Meine Daten bleiben in Europa – Großbritannien nicht.

Über den Zusammenhang zwischen Brexit und DSGVO

Nicolai Goschin · Mai 2019 in Digitale Welt

Am kommenden Wochenende (25./26. Mai) fallen zwei Ereignisse zusammen, die auf den ersten Blick nichts miteinander zu tun zu haben scheinen: Zum einen jährt sich zum ersten Mal die Einführung der Datenschutzgrundverordnung (DSGVO), zum anderen stehen zum letzten Mal Europawahlen an, an denen das Vereinigte Königreich teilnehmen wird. Jedenfalls wenn sich nicht irgendwer irgendwas nochmal anders überlegt …

Dass diese beiden Termine an einem Wochenende stattfinden, ist natürlich reiner Zufall. Dennoch gibt es zwischen beiden Ereignissen einen spannenden Zusammenhang: Der Brexit wird auch Auswirkungen auf das Thema Datenschutz bei europäischen Projekten haben.

Moment! Wirtschaftliche Folgen – wissen wir. Politische Konsequenzen – wissen wir auch. Aber Datenschutz? Ja, tatsächlich!

DSGVO kurz erklärt

Aber erstmal einen Schritt zurück. Die DGSVO, die am 25. Mai 2018 in Kraft getreten ist, besagt unter anderem, dass personenbezogene Daten von Website-Nutzern nur unter gewissen Bedingungen gespeichert werden dürfen. Zu diesen Bedingungen gehört beispielsweise, dass die Daten auf einem Server innerhalb der EU gespeichert werden müssen (etwas vereinfacht dargestellt). Und auch, dass das Unternehmen, das die Daten speichert, einen Firmensitz innerhalb der EU haben muss. Die Überlegung dahinter ist, dass in der EU ein gewisser Standard bezüglich der IT-Sicherheit herrscht. Zudem, dass der Zugriff oder die Löschung von Daten nur gewährleistet ist, wenn sich der Gerichtssitz des Unternehmens in einem Land mit gleicher oder ähnlicher Gesetzgebung befindet. Einfach gesagt: Ich kann die Löschung von Daten nur rechtlich durchsetzen, wenn in dem entsprechenden Land das Recht auf Löschung gesetzlich verankert ist. Kurzum, innerhalb der EU ist alles einfach, außerhalb der EU wird es kompliziert.

Aus diesem Grund ist auch die Verwendung von Google Analytics problematisch. Zwar hat Google einen Standort innerhalb der EU, nämlich in Irland, aber es kann in bestimmten Fällen dazu kommen, dass Daten in den USA verarbeitet werden. Die Nutzung ist also nicht ohne Wenn und Aber zulässig.

Die Folgen des Brexit

Folglich wird es nach einem Austritt des Vereinigten Königreichs aus der EU auch problematisch sein, Daten dort zu speichern oder von Unternehmen speichern zu lassen, die in Großbritannien einen Firmensitz haben. Wie immer gibt es natürlich Ausnahmen – klar. Aber das unkomplizierte „Hey, solange die Daten in der EU bleiben, ist alles gut“ gilt nicht mehr. Zumindest nicht mehr für UK.

Verwendet ein digitales Projekt also zum Beispiel Datenbanken, Server, Newsletter-Tools, CRMs usw., die Daten im UK ablegen, sollte die rechtliche Lage neu geprüft werden. Denn das, was bisher zulässig war, ist es in Zukunft nicht mehr. Oder eben nur noch unter bestimmten Bedingungen.

Ist die Datenspeicherung im Vereinigten Königreich damit gar nicht mehr zulässig?

Nein, ganz so schlimm ist es natürlich nicht. Denn grundsätzlich ist eigentlich alles zulässig, sofern der Nutzer einer Website der Speicherung bzw. Verarbeitung seiner Daten explizit zustimmt. Dies ist ein sogenannter „Opt-in“, da er bewusst sein Einverständnis gibt. Das einfache „Diese Seite verwendet Ihre Daten – mit Besuch dieser Website stimmen Sie zu“ reicht nicht mehr aus. Denn hierbei würde es sich um ein „Opt-out“ handeln, also einen Zustand, in dem der User aktiv etwas deaktivieren muss.

Wie bleibt die Speicherung zulässig?

Zulässig ist das oben erwähnte „Opt-in“-Verfahren. Auch dann, wenn die Daten nicht innerhalb der EU gespeichert werden. Hierzu muss der User vor (!) dem Betreten der Website und vor (!) der ersten Aufzeichnung von Daten diesem explizit zustimmen. Dafür wird typischerweise ein Overlay über die Website gelegt, das den Hintergrund abdunkelt. Innerhalb des Overlays kann der Nutzer dann entscheiden, welche Daten erfasst werden dürfen. Weitere Hinweise zur Verarbeitung der Daten findet er in der Datenschutzerklärung der Website. Stimmt der User in diesem Overlay der Nutzung seiner Daten zu, können sie verwendet werden. Dann ist auch die Nutzung von Google Analytics oder anderen Tools, die Daten außerhalb der EU speichern, zulässig.
Ein Beispiel einer solchen Umsetzung ist unter https://www.insuresilience-solutions-fund.org zu finden. Hier haben wir dieses „Opt-in“-Verfahren für ein Projekt der KfW (Kreditanstalt für Wiederaufbau) implementiert.

Fazit
Es empfiehlt sich also, kurz zu prüfen, wo angeschlossene Services Daten speichern, um abzuschätzen, ob der Brexit Auswirkungen auf die eigenen digitalen Projekte hat. Und dann die entsprechenden Maßnahmen zu ergreifen noch vor dem Austritt Großbritanniens aus der EU.
Im Zweifelsfall gilt wie immer: Einfach bei der Digitalagentur des Vertrauens nachfragen.

Noch ein Abbinder in formaler Sache. Wie schon vermutet, handelt es sich bei diesem Artikel nicht um eine Rechtsberatung oder eine rechtsverbindliche Information. Eine rechtlich verbindliche Aussage kann im Zweifelsfall nur eine Juristin oder eine Jurist treffen.

Sorry, kurze Unterbrechung.
Geht sofort weiter.

Wir lieben alle User, auch Sie. Deshalb wollen wir unsere Inhalte noch besser zuschneiden.
Verraten Sie uns, was Sie beruflich tun?

Vielen Dank!