Project Description
“Datenschutzrechtliche Konsequenzen des Brexit“
Im Hinblick auf den am 30.03.2019 bevorstehenden Austritt von Großbritannien aus der EU stellen sich auch datenschutzrechtliche Fragen. Denn unabhängig davon, ob es zu einem geregelten oder ungeregelten Austritt kommt, wird Großbritannien dadurch zu einem sogenannten „Drittland“ im Sinne der DSGVO. Während die DSGVO davon ausgeht, dass innerhalb der EU ein einheitliches Datenschutzniveau besteht, weswegen der innergemeinschaftliche Datentransfer privilegiert ist, gilt dies für sogenannte Drittländer nicht. Unternehmen sollten daher prüfen, ob Sie selbst oder von Ihnen beauftragte Dienstleister/Auftragsverarbeiter Niederlassungen in Großbritannien haben oder dort personenbezogene Daten verarbeiten.
Bejahendenfalls sind die Besonderheiten für die Datenübermittlung in Drittländer zu berücksichtigen also insbesondere:
- Es bestehen erweiterte Informationspflichten. So sind Betroffene gemäß Art. 13 Abs. 1f DSGVO und Art. 14 Abs. 1f DSGVO über die Übermittlung der Daten in ein Drittland zu informieren.
- Verlangt ein Betroffener Auskunft über die zu ihm gespeicherten Daten, muss die Auskunft auch die Übermittlung von Daten in Drittländer erfassen (Art. 15 Abs. 1c und Abs. 2 DSGVO).
- Die Übermittlung von Daten in Drittländer ist gemäß Art. 30 Abs. 1d und g sowie
Abs. 2c DSGVO in das Verzeichnis von Verarbeitungstätigkeiten aufzunehmen. - Es ist ggf. eine Datenschutz-Folgeabschätzung erstmals durchzuführen oder eine bereits erfolgte Datenschutz-Folgeabschätzung zu überprüfen.
- Es sind die besonderen Voraussetzungen der Datenübermittlung an Drittländer gemäß Art. 44 ff. DSGVO zu berücksichtigen. Danach sind geeignete und angemessene Garantien erforderlich, die in folgender Form nachgewiesen werden können:
- Standarddatenschutzklauseln: die EU-Kommission hat drei Beschlüsse mit Standardvertragsklauseln erlassen, die über ihre Website (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en) abrufbar sind,
- Verbindliche interne Datenschutzvorschriften: verbindliche Datenschutzvorschriften, die innerhalb einer Unternehmensgruppe gelten und von der zuständigen Datenschutzbehörde genehmigt wurden,
- genehmigte Verhaltensregeln in Verbindung mit verbindlichen und durchsetzbaren Verpflichtungen der Verantwortlichen und Auftragsverarbeiter im betroffenen Drittland,
- genehmigte Zertifizierungsverfahren in Verbindung mit verbindlichen und durchsetzbaren Verpflichtungen der Verantwortlichen und Auftragsverarbeiter im betroffenen Drittland.
- Ob diese Garantien tatsächlich erforderlich werden, hängt aber natürlich auch davon ab, ob es überhaupt zu einem Austritt kommt und in welcher Form. Es besteht noch die Möglichkeit, dass sich die EU und Großbritannien im Wege eines internationalen Abkommens über eine Rechtsrahmen für die Übermittlung personenbezogener Daten einigen, das ist aber im Hinblick auf das Scheitern der Verhandlungen unwahrscheinlich. Auch dürfte es nahezu ausgeschlossen sein, dass die EU-Kommission vor dem Austritt noch einen Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO erlässt, mit welchem Sie feststellen könnte, dass in Großbritannien ein angemessenes Datenschutzniveau herrscht und die Datenübermittlung daher keiner weiteren Genehmigung oder Garantien bedarf. Vor diesem Hintergrund sollten Unternehmen also, wenn sie Daten nach Großbritannien übermitteln und dies auch zukünftig beabsichtigen, tätig werden und dafür sorgen, schnellstmöglich die erforderlichen Garantien zu schaffen, da die Datenübermittlung ansonsten ab dem 30.03.2019 rechtswidrig ist und z.B. mit einem Bußgeld durch die Datenschutzbehörde geahndet werden kann.