Brexit und Datenschutz

Datenschutz verstehen –  Brexit und Datenschutz

Was ist überhaupt der Brexit? Brexit ist eine Wortneuschöpfung aus “Britain” und “Exit”. Kurz geschildert bedeutet Brexit, dass das Vereinigte Königreich, also Großbritannien, aus der Europäischen Union austreten will. Warum 52% der wahlberechtigten Bürger für den Brexit stimmten, wissen die meisten europäischen Bürger auch nicht so wirklich. Vielleicht sehen sich viele Briten nach dem alten British Empire und fühlen sich nicht zugehörig in der Europäischen Union. Ein interessantes Zitat von Winston Churchill, lautete einst, wohlgemerkt 1944: „Wann immer wir zwischen Europa und dem offenen Meer wählen müssen, sollen wir uns immer für das offene Meer entscheiden.“ Dennoch machten immerhin 48 % ihr Kreuzchen bei “Remain”, was den Aufenthaltsort in der Europäischen Union für die Briten bedeutet hätte. Aktuell laufen die Verhandlungen des Brexit noch und es droht immer wieder ein ungeregelter Austritt von Großbritannien, die Rede ist hier von einem No-Deal-Brexit. Doch was bedeutet der No-Deal-Brexit für uns europäischen Unternehmen?

 

Datenschutz und No-Deal-Brexit

Abgesehen von den außerordentlichen Ergebnissen der Börse in Verbindung mit der Stabilität des Euros, sind alle europäischen Unternehmen nun angehalten zu agieren. Denn die allermeisten Unternehmen verfügen über eine Niederlassung in Großbritannien, setzen Dienstleister aus Großbritannien zur Ausführung Ihrer Leistungen ein oder nutzen in Großbritannien digitale Dienste wie beispielsweise Online-Marketing-Tools ein. Bei all diesen Fällen werden in der Regel personenbezogene Daten ausgetauscht. Das bedeutet, es muss hierbei die Datenschutz-Grundverordnung eingehalten werden. Die DSGVO regelt den Datentransfer innerhalb der europäischen Union und ebenfalls Übermittlungen von personenbezogenen Daten in ein Drittland, was bei einem Brexit zutreffend ist. 

 

Datenübermittlung nach Großbritannien

Wie bereits erwähnt wird Großbritannien durch den Brexit über Nacht zum Drittland. Das bringt erhebliche Aufwände für die europäischen Unternehmen mit sich, denn die Übermittlung von personenbezogenen Daten nach Großbritannien war bisher unproblematisch anzusehen. Grundsätzlich existieren gesetzliche Erlaubnistatbestände, die Datentransfers in Drittländer, und damit auch nach Großbritannien, erlauben. Dennoch wird die Bewertung, ob eine Datenverarbeitung getätigt werden darf stark erschwert durch den No-Deal-Brexit. Denn viele der gesetzlichen Erlaubnis-Grundlagen aus Artikel 46 DSGVO müssen zwischen den Aufsichtsbehörden, der Kommission und Großbritannien verhandelt werden, damit Unternehmen die Erlaubnis-Grundlagen heranziehen dürfen. Im Regelfall werden folgende Grundlagen herangezogen:

  • Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren erlassen werden
  • Genehmigte Verhaltensregel gemäß Artikel 40 DSGVO
  • Einwilligungen der betroffenen Personen
  • Angemessenheitsbeschluss der europäischen Kommission
  • Sonstige Garantien: Binding-Corporate-Rules

Britische Unternehmen müssen ebenfalls handeln

Wichtig ist, dass britische Unternehmen sich weiter an die Bestimmungen der DSGVO halten und diese befolgen, damit europäische Unternehmen weiter geschäftsmäßig in Betracht kommen. Für den Datentransfer aus der EU/EWR nach Großbritannien, müssen Überprüfung des Datentransfers auf ausreichende Sicherheitsvorkehrungen getroffen werden. Ebenfalls müssen für den Datentransfer von Großbritannien in die EU/EWR die Bestimmungen des UK Data Protection Act 2018 zum internationalen Datentransfer (Chapter 5) beachtet werden. Konzerne, welche mehrere Standorte in ganz Europa halten, sollten ihre Verarbeitungstätigkeiten überprüfen, um zu beurteilen, wie sich der Austritt Großbritanniens aus der EU auf die für sie geltenden Datenschutzbestimmungen auswirken wird. 

