Rufen Sie uns an

+49 (0) 6196 97344 - 00

Close
Kontakt per Mail

information@entplexit.com

Close

Newsroom
Compliance

Zurück
7. März 2019

Mögliche datenschutzrechtliche Folgen eines ungeregelten Brexit

Der Brexit steht kurz bevor und das Chaos ist nach wie vor perfekt. Das britische Unterhaus stimmte im Januar 2019 gegen den ausgehandelten Brexit-Deal, sodass ein untergeordneter Austritt des Vereinigten Königreichs (UK) ernsthaft zu befürchten ist. Jeden Tag erreichen uns neue Nachrichten, jedoch ist nichts klar, wie der Austritt von statten gehen soll. Eine Verlängerung der Austrittsverhandlungen ist im Gespräch. Nur kann sich darauf verlassen werden?

Viele Unternehmen in Deutschland übermitteln personenbezogene Daten oder haben eine Zweigniederlassung in UK. In der Folge müssen sie sich mit dem Thema Datenschutz und einem möglichen Austritt auseinandersetzen. Eine Übermittlung von personenbezogenen Daten von EU-Bürgern in Länder außerhalb der EU oder den EWR-Staaten darf nicht ohne Weiteres stattfinden.

Welche Unternehmen sind betroffen?

Betroffen sind alle Unternehmen, die personenbezogene Daten nach UK übermitteln. Also beispielsweise Firmen, die eine Niederlassung in UK haben oder die einen Auftragsverarbeiter (Dienstleister) nach Art. 28 DSGVO einsetzen, welcher seine Niederlassung in UK hat oder dort die personenbezogenen Daten verarbeitet.

Ein geregelter Brexit

Kommt es doch noch zu einem geregelten Brexit, ist eine Übergangsphase zu erwarten, in der das bisher geltende europäische Datenschutzrecht fortgilt. In dieser Zeit könnten weiterhin personenbezogene Daten mit britischen Partnern ausgetauscht werden. In dieser Übergangsphase hätte UK die Möglichkeit, ein nationales Datenschutzrecht zu beschließen, auf dessen Grundlage ein Angemessenheitsbeschluss mit der EU ausgehandelt werden könnte. Sollte es also doch noch zu einem geregelten Brexit kommen, ist die Lage (zunächst) unproblematisch.

Ein ungeregelter Brexit

Wenn keine kurzfristige Lösung vereinbart wird, wird Großbritannien ab dem 30.03.2019 abrupt zu einem „Drittland“ im Sinne der DSGVO. In der Folge müssen Unternehmen besondere Voraussetzungen berücksichtigen, die im Art. 44 ff. DSGVO nachgelesen werden können. Diese beinhalten zusätzliche Maßnahmen bei Datenübermittlungen in Drittländer. Diese Maßnahmen sollten für die betroffenen Prozesse bereits vorbereitet werden, da sie im Fall eines ungeregelten Brexit umgesetzt sein müssen.

Welche Maßnahmen müssen getroffen werden?

Es muss eine geeignete Garantie für den Datentransfer geschaffen werden sowie formale Anpassungen vorgenommen werden.

Da erwartet werden muss, dass ein Angemessenheitsbeschluss bis zum Austritt sicher nicht erlassen wird, müssen betroffene Unternehmen geeignete Garantien für die Datenübermittlung schaffen. Diese sollen ein angemessenes Datenschutzniveau sicherstellen. Grundsätzlich kommen dabei folgende Möglichkeiten in Betracht:

  • Verbindliche interne Datenschutzvorschriften – BCR
  • Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde
  • Genehmigte Verhaltensregeln
  • Einzeln ausgehandelte Vertragsklauseln oder Vereinbarungen

Die wohl praxisrelevanteste Möglichkeit ist dabei der Abschluss der Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde. Durch sie können personenbezogene Daten in ein Drittland übermittelt werden, ohne dass es einer gesonderten Genehmigung durch die Aufsichtsbehörden bedarf. Die für den Einzelfall zu verwendenden Klauseln können in umfangreichen Verträgen genutzt und weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, solange diese nicht im Widerspruch zu den Standardvertragsklauseln stehen.

In Ausnahmefällen darf eine Datenübermittlung auch ohne Vorliegen einer geeigneten Garantie erfolgen, wenn ein Ausnahmetatbestand (Art. 49 DSGVO) vorliegt. Dieser könnte beispielsweise sein, wenn eine Einwilligung der betroffenen Person eingeholt wurde oder ein Vertrag zwischen der betroffenen Person und dem Verantwortlichen vorliegt, für dessen Erfüllung die Übermittlung erforderlich ist. Die Ausnahmetatbestände werden dabei jedoch äußerst eng ausgelegt.

Neben der Schaffung einer geeigneten Garantie müssen formale Anpassungen vorgenommen werden:

  • Die Informationspflichten, also die Unterrichtung der Person, (Art. 13 oder 14 DSGVO) sind bezüglich der Datenübermittlung an ein Drittland zu ergänzen. Dies können zum Beispiel die Datenschutzerklärung der Webseite oder Informationsblätter zur Datenverarbeitung betreffen.
  • Im Verzeichnis der Verarbeitungstätigkeiten (VVTs) (Art. 30 DSGVO) sind Datenübermittlungen in Drittländer zu bezeichnen und die entsprechend geforderten Angaben zu machen.
  • Wenn Betroffene von ihrem Auskunftsrecht (Art. 15 DSGVO) Gebrauch machen, sind sie über die Datenübermittlung in Drittländer zu informieren.
  • Unter Umständen sind Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) vorzunehmen.

Fazit

Falls personenbezogene Daten in UK verarbeitet werden und ein in jedem Fall rechtssicherer Übergang gewährleistet werden soll, sollten entsprechende Vorbereitungen getroffen werden. Die Änderungen von Dokumentationen und insbesondere die Schaffung geeigneter Garantien kostet Zeit und ist im Einzelfall aufwändig. Ohne entsprechende Vorbereitungen ist nicht auszuschließen, dass Datenübermittlungen ab dem 30.03.2019 nicht rechtskonform sind.

Ihr Datenschutzteam der entplexit

entplexit GmbH
Kölner Straße 12
65760 Eschborn

Telefon: +49 (0) 6196 97344 - 00
Mail: