In den letzten Tagen geistert Panikmache zum Thema Datenschutz im Falle eines No-Deal oder Hard Brexits durch die Branchenpresse – lanciert vom Wettbewerb, der für seine unseriöse Berichterstattung nicht zum ersten Mal in der Kritik steht.
Um einer möglicherweise daraus resultierenden Verunsicherung unserer Kunden vorzubeugen, stellen wir den unseres Erachtens korrekten Sachverhalt in diesem Artikel zusammen:
Die Unternehmen der Acturis Deutschland Gruppe unterhalten mit allen Kunden EU-DSGVO konforme Vereinbarungen zur Auftragsverarbeitung. Im Rahmen dieser Vereinbarung werden neben diversen europäischen auch zwei UK-Subunternehmer gelistet: Acturis Ltd., London und Global Switch, London als Subunternehmer der Acturis Ltd.
Acturis Ltd. betreibt für die assfinet-Gesellschaften IT-Infrastruktur, die im Rechenzentrum von Global-Switch London untergebracht ist. Selbstverständlich unterhalten alle assfinet Unternehmen EU-DSGVO konforme Vereinbarungen zur Auftragsverarbeitung mit diesen Subunternehmern.
Der Bundesverband Deutscher Versicherungsmakler (BDVM) hat zur Einführung der EU-DSGVO unsere Verträge geprüft und seinen Mitgliedern eine Empfehlung zur Unterzeichnung ausgesprochen.
Nach dem ersten Brexit-Referendum haben die assfinet-Gesellschaften die Zeit genutzt, sich auch im Bereich EU-DSGVO auf die möglichen rechtlichen Konsequenzen einzustellen und für alle möglichen Szenarien vorbereitende Maßnahmen getroffen.
Im Falle eines No-Deal Brexits würde UK im Rahmen der EU-DSGVO voraussichtlich als Drittland eingestuft werden. Übermittlungen personenbezogener Daten an Drittländer sind in der EU-DSGVO in den Artikeln 44-50 geregelt. Gemäß Artikel 44 ist sicherzustellen, dass das durch die EU-DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Dieses Schutzniveau kann nun durch verschiedene Maßnahmen sichergestellt werden:
- Angemessenheitsbeschluss gem. Artikel 45
- Vereinbarung geeigneter Garantien gem. Artikel 46 / 47
- Ausnahmen in bestimmten Fällen gem. Artikel 49
Voraussichtlich werden Artikel 45 und 49 nicht einschlägig werden.
Im Falle des Eintritts eines No-Deal Brexits ohne Angemessenheitsbeschluss wird eine Vereinbarung gem. Artikel 46/47 zwischen Acturis Ltd. und den assfinet-Gesellschaften wirksam werden, die das notwendige Schutzniveau für natürliche Personen sicherstellt. Um etwaiger Rechts-Unsicherheit bei der Vertragsgestaltung entgegenzuwirken, hat die Europäische Kommission Standardvertragsklauseln veröffentlicht, welche bei unserer Vertragsgestaltung verwendet wurden.
Somit werden auch weiterhin – unabhängig vom Ausgang des Brexits – alle assfinet-Gesellschaften Rechtskonformität bezüglich der Auftragsverarbeitung sicherstellen.
Alle Kunden der assfinet-Gesellschaften haben Vereinbarungen zur Auftragsverarbeitung mit deutschen Gesellschaften und nach deutschem Recht geschlossen.
Für unsere Kunden ergeben sich daher keine Änderungen in Bezug auf die vereinbarte Auftragsverarbeitung noch auf die erbrachten Dienstleistungen.
Leider haben der Wettbewerb sowie die aufgreifende Presse scheinbar vergessen, die Existenz von Artikel 46/47 zu beleuchten und sorgen damit möglicherweise völlig unnötig für Verunsicherung. Ein Schelm, wer Böses dabei denkt.
Drei Fragen richtig beantwortet:
- Wie sicher ist es, dass es trotz Vereinbarungen nicht doch – vielleicht zeitweilig – Probleme mit dem Datenschutz in Hinblick auf die Drittland-Situation gäbe?
Auftragsverarbeitungsvereinbarungen und die Übermittlung von personenbezogenen Daten mit Drittstaaten ist kein neues Thema. Die EU hat bereits am 05. Feb. 2010 einen Beschluss über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates bekanntgegeben. Dieser ist bis heute gültig (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2010.039.01.0005.01.DEU&toc=OJ:L:2010:039:FULL).
assfinet hat mit seinem Dienstleister (acturis Ltd, London) einen solchen Vertrag geschlossen. Auch im Hinblick auf einen No-Deal Brexit wurde die Vereinbarung unlängst in einem externen Audit zertifiziert.
- Welche Daten sind genau betroffen und wie funktioniert der Datenverkehr?
In London sowie in anderen EU-Rechenzentren werden verschiedene (Sub)-Systeme der assfinet Gruppe betrieben, die in unseren Diensten und Produkten zum Einsatz kommen.
Dazu zählen:
- Betrieb eines Gewerbevergleichsrechners (in Planung)
- Betrieb des Polaris-Standardrechenkerns für Tarifberechnungen
- Betrieb der con:center Plattform
- Wird der Datenverkehr auch im Falle des No-Deal Brexits reibungslos weiterlaufen?
Ja. Der Betrieb wird identisch fortgesetzt werden. Es ergeben sich keine Änderungen in Bezug auf die vereinbarte Auftragsverarbeitung noch auf die erbrachten Dienstleistungen.