Der Brexit steht vor der Tür und noch gibt es keine Einigung zwischen der EU und dem Vereinigten Königreich. Dies hätte dramatische Folgen, denn viele deutsche Firmen verarbeiten dort personenbezogene Daten. Hier finden Sie Hinweise für die anstehenden Herausforderungen im Datenschutz.
Der Inhalt im Überblick
Jedes siebte deutsche Unternehmen betroffen
Viele Unternehmen haben einen Sitz oder ihre Muttergesellschaft im Vereinigten Königreich. Andere übermitteln personenbezogene Daten dort hin, weil sie in dem Land einen Dienstleister beschäftigen. Laut einer BITKOM-Umfrage aus 2018 betrifft dies 14 % der deutschen Unternehmen – jedes siebte. Das Vereinigte Königreich (UK) wird nach Austritt aus der Europäischen Union ab dem 30. März 2019 zu einem „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO). Damit müssen verantwortliche Stellen in der EU, die Regelungen für Datenübermittlungen in Drittländer berücksichtigen, sowie ihre Dokumente entsprechend überarbeiten.
Was passiert bei einem geregelten Brexit?
Der Branchenverband BITKOM sieht bei einem EU-Austritt im Rahmen des vorgelegten Austrittsabkommens, die Möglichkeit für weitere Folgeabkommen zwischen dem Vereinigten Königreich und der EU. Bis dahin könnten Unternehmen weiterhin Daten mit britischen Partnern austauschen und in der Folge könnte, ob des hohen Datenschutzniveaus im Vereinigten Königreich, ein Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen werden.
Kommt es allerdings zu einem ungeregelten Brexit, wird das Vereinigte Königreich am 29. März 2019 um Mitternacht datenschutzrechtlich zum Drittland ohne besondere Privilegien. Und wer möchte dies heute noch ausschließen?
„Ohne Deal droht in der EU ein Datenchaos“
BITKOM-Hauptgeschäftsführer Dr. Bernhard Rohleder
Wer ist betroffen?
Betroffen sind alle öffentlichen und nicht-öffentliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, also nicht nur Behörden und Konzerne, sondern auch kleine und mittelständische Unternehmen, Vereine, Universitäten usw.
Auch bei der Inanspruchnahme von IT-Dienstleistungen durch britische Unternehmen (z.B. Cloud-Lösungen) oder im Rahmen von Auftragsverarbeitung im Vereinigten Königreich kommt es im Sinne der Datenschutz-Grundverordnung zu einer Datenübermittlung in ein Drittland.
Was ist zu tun?
Dokumentationspflichten zur Datenübermittlung in Drittländer betreffen insbesondere die folgenden Vorschriften:
- Die Informationspflichten nach Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO sind bezüglich der Datenübermittlung in ein Drittland zu ergänzen.
- Betroffene, die von ihrem Auskunftsrecht Gebrauch machen, sind gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO über die Datenübermittlung in Drittländer zu informieren.
- Im Verzeichnis der Verarbeitungstätigkeiten müssen Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO entsprechend benannt und die entsprechend geforderten Angaben gemacht werden.
- Eventuell sind Datenschutz-Folgenabschätzungen durchzuführen oder zu überprüfen (Art. 35 DSGVO).
Aber diese Dokumentationspflichten sind das kleinere Problem, denn Datenübermittlungen bedürfen auch nach einem Brexit einer rechtlichen Grundlage. Die Schaffung geeigneter Garantien ist in der Regel mit einem sehr viel größeren Aufwand verbunden.
Geeignete Garantien
Es gilt inzwischen als sicher, dass die EU-Kommission vor dem 30. März 2019 keinen Angemessenheitsbeschluss im Sinne von Art. 45 DSGVO erlassen wird. In diesem würde dem Vereinigten Königreich ein angemessenes Datenschutzniveau bescheinigt und Datenübermittlungen dorthin bedürften keiner weiteren Genehmigung.
Die betroffenen verantwortlichen Stellen müssen entsprechend geeignete Garantien im Sinne der Art. 46 ff. DSGVO schaffen, um Datenübermittlungen nach dem Brexit datenschutzkonform fortführen zu können. Folgende Möglichkeiten kommen in Betracht:
- Binding Corporate Rules
- Standardvertragsklauseln der EU-Kommission
- genehmigte Verhaltensregeln
- einzeln ausgehandelte Vertragsklauseln oder Verwaltungsvereinbarungen
Gibt es Ausnahmen?
Ausnahmsweise darf die Datenübermittlung in ein Drittland auch ohne Vorliegen geeigneter Garantien zum Schutz der Daten erfolgen, wenn die Voraussetzungen für einen der folgenden Ausnahmetatbestände des Art. 49 DSGVO erfüllt sind:
- Einwilligung
- Vertragserfüllung
- wichtige Gründe des öffentlichen Interesses
- Verfolgung von Rechtsansprüchen
- Schutz lebenswichtiger Interessen
- Wahrung zwingender berechtigter Interessen
Der Ausnahmecharakter stellt klar, dass die Ausnahmetatbestände eng auszulegen sind.
Keep calm and … act now!
Auch wenn wir im Januar 2018 sagten: „Handlungsbedarf besteht aktuell noch nicht“, so ist jetzt die Zeit zum Handeln gekommen.
Überprüfen Sie: Verarbeitet mein Unternehmen personenbezogene Daten im vereinigten Königreich? Wenn „Ja“ und wenn Sie auf der sicheren Seite stehen wollen, dann beginnen Sie Ihre Vorbereitungen umgehend.
Die Ergänzung Ihrer Dokumentationen wird Zeit kosten, die Schaffung geeigneter Garantien in der Regel noch viel mehr.
Und bitte behalten Sie im Hinterkopf, der notwendige Aufwand, ist nicht die Schuld vom „Datenschutz“ und „EU-Bürokraten“, denn im Vergleich haben wir es noch einfach. Doch die, oft für normal genommenen, Vorzüge des Lebens in einer europäischen Union, könnten auch uns durch populistische Manipulation schnell abhandenkommen.
Leider ist das Thema eben doch die „Schuld“ von „Datenschutz“ und „EU-Bürokraten“. Wer hindert denn die Kommission an einem Angemessenheitsbeschluss vor dem 30. März? Bestreitet irgend jemand ernsthaft das angemessene Datenschutzniveau im Vereinigten Königreich?
Bitte konzentrieren Sie sich bei Ihren Newslettern wieder auf sachliche Informationen zum Datenschutz und sparen Sie sich ihre stimmungsmachenden, undifferenzierten und manipulativen Kommentare.
Bitte mehr solcher stimmungsmachenden Kommentare liebe Intersoft.
Dass so ein Kommentar von einem AFD-Wähler kommt ist zu amüsant.
Meiner Meinung nach sind alle bereits erteilten Einwilligungen zum Datentransfer ins UK nach dem Brexit unwirksam und müssen erneut nach entsprechender Aufklärung eingeholt werden. Das kann zu unlösbaren Problemen führen wie z. B. bei internationalen medizinischen Forschungsprojekten bei denen die Probanden noch nach Jahren neu kontaktiert werden müssten.
Diese Woche wird wohl entscheidend sein. Was ware umgehend zu tun, wenn ein Deal zustandekommt (also Standardverträge, Datenschutzerklärung etc.)? Vielen Dank!