com!-Academy-Banner

Eine DSGVO-Amnestie wird es nicht geben

Gefährdet der Brexit den Datenschutz?

von - 08.07.2019
com! professional: Kaum haben sich die Unternehmen mit der DSGVO arrangiert, da droht auch schon der Brexit. Viele Unternehmen nutzen Cloud-Dienste in Großbritannien. Welche Folgen hätte ein ungeregelter Brexit für den Datenschutz in Unternehmen?
Stepanova: Sollte der Brexit tatsächlich ungeregelt ablaufen, hat die Europäische Kommission bereits angekündigt, dass Großbritannien nicht als sicherer Drittstaat eingestuft wird. Dies bedeutet, dass Daten nur aus der EU nach Großbritannien transferiert werden dürfen, wenn ausreichende Garantien vorhanden sind. Dies könnten im Einzelfall EU-Standardvertragsklauseln oder sogenannte Binding Corporate Rules (BCR) sein.
Die einfachste Lösung wären dabei die Standardvertragsklauseln, durch die letztlich eine Pflicht des in UK ansässigen Datenimporteuers begründet wird, die importierten Daten unter anderem ausschließlich nach den Weisungen des Datenexporteurs zu verarbeiten.
com! professional: Kann man sich als Unternehmen überhaupt auf einen Brexit vorbereiten?
Stepanova: Eine Vorbereitung ist möglich, indem man zunächst prüft, inwieweit ein Drittstaatentransfer überhaupt erforderlich ist. Kann man beispielsweise auf in der EU ansässige Cloud-Dienste zurückgreifen, wäre dies der einfachste Weg, weil dadurch der Drittstaatentransfer umgangen wird.
com! professional: Und wenn eine zum Unternehmen gehörende Gesellschaft in Großbritannien sitzt?
Stepanova: Dann wird es komplizierter und man sollte sich Gedanken über die angesprochenen Binding Corporate Rules machen. Diese sind zwar weitestgehend sicher, allerdings ist die Implementierung mit einem nicht zu unterschätzenden Personal- und Kosteneinsatz verbunden. Diese Lösung ist sinnvoll, wenn der Konzern bereits bestehende BCR auf Großbritannien ausweiten kann oder wegen seiner multinationalen Tätigkeit ohnehin geplant hat, diese einzuführen.
Man muss sich jedoch bewusst sein, dass die Implementierung eine gewisse Zeit in Anspruch nimmt, sodass man gegebenenfalls auf eine Zwischenlösung wie die Standardvertragsklauseln ausweichen muss.
Daneben gibt es noch ein paar Ausnahmetatbestände in der Datenschutz-Grundverordnung, die sich jedoch kaum dafür eignen, einen dauerhaften Datenexport nach UK sicherzustellen. Sie sind für Ausnahmefälle gedacht, beispielsweise Datenverarbeitung zum Schutz lebenswichtiger Inte­ressen, und gerade nicht für die routinemäßige Datenübermittlung.
com! professional: Ein ganz anderes Thema, das derzeit viele Unternehmen umtreibt, ist Social Media in der Kundenkommunikation. Vor welchen Herausforderungen stehen die Unternehmen? Müssen Kunden zum Beispiel darüber aufgeklärt werden, wenn sie mit einem Chatbot kommunizieren?
Stepanova: Eine gesetzliche Pflicht gibt es nicht. Jedoch empfiehlt es sich aus vielerlei Gesichtspunkten da­rüber aufzu­klären, dass ein Chatbot eingesetzt wird. In nichtjuristischer Hinsicht ist das wichtig, um die Erwartung des Kunden zu steuern, da dieser sich ärgern könnte, beispielsweise eine generische Antwort zu erhalten, wenn er denkt, es würde ein Mensch mit ihm kommunizieren.
com! professional: … und aus juristischer Sicht?
Stepanova: Aus juristischer Perspektive muss das Unternehmen zum Beispiel in der Datenschutzerklärung darüber informieren, dass je nach Einzelfall Profiling vorliegen kann. Dies kann der Fall sein, wenn der Chatbot nicht nur die Kundenanfrage beantwortet, sondern auch im Wege des Machine Learnings die Daten zur Verbesserung seiner Künstlichen Intelligenz nutzt. In den meisten Fällen wird eine solche weitergehende Verarbeitung nur auf Grundlage einer informierten Einwilligung des Kunden möglich sein, sodass man spätestens bei den Angaben zum Verarbeitungszweck über den Chatbot aufklären muss.
com! professional: Und wie sieht es mit den Daten aus? Dürfen vorhandene Kundendaten zur Kommunikation mit Chatbots verwendet werden, und dürfen die bei Chatbots anfallenden Kundendaten einfach gespeichert werden?
Stepanova: Beides ist möglich. Letztlich verbietet die DSGVO nicht die Datenverarbeitung, vielmehr ist ein Kernziel der Verordnung, den „free flow of data“ sicherzustellen – es geht darum, dass der Betroffene stets weiß, was genau mit seinen Daten passiert und wie diese verarbeitet werden. Stützt das Unternehmen die Verarbeitung auf eine passende Rechtsgrundlage und informiert es den Betroffenen auf eine transparente Art und Weise, Stichwort Datenschutzerklärung, ist die Verarbeitung rechtmäßig, sodass der Einsatz der Chat­bots keine gesonderte Problematik darstellt.
Verwandte Themen