracht ziehen:

• Das Vereinigte Königreich könnte den Status einer "angemessenen Gerichtsbarkeit" anstreben, den derzeit eine Reihe von Ländern, darunter Kanada, Israel, die Schweiz und Uruguay, innehaben, was bedeutet, dass die Gesetze des Vereinigten Königreichs in Bezug auf den Datenschutz eine "wesentliche Gleichwertigkeit" aufweisen.
• Das Vereinigte Königreich könnte alternativ die Mitgliedschaft in der Europäischen Freihandelsassoziation (EFTA) oder im Europäischen Wirtschaftsraum (EWR) anstreben, was bedeuten würde, dass das Vereinigte Königreich über Rechtsvorschriften verfügt, die mit der Datenschutz-Grundverordnung übereinstimmen, die Datenschutz-Grundverordnung umsetzen oder zusätzliche Garantien für die wesentliche Gleichwertigkeit bieten wird.
• Höchstwahrscheinlich würde das Vereinigte Königreich ein Abkommen zur Regelung von Datenübertragungen nach dem Vorbild des EU-US-Datenschutzschilds anstreben. Nach diesem Modell müssten die Unternehmen sicherstellen, dass die Daten von Kunden und Klienten in der EU im Einklang mit der Datenschutz-Grundverordnung behandelt werden.

Übergangsregelungen Es ist wahrscheinlich, dass internationale Unternehmen für eine gewisse Zeit auf die Standardvertragsklauseln (SCC) und die verbindlichen unternehmensinternen Vorschriften (BCR) - die rechtlichen Mechanismen der EU für Datenübermittlungen - zurückgreifen müssen. Beim Abschluss dieser Vereinbarungen müssen Unternehmen die Daten von EU-Bürgern im Einklang mit der Datenschutz-Grundverordnung (DSGVO) behandeln und die oben genannten Bedingungen sowie alle rechtlichen Verpflichtungen innerhalb der Grenzen der SCCs und BCRs einhalten. In solchen Fällen sollten die Unternehmen Folgendes beachten:

\
• Unternehmen müssen die Daten von EU-Bürgern im Einklang mit der Datenschutz-Grundverordnung behandeln. Dies bedeutet, dass sie dieselben Maßnahmen ergreifen müssen, die auch bei einem Verbleib des Vereinigten Königreichs in der EU erforderlich wären. Unternehmen sollten sich auf die oben genannten Leitlinien zur Einhaltung der DSGVO beziehen, die nicht für die Daten britischer Bürger gelten.
• Die Unternehmen müssen über Niederlassungen in der EU verfügen, die für die Verarbeitung von EU-Daten verantwortlich und rechenschaftspflichtig sind. Dies bedeutet, dass eine Niederlassung in der EU als Hauptniederlassung des Unternehmens benannt werden muss. Diese Niederlassung wird der Aufsichtsbehörde des Landes, in dem sie ihren Sitz hat, im Namen des gesamten Unternehmens als dessen Hauptverantwortlicher Bericht erstatten.
• Die Unternehmen müssen über rechtliche Alternativen zur DSGVO verfügen, um eine Unterbrechung der Dienste zu verhindern. Die EU hat bereits zwei Muster für SCCs herausgegeben, die bei Bedarf wortwörtlich verwendet werden können; alle notwendigen Änderungen müssen jedoch von der Datenschutzbehörde des jeweiligen EU-Mitgliedstaats genehmigt werden. Die Unternehmen sollten mit ihrer Rechtsabteilung zusammenarbeiten, um sicherzustellen, dass sowohl die SCC als auch die BCR dem EU-Recht entsprechen.

Wenn das Vereinigte Königreich nicht mit den neuen EU-Vorschriften harmonisiert, könnten US-Unternehmen die Möglichkeit verlieren, europäische Verbraucherdaten im Vereinigten Königreich zu verarbeiten, sofern sie nicht die von der EU vorgeschlagenen oder von einer EU-Datenschutzbehörde genehmigten Richtlinien übernehmen. Dies könnte sich auf Unternehmen auswirken, die Rechenzentren im Vereinigten Königreich nutzen wollen - auch als Backup, falls ihre Rechenzentren in anderen EU-Ländern ausfallen. Regionale Cloud-Computing-Unternehmen sind besonders anfällig für die Komplikationen einer geteilten Regulierungsregion. Cloud-Unternehmen arbeiten effizienter, wenn sie Lasten problemlos von einem Rechenzentrum in ein anderes verlagern können. Die Einschränkung der Arten von Daten, die an bestimmten Standorten gespeichert werden können, beeinträchtigt diese Flexibilität. Quellen für den Inhalt: Financial Times, Bloomberg, Control Risks, Network World, TechWeek Europe