Der Stichtag, an dem Großbritannien aus der EU austritt, ist bis auf Weiteres der 29.03.2019. Nachdem das britische Unterhaus am 16.01.2019 gegen den mit der EU ausgehandelten Brexit-Deal abgestimmt und seither keine nennenswerte Annäherung zwischen der EU und Großbritannien stattgefunden hat, scheint ein ungeregelter Brexit nahezu unausweichlich. Für Unternehmen mit geschäftlichen Beziehungen nach Großbritannien, birgt das harte Brexit-Szenario eine Vielzahl von datenschutzrechtlichen Hürden, die es kurzfristig zu überwinden gilt.
Überprüfung der Datenflüsse nach Großbritannien
Zunächst sollten Unternehmen überprüfen, ob personenbezogene Daten nach Großbritannien übermittelt werden. Dies könnte u.a.
- Mitarbeiterdaten,
- Lieferantendaten oder
- Kundendaten
betreffen. Von Bedeutung wäre hierbei vor allem der Einsatz unternehmensinterner Anwendungen, die auf in Großbritannien befindlichen IT-Systemen (zwischen-)gespeichert werden.
Großbritannien wird zum Drittstaat
Besonders problematisch ist es, dass die EU für Großbritannien weder ein Verfahren zur Feststellung eines angemessenen Datenschutzniveaus eingeleitet noch abgeschlossen hat. Während mit dem „Privacy Shield“ ausreichend Garantien für einen sicheren Datentransfer in die USA bestehen, fehlt ein vergleichbarer Angemessenheitsbeschluss für Großbritannien.
Damit ist Großbritannien aus datenschutzrechtlicher Perspektive als Drittland einzustufen (vergleichbar mit Indien oder Russland), sodass Unternehmen selbst aktiv werden müssen, um ein angemessenes Schutzniveau für Datenübermittlungen garantieren zu können.
Was können deutsche Unternehmen jetzt tun?
Wir empfehlen Unternehmen, auf die in den Art. 46 ff. DSGVO (Datenschutz-Grundverordnung) niedergelegten Rechtsinstrumente zurückzugreifen:
- Verbindliche interne Datenschutzvorschriften, sog. Binding Corporate Rules (BCR)
- Standardvertragsklauseln, sog. Standard Contractual Clauses (SCC)
- Ausnahmeregelungen für bestimmte Fallkonstellationen
Sofern die Datenübermittlung auf eines dieser Rechtsinstrumente gestützt werden kann, ist oftmals zusätzlich auch der Abschluss eines Auftragsverarbeitungsvertrags erforderlich, sofern beispielsweise ein Unternehmen aus Deutschland einen britischen Dienstleister beauftragt.
WINHELLER passt Ihre Datenschutzerklärung und Verarbeitungsverzeichnisse an
Die Informationspflichten aus den Artikeln 13 und 14 DSGVO setzen voraus, dass der Betroffene über die Übermittlung seiner Daten in ein Drittland informiert und darauf hingewiesen wird, welche geeigneten Garantien das verantwortliche Unternehmen zum Schutz seiner Daten getroffen hat. Die Angaben über den Drittstaatentransfer nach Großbritannien und die verwendeten Garantien sind ebenfalls mit in das Verarbeitungsverzeichnis nach Art. 30 DSGVO aufzunehmen.
Es kann nicht ausgeschlossen werden, dass die Aufsichtsbehörden einzelne Unternehmen mit geschäftlichem Bezug zu Großbritannien auf ihre Datenschutzkonformität überprüfen und Verstöße gegebenenfalls mit einem Bußgeld ahnden. Daher ist das Ergreifen von Notfallmaßnahmen zur Vorbereitung auf einen ungeregelten Brexit keine Kür, sondern unternehmerische Pflicht! Unsere Kanzlei steht allen betroffenen Unternehmen gern zur Verfügung.
Weiterlesen:
Harter Brexit: Erhebliche steuerliche Risiken bei Unternehmensnachfolge
Unser Beratungsangebot im Datenschutzrecht für Unternehmen
Tags: Datenschutzerklärung, DSGVO