Brexit und der Datenschutz

DSGVO - Datentransfer in ein Drittland

09.09.2019

Brexit und der DatenschutzUnternehmen sind gut beraten, sich so schnell wie möglich auf den Brexit vorzubereiten. Leiten sie personenbezogene Daten nach Großbritannien weiter, gilt dies auch für den Datenschutz. Zu beachten sind dabei nach der DSGVO die Regelungen für den Datentransfer in ein Drittland.

Immer noch diskutieren die Briten intensiv über den Austritt ihres Landes aus der Europäischen Union. Wann und wie der Brexit kommt, ist nach wie vor unklar. Alles deutet jedoch darauf hin, dass er ungeordnet zum 31. Oktober 2019 erfolgen wird.

Die Folgen aus einem solchen No-Deal-Brexit werden dabei auch viele deutsche Unternehmen spüren. Das gilt zum Beispiel im Bereich des Datenschutzes. Denn ab dem Moment des Austritts aus der EU wird das Vereinigte Königreich zu seinem sogenannten Drittland und damit Ländern wie den USA oder Russland gleichgestellt. Ein Datentransfer dorthin ist damit nicht mehr ohne weiteres erlaubt.

Der Brexit-Vertrag sah ursprünglich vor, dass während einer Übergangsphase bis mindestens Ende 2019 europäisches Datenschutzrecht gelten sollte. Die Europäische Kommission hätte dann ausreichend Zeit gehabt, über einen Angemessenheitsbeschluss nach Artikel 45 DSGVO zu entscheiden. Bei einem ungeordneten Brexit wird es diese Übergangsfrist jedoch nicht geben. Bis das Angemessenheitsverfahren abgeschlossen ist, kann es aber Monate oder sogar Jahre dauern.

Welche Unternehmen aktiv werden sollten

Alle Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, sollten jetzt tätig werden. Das Gleiche gilt, wenn sie Unternehmen mit Sitz auf der Insel Zugriff auf Daten gewähren. Denkbar ist dies nicht nur dann, wenn dort eine Niederlassung besteht oder eine Zusammenarbeit mit Dienstleistern erfolgt. Auch wer britische Cloud-Lösungen oder Tools zum Beispiel für sein Online-Marketing nutzt, ist betroffen.

Wann die Datenübermittlung weiterhin möglich ist

Beachten müssen Unternehmen die rechtlichen Grundlagen für die Übermittlung von Daten in ein Drittland. Solange der Angemessenheitsbeschluss der EU-Kommission nicht vorliegt, können sie auf EU-Standard-Vertragsklauseln nach Art. 46 DSGVO zurückgreifen. Diese verpflichten den Vertragspartner, die europäischen Datenschutzregeln einzuhalten. Prüfen sollten Unternehmer hier unbedingt, ob tatsächlich ein entsprechendes Datenschutzkonzept vorliegt.

Kommt der Einsatz von EU-Standard-Vertragsklauseln nicht in Frage, können sogenannte Binding Corporate Rules an ihre Stelle treten. Dahinter verbergen sich unternehmensinterne Selbstverpflichtungen auf den Datenschutz. Allerdings sind die Anforderungen hieran sehr hoch. So müssen die Binding Corporate Rules von der Aufsichtsbehörde genehmigt werden. Außerdem sind alle Mitarbeiter darauf zu verpflichten. 

Möglich ist die Datenübermittlung nach Großbritannien auch, wenn bestimmte Ausnahmefälle nach Art. 49 DSGVO erfüllt sind. Das gilt, wenn ein Betroffener aktiv einwilligt – wie zum Beispiel durch Anklicken einer Checkbox.

Sind Daten erforderlich, um einen Vertrag erfüllen zu können, fällt auch das unter die Ausnahmen. Ein solcher Fall ist bei einer Hotelbuchung denkbar, bei der der Name des Gastes von einem Reisebüro übermittelt wird. Weitere Ausnahmefälle sind wichtige Gründe des öffentlichen Interesses oder die Verfolgung von Rechtsansprüchen.

Welche Maßnahmen Unternehmen treffen müssen

Unternehmen, die nach einem ungeordneten Brexit weiterhin persönliche Daten ins Vereinigte Königreich übermitteln, müssen darüber in ihrer Datenschutzerklärung informieren. Dazu gehört der Hinweis auf die Rechtsgrundlagen des Datentransfers sowie die zugrundeliegenden Garantien.

Dabei müssen Unternehmen konkret angeben, welche Maßnahmen sie ergriffen haben, um ein angemessenes Datenschutzniveau sicherzustellen. Greifen sie zum Beispiel auf EU-Standard-Vertragsklauseln oder Binding Corporate Rules zurück, ist Betroffenen auf Verlangen Einsicht in das Dokument zu gewähren.

Außerdem müssen Unternehmen ihr Verarbeitungsverzeichnis ergänzen. Dazu sollten sie zunächst alle Verarbeitungsprozesse daraufhin überprüfen, wo sie persönliche Daten nach Großbritannien übermitteln oder mit einem dort ansässigen Anbieter zusammenarbeiten.

Danach sollten sie prüfen, ob ihnen in allen Fällen die gesetzlichen Erlaubnisse vorliegen. Falls nicht, sollten sie diese schnellstmöglich erarbeiten. Abschließend nehmen sie dies in ihr Verarbeitungsverzeichnis auf.

Speichern Unternehmen besondere personenbezogene Daten, müssen sie auch ihre Datenschutz-Folgenabschätzung überarbeiten und neu evaluieren.Machen Betroffene von ihrem Auskunftsrecht Gebrauch, müssen sie ebenfalls über die Datenübermittlung nach Großbritannien informieren.

Außerdem sollten Unternehmen unbedingt daran denken, vorliegende Einwilligungen zur Datenübermittlung zu überprüfen. Sofern diese sich bisher nicht auf den Datentransfer in ein Drittland beziehen, sollten sie die betroffenen Personen anschreiben und um eine erneute Einwilligung bitten.

Martina Schäfer, Finis Kommunikation