Brexit – Plan B? Empfehlungen für Office 365

Der Brexit ist in aller Munde und Unternehmen diskutieren seit Jahren, was zu tun ist. Die Stimmung schwankt zwischen Aktionismus und abwarten, die EU und UK werden sich schon einigen und die vielen hundert Unternehmen nicht im Stich lassen. Das sich die EU mit Großbritannien einigen wird, ist nicht mehr wahrscheinlich. Dies zeigt sich auch darin, dass Frau May eine Abstimmung nach der anderen für einen geordneten Brexit verliert. Nun stellt sich, schon fast zu spät, die Frage nach dem was tun?

 

Der Datenschutz und Brexit im Detail

Sachstand – Brexit 

Aktuell bis zum heutigen Tage gibt es kein Abkommen zwischen der EU und UK über die Verarbeitung von personenbezogenen Daten. Noch bis zum 29. März ist UK ein Mitglied der Europäischen Union und so auch Mitglied der Werte- und Rechtsgemeinschaft. Solange dies besteht, können auch auf Basis der europäischen Grundfreiheiten jeder europäische Bürger arbeiten, wo er oder sie möchte und auch seine Daten können verarbeitet werden. 

Nach dem Brexit

Dennoch nach dem Brexit wird UK unmittelbar in der gleichen juristischen Sekunde einem unsicheren „Drittland“, also ein Land außerhalb der EU und vergleichbar mit den USA. Dementsprechend ist eine Verarbeitung von personenbezogenen Daten von EU Bürgern zunächst verboten, da es an der Rechtsgrundlage fehlt. Diese Rechtsgrundlage müsste zunächst einmal geschaffen werden.

Als Rechtsgrundlage könnten binationale Verträge, Abkommen oder auch Verträge zwischen Unternehmen genommen werden. Also genau parallel zu den USA. Hierbei streiten wir uns aktuell auch um diese Verträge und Vereinbarungen von EU-US Privacy shield bis EU Modelclauses. 

Ein EU-UK Privacy Shield wird wahrscheinlich nicht geschlossen und EU Modelclauses müssten erstmal genehmigt und auch in der Verwendung mit UK freigegeben werden. Aus den Verhandlungen der Brexit-Kommission und den öffentlichen Berichten, ist es hier alles als negativ zu bewerten.

Niemand kann sich darauf verlassen, dass Frau May ihren Faustpfand in diesem Punkt aufgibt und nicht weiterhin die EU erpresst, um andere Situationen, wie die in Nordirland für sich zu beeinflussen. Es stehen alle Fahnen auf einen harten Brexit.

Abkommen mit UK 

Aus den Verhandlungen mit den USA, dem EuGH Urteil zu Safe Harbor und der aktuellen Diskussion, sowie die Begutachtung des EU-US Privacy Shield durch das EU Parlament, können wir recht gut festziehen, welche Kriterien auf ein EU-UK Abkommen zukommen werden. 

Schaut man sich nur einmal die Kritik an den US Geheimdiensten an und auch die vielfältigen Verfahren in den USA, sowie die Kritik des EU Parlaments aus Ende 2018 zum EU-US Privacy Shield, stellt man schnell fest, dass es in Großbritannien auch einen Geheimdienst gibt. Dieser (GHDC) ist nicht weniger aktiv als die NSA und auch in der Kooperation mit dem britischen Geheimdienst stark. Die einheitliche Kritik und auch Literatur geht davon aus, dass dies eines der Knackpunkte wird und UK streng kontrolliert werden wird. Den aktuellen Status als Mitgliedstaats verloren, heißt auch die Privilegien verloren zu haben und damit auch eigentlich zu machen, was sie wollten. 

Konsequenzen – Unternehmen verlassen UK

Es ist Mitte Februar und die Zeit rennt Unternehmen in UK oder Unternehmen in Europa, die Töchter oder Partner in UK haben davon. Sie müssen jetzt handelt und jetzt harte Entscheidungen treffen. Denn es bleibt nur noch die Entscheidung, alle Daten aus UK zu exportieren und die personenbezogene Datenverarbeitung mit UK aufzugeben. 

Aus der Presse könnt ihr entnehmen, dass immer mehr Unternehmen, sogar Konzerne wie Toyota und auch der Mittelstand (über 100) ihren Hauptsitz auf das Festlang verlagert haben. 

Landesdatenschutz – Prüfungen angekündigt

Die Landesdatenschutzbehörden in Deutschland und den übrig gebliebenen Mitgliedsstaaten haben bereits Prüfungen angekündigt. Einige wollen gezielt prüfen und auch Bußgelder erlassen, denn den Unternehmen war und ist es bekannt. Es wird also ungemütlich Ende März und Abwarten ist keine Lösung.

Raus aus UK – Office 365

Hier mal eine kleine Tabelle:

Datenstandort Mitarbeiter UK Mitarbeiter EU
Office 365 aus UK RZs kann bleiben Migration nach Dublin, Amsterdam oder OnPremises
Office 365 aus EU 
(Amsterdam, Dublin)
Migration nach UK oder OnPremises kann bleiben
Office 365 aus der MCD
(Magdeburg, Frankfurt)
Migration in die UK kann bleiben 
Sie wollten aber mittelfristig über eine Migration in EU RZs nachdenken.

 

Handlungsempfehlungen von Kanzleien und Verbänden (Linksammlung)

 

BVDW – für die Digitalwirtschaft

https://www.bvdw.org/themen/recht/datentransfers-nach-brexit/

 

SKW Schwarz Rechtsanwälte

https://www.skwschwarz.de/aktuelles/artikel/artikel-detail/news/europaeischer-datenschutzausschuss-informiert-zu-datentransfer-nach-grossbritannien-im-falle-eines-u/4/detail/News/

Deloitte

https://www2.deloitte.com/de/de/pages/risk/articles/no-deal-brexit.html?id=de:2pm:3li:eng_ca:nodealbrexit#

EU Kommission

https://ec.europa.eu/taxation_customs/uk_withdrawal_en