Brexit: Was bedeutet der Brexit des Vereinigten Königreichs für den Datenschutz in Ihrem Unternehmen?

David Pfau, Managing Consultant Datenschutz

 

Am letzten Dienstag (15.01.2019) entschied das britische Parlament gegen das von Premierministerin Theresa May verhandelte Abkommen zum Austritt des Vereinigten Königreiches (UK) aus der Europäischen Union (EU). Somit bestehen weiterhin verschiedenste Austrittsszenarien und die hohe Verunsicherung von Politik und Wirtschaft bleibt vorerst bestehen. Bis auf Weiteres ist der Austrittstermin des Vereinigten Königreiches der 29.03.2019.

Stand heute wird in der Nacht auf den 29.03. ein Mitgliedsstaat der EU, aus Sicht der Datenschutzgrundverordnung (DSGVO), zu einem Drittland. Was bedeutet dieses bevorstehende einschneidende Ereignis und die möglicherweise neue datenschutzrechtliche Bewertung des UK für Sie als Unternehmen?

Anmerkung: Aus Sicht des Datenschutzes sind Sie als Unternehmen nur vom Brexit betroffen, wenn Sie personenbezogene Daten nach UK übermitteln oder Dienstleister- Daten in Ihrem Auftrag im UK verarbeiten.

 

1. Was bedeutet es ein Drittland im Sinne der DSGVO zu sein und wie läuft eine Zulässigkeitsprüfung ab?

Die DSGVO ist direkt anwendbares Recht in jedem Mitgliedsland der EU. Somit hat die Verordnung das Ziel der Harmonisierung des Datenschutzes im Europäischen Wirtschaftsraum. Alle Länder, die nicht zur EU gehören werden als Drittland oder sicheres Drittland bezeichnet und unterliegen erweiternden Anforderungen des Datenschutzes nach Art. 44 ff. DSG-VO.

Die Zulässigkeitsprüfung für die Übermittlung von Daten in ein Drittland ist zweistufig aufgebaut. Der Verantwortliche muss im ersten Schritt sicherstellen, dass die Übermittlung der Daten auf einer rechtlichen Grundlage der DSGVO beruht. An dieser Stelle wird geprüft, inwieweit der Übermittlung einen Erlaubnistatbestand zu Grunde liegt. Im zweiten Schritt wird das jeweilige Datenschutzniveau des Drittlandes geprüft. Mögliche Gründe für die Zulässigkeit sind zum Beispiel der Angemessenheitsbeschluss der Europäischen Kommission, Binding Corporate Rules, EU-Standardvertragsklauseln oder eine Einwilligung nach Art. 49 Abs. 1 lit. a DSG-VO.

Mögliches Szenario: Im Rahmen der Brexit-Verhandlungen könnte es auch möglich sein, dass UK im Rahmen eines Angemessenheitsbeschlusses als sicheres Drittland eingestuft wird und somit „mehr oder weniger“ die gleichen Anforderungen der DSGVO gelten, als wenn UK noch Mitglied der EU wäre. Möglich erscheint jedoch auch eine Einstufung von UK als ein “unsicheres Drittland”. Diese Entscheidung wird stark von den Brexit-Verhandlungen und politischen Einflüssen geprägt sein.

 

2. Welche möglichen Anpassungen müssen im Allgemeinen getroffen werden?

  • In den Informationspflichten zur Datenverarbeitung und in der Datenschutzerklärung auf Ihrer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO über die Datenübermittlung in ein Drittland zu informieren.
  • Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO über die Datenübermittlung in Drittländer zu beauskunften.
  • Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen. 
  • Mit Dienstleistern, Auftragnehmern oder Tochter-Unternehmen im Konzern müssen Standardvertragsklauseln abgeschlossen werden (Die Vertragspartei in UK verpflichtet sich durch diese Klauseln zur Einhaltung eines Datenschutzstandards, der dem in der EU bestehenden Standards ähnelt)
  • sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das Vereinigte Königreich als Drittland geht (Art. 35 DSGVO).

 

3. Was ist im ersten Schritt zu tun?

Wir empfehlen Ihnen im ersten Schritt eine Bestandsaufnahme durchzuführen. Hierzu können Sie Ihr vorhandenes Verzeichnis der Verarbeitungstätigkeiten, die abgeschlossenen Auftragsverarbeitungsverträge und weitere datenschutzrechtliche Dokumentationen Ihres Unternehmens zu Rate ziehen. Aus unserer Sicht sind im Rahmen der die Bestandsaufnahme folgende Punkte zu berücksichtigen:

  • Setzten Sie weisungsgebundene Dienstleister und/oder Kooperationspartner ein, die ihren Unternehmenssitz in UK haben oder dort ihre Daten speichern?
  • Setzt einer Ihrer Auftragsverarbeiter Subdienstleister aus dem Vereinigten Königreich ein?
  • Hat Ihr Unternehmen Niederlassungen, Beteiligungen oder Vertriebsmitarbeiter im Vereinigten Königreich?
  • Nutzen Sie Drittanbieter-Tools die aus UK betrieben werden?

Nach der Beantwortung dieser Fragestellungen können Sie gemeinsam mit Ihrem Datenschutzbeauftragten die IST-Situation bewerten und mögliche, notwendige Maßnahmen abstimmen und vorbereiten. So sind Sie im Falle eines ungeregelten Brexits aus Datenschutzsicht auf die Drittlandproblematik vorbereitet und können die notwendigen Maßnahmen schnell ergreifen.

Bei weiteren Fragen steht Ihnen Ihr Datenschutzbeauftragter der AGOR AG sehr gerne zur Verfügung. Sollten Sie noch nicht von uns datenschutzrechtlich betreut werden, stehen wir Ihnen für Fragen sehr gerne an info@agor-ag.com zur Verfügung.

 

Zurück