 

Checkliste: Was müssen europäische Unternehmen jetzt tun?

Damit Unternehmen sich schnell auf einen möglichen No-Deal-Brexit vorbereiten können haben wir eine Checkliste mit den wichtigsten Aufgaben im Bereich Datenschutz zusammengetragen:

Analysieren Sie die Verarbeitungen, bei denen Sie personenbezogene Daten (Kunden, Nutzer, Mitarbeiter) nach Großbritannien übermitteln.
Prüfen Sie, ob Sie für diese Verarbeitungsprozesse über entsprechende gesetzliche Erlaubnisse verfügen nach Artikel 46 DSGVO.
Erfragen Sie bei den britischen Unternehmen, welche Garantien geboten werden (Standardschutzklauseln, Vorbereitung auf Brexit, Datenschutzkonzept).
Ergänzen Sie Ihr Verarbeitungsverzeichnis um die gesetzlichen Erlaubnisse.
Ergänzen Sie Ihre Datenschutzerklärung um die Hinweise auf Drittländer und Datenverarbeitungen in Großbritannien.
Aktualisieren Sie Ihre Einwilligungen, damit der Datentransfer in ein Drittland weiter getätigt werden darf.
Eventuell müssen Sie sogar Datenschutz-Folgenabschätzungen ergänzen.
Standard-Auskunftsersuchen müssen nun um den Punkt Übermittlung in ein Drittland erweitert werden.
 

Hinweise in der Datenschutzerklärung für Brexit

Sofern Sie personenbezogene Daten Ihrer Kunden, Mitarbeiter oder sonstigen Kooperationspartner nach Großbritannien übermitteln, müssen Sie jetzt hierfür einen entsprechenden Hinweis in Ihrer Datenschutzerklärung erbringen gemäß Art. 13 Abs. 1 Satz 1 lit. f) und 14 Abs. 1 Satz 1 lit. f) DSGVO. Ein Hinweis für die Datenschutzerklärung könnte wie folgt gestaltet sein:

Der Verantwortliche überträgt und verarbeitet personenbezogene Daten außerhalb der europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR) in ein Drittland. Dies erfolgt nur wenn diese Übertragung und Verarbeitung zur Erfüllung einer vertraglichen Pflicht, auf Grundlage einer Einwilligung, aufgrund einer rechtlichen Verpflichtung oder auf Grundlage der berechtigten Interessen des Verantwortlichen geschieht. Sofern wir diese Verarbeitung nicht auf Grundlage einer Einwilligung oder einer vertraglichen Verpflichtung tätigen, vereinbaren wir mit dem Empfänger oder Auftragsverarbeiter aus dem Drittland geeignete Garantien gemäß Artikel 46 Abs. 2 DSGVO, um die Einhaltung der Datenschutz-Grundverordnung zu erfüllen. Geeignete Garantien bestehen, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in:

– einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,
– verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
– Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
– von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
– genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen,
– oder einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.

 

Verzeichnis der Verarbeitungstätigkeiten nach dem Brexit

Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in das Drittland Vereinigte Königreich und die weiteren in diesem Zusammenhang geforderten Angaben zu machen (Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO). Hierzu gehören insbesondere die Erlaubnis-Grundlagen gemäß Artikel 46 Abs. 2 DSGVO.

 

Auskunftsersuchen nach dem Brexit

Wenn eine betroffene Person (Kunde, Mitarbeiter, Lieferant) von ihrem Auskunftsrecht Gebrauch macht, ist sie auch über die Datenübermittlung in das Drittland Vereinigte Königreich und die verwendeten geeigneten Datenschutzgarantien zu informieren (Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO). 

Wir weisen nochmal darauf hin, dass Verantwortliche, die personenbezogene Daten ohne die nach Kapitel V DSGVO notwendigen Sicherheiten in das Vereinigte Königreich übermitteln, rechtswidrig handeln. Die Aufsichtsbehörden könnten dann Datenübermittlungen per Anordnung aussetzen (Art. 58 Abs. 2 lit. j DSGVO) und Geldbußen verhängen (Art. 83 Abs. 5 lit. c DSGVO).

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

1 Kommentar. Hinterlasse eine Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN