12.02.2019

Datenschutz im Falle eines no-deal Brexit

Derzeit ist ein ungeordneter Brexit ohne Austrittabkommen zu befürchten, das den Austausch personenbezogener Daten vorsieht. Bislang ist die Übermittlung personenbezogener Daten von Organisationen zwischen Großbritannien und der Europäischen Union uneingeschränkt möglich, da Großbritannien ein EU-Mitgliedstaat mit einem gemeinsamen Regelwerk ist. Sobald Großbritannien aber den EWR verlässt und damit zum „unsicheren Drittland" im Sinne der DSGVO wird, ist ein Austausch personenbezogener Daten vom EWR an Großbritannien nur eingeschränkt möglich. Betroffen sind z.B. Unternehmen, die über eine Niederlassung in Großbritannien verfügen, einen Dienstleister aus Großbritannien zur Ausführung ihrer Leistungen einsetzen oder in Großbritannien basierte Cloud-/SaaS-Dienste nutzen. Als „Drittland" werden alle Länder außerhalb der EU und des EWR bezeichnet. Personenbezogene Daten dürfen nur in Drittländer übermittelt werden, wenn entsprechende Sicherheiten wie z.B. ein Angemessenheitsbeschluss der EU-Kommission, Abschluss von Standardschutzklauseln, Einwilligung der Betroffenen oder sonstige Garantien vorliegen (Art. 44 ff. DSGVO).

Es ist derzeit nicht zeitnah, zumindest nicht bis Ende März, mit einem Angemessenheitsbeschluss der EU-Kommission zu rechnen, der das britische Datenschutzniveau für ausreichend befindet. Sofern ein solcher Angemessenheitsbeschluss fehlt, kann jedoch eine Datenübermittlung nach Großbritannien vertraglich durch Standardschutzklauseln ermöglicht werden. Diese Standardschutzklauseln verpflichten den Vertragspartner auf die Einhaltung des Europäischen Datenschutzes. Auf deren Grundlagen können personenbezogene Daten dann übermittelt werden. Möglich wäre auch eine Einwilligung der betroffenen Kunden in die Verarbeitung personenbezogener Daten in Großbritannien einzuholen.

Des Weiteren sind die Kunden in der Datenschutzerklärung über den Transfer in Drittländer samt Rechtsgrundlage und Garantie zu informieren. Auch bei Auskunftsanfragen ist auf die Datenverarbeitung in Großbritannien hinzuweisen. Außerdem ist die Übermittlung in Drittländer in das Verzeichnis von Verarbeitungstätigkeiten aufzunehmen. Zudem kann auch eine Datenschutz-Folgenabschätzung erforderlich sein, soweit eine Datenübermittlung in ein Drittland betroffen ist.

Für weitere Informationen und Unterstützung stehen wir Ihnen gerne zur Verfügung.