… wird geladen

zurück zur News-Übersicht

20.Februar 2019

Was bedeutet der Brexit für den Datenschutz in Ihrem Unternehmen?

Aus den Bereichen: UnternehmenDatenschutzgrundverordnungDatenschutz

Wie Sie den aktuellen Nachrichtenmeldungen sicherlich entnommen haben, wird ein ungeordneter Austritt des United Kingdom („UK“) aus der EU immer wahrscheinlicher. Doch auch wenn es nicht zu einem ungeordneten Austritt kommt, sollten Unternehmen sich zeitnah mit den datenschutzrechtlichen Konsequenzen des Brexit befassen.

Sofern keine politische Lösung gefunden wird, gilt UK nach dem Austritt als „Drittland“ im Sinne der Datenschutzgrundverordnung. Übermittelt Ihr Unternehmen personenbezogene Daten (im Folgenden nur: „Daten“) in das United Kingdom (bspw. an Tochterunternehmen oder Subunternehmer) oder speichert dort Daten (bspw. indem ein Hosting Dienstleister seine Server in UK betreibt), sollten Sie sich schnellstmöglich mit den gesetzlichen Konsequenzen dieser künftigen „Drittlandübermittlung“ befassen. Denn die Datenschutzgrundverordnung sieht vor, dass neben den üblichen Voraussetzungen, welche an Datenverarbeitungen gestellt werden, die zusätzlichen Voraussetzungen für einen Drittlandtransfer vorliegen müssen, damit die Datenverarbeitung „zulässig“ ist und keinen sanktionsfähigen Datenschutzverstoß begründet.

Angenehm wäre für Sie, dass die EU-Kommission einen Angemessenheitsbeschluss erlässt, mit welchem Sie bestätigt, dass das Datenschutzniveau im United Kingdom dem in der EU entspricht und eine Datenverarbeitung in UK daher grundsätzlich zulässig ist. Es ist aus zeitlichen (und vermutlich auch politischen) Gründen eher unwahrscheinlich, dass ein solcher Beschluss vor Austritt ergeht. Deshalb ist in der Regel ein aktives Handeln Ihrerseits gefragt, denn die Ausnahmen, in denen eine Drittlandübermittlung sodann ohne ihr Zutun zulässig ist, sind eher begrenzt. Die Verordnung gibt Ihnen auf, „geeignete Garantien“ (…für ein vergleichbares Schutzniveau) vorzusehen. Worin diese bestehen können, wird in Artikel 46 Datenschutzgrundverordnung beschrieben (Lektüre empfohlen).

Für bestimmte Konstellationen kann es sich bspw. anbieten, so genannte EU-Standarddatenschutzklauseln mit in UK ansässigen Unternehmen abzuschließen. Steht Ihr Unternehmen mit dem in UK ansässigen Unternehmen in einem Konzernverbund, ist dies allerdings nicht möglich. In diesem Fall sind Sie z.B. darauf angewiesen, eine datenschutzkonforme Drittlandübermittlung durch Binding Corporate Rules („BCR“) sicherzustellen. Diese BCR sollten Sie sich allerdings vorab von der für Ihr Unternehmen zuständigen Aufsichtsbehörde genehmigen lassen. Ob dies noch vor dem Austrittsdatum realisierbar ist, möchte ich aufgrund der derzeitigen Auslastung der Aufsichtsbehörden bezweifeln.

Neben den vorgenannten „externen“ Maßnahmen sollten Sie ferner die interne Dimension im Blick haben. Neben dem Verarbeitungsverzeichnis Ihres Unternehmens, in welche etwaige „Drittlandübermittlungen“ aufzuführen sind, sollten dann beispielsweise auch die Datenschutzerklärungen Ihres Unternehmens aktualisiert werden.

Wie Sie sehen, sollten Sie zeitnah erste Schritte einleiten, um auch weiterhin datenschutzkonform mit Partnern in UK zusammenarbeiten zu können. Sofern Sie weitergehende Informationen zu diesem Themenbereich wünschen, sprechen Sie uns gerne an.