Der Datenschutz stellt Unternehmen in der EU und Großbritannien vor große Herausforderungen. Sie sind darauf angewiesen, dass ein geregelter und sicherer Datenaustausch zwischen den Ländern bald gewährleistet wird. Vergleichbare Datenschutzverordnungen und -gesetze bahnen den Weg dahin. Doch können Unternehmen schon aufatmen und was bedeuten diese Regelungen für sie?
Unternehmen in der Europäischen Union können aufatmen: Die EU-Kommission gibt mit einem Angemessenheitsbeschluss grünes Licht für den Datenaustausch zwischen ihren Mitgliedsstaaten und Großbritannien. Der Schutz personenbezogener Daten durch den Data Protection Act 2018 und der UK-GDPR sei mit dem Schutz durch das Europäische Datenschutzrecht vergleichbar, heißt es in dem Entwurf. Damit ist die Unsicherheit, ob und wie europäische Unternehmen Daten mit britischen Unternehmen austauschen können, zumindest für die nächste Zukunft passé. Der Datenverkehr zwischen der EU und Großbritannien kann rechtssicher weitergeführt werden. Das entlastet all jene, die vor allem bei Cloud-Diensten oder Wartungs- und Kundenservice auf den Austausch mit britischen Dienstleistern setzen.
Doch auch wenn die Gefahr eines Datenstaus erst einmal gebannt ist, bleibt die Lage unsicher. Denn selbst wenn die Zustimmung der EU-Mitglieder zu dem Beschluss eine Formalie sein sollte – die EU wird das Datenschutzniveau in vier Jahren erneut überprüfen. Zusätzlich ist es denkbar, dass in Zukunft ganz neue Abmachungen getroffen werden. Schon jetzt äußert sich Axel Voss, Mitglied des europäischen Parlaments, kritisch. Obgleich selbst maßgeblich am Entwurf der europäischen Datenschutz-Grundverordnung (EU-DSGVO) beteiligt, warnt er davor, dass die als wegweisend gepriesene Datenschutz-Grundverordnung bereits einer Überholung bedarf. Sie sei nicht auf aktuelle Entwicklungen im Bereich Home-Offices, Gesichts- oder Stimmerkennung und Blockchains angepasst und sollte entsprechend überarbeitet werden.
Aus diesen Gründen sollten sich Unternehmen nicht sicher fühlen, was den Schutz und Transfer ihrer Daten betrifft. Sie müssen weiterhin weitsichtig handeln, um sich ausreichend zu schützen. Dies beginnt damit, dass sie ihre Daten ordnungsgemäß und konform geltender Regeln und Vorschriften verwalten. Dabei sollten sie im Auge behalten, dass sich diese Regularien ändern können. Sowohl Unternehmen mit Sitz in der EU als auch im Vereinigten Königreich sollten diese möglichen Änderungen in ihren langfristigen Planungen berücksichtigen und auf mehr Flexibilität bei ihrer Datenschutzstrategie achten.
Dazu sollten Unternehmen in Europa den Datenschutz proaktiv angehen, denn eine Datenschutzstrategie nachträglich anzupassen oder auf aktuelle Entwicklungen erst zu reagieren, wenn sie eingetroffen sind, ist nahezu unmöglich. Stattdessen ist es zwingend erforderlich, dass Datensicherheitsregeln bereits dann greifen, wenn Daten in das Unternehmen gelangen. Und diese Regeln müssen sich danach richten, wie sensibel die Daten sind. So benötigen persönliche Informationen (Name und Adresse) einen anderen Schutzgrad als personenbezogene Daten (Kontonummer oder PIN). Ein adäquater Datenschutz von Beginn an hilft dabei, Datensperren zu vermeiden, Reibungsverluste durch die Datenkontrolle zu verringern und den Wert der Daten zu erhalten.
Grundlegend für die Herkulesaufgabe Datenschutz ist es, von Beginn an die Governance richtig zu gestalten. Auf diese Weise werden Datenschutz wie Datensicherheit ganz natürlich im Unternehmen verankert. Im Kern erfordert eine gute Governance, genau wie ein guter Datenschutz, dass Technologie, Menschen und Prozesse zusammenarbeiten, um aus den Daten einen Mehrwert zu schaffen. So können Unternehmen in der EU sicherstellen, dass alle in ihrem Besitz befindlichen Daten geschützt sind und sie die geltenden Vorschriften einhalten, auch wenn sich die Regularien für den Datenaustausch zwischen EU-Mitgliedsstaaten und Großbritannien wieder ändern sollten.