Unternehmen innerhalb der Europäischen Union stehen vor großen Herausforderungen, wenn sie personenbezogene Daten aus der EU in die USA oder nach Großbritannien übermitteln wollen. Ein Datentransfer findet z.B. im Rahmen des Austausches von Arbeitnehmerdaten mit dort ansässigen Tochterunternehmen statt oder auch bei der bloßen Anwendung nützlicher IT-Tools von Unternehmen, die in diesen Staaten ihre Niederlassung haben (z.B. Gmail, Amazon, Cloud Drive).
Großbritannien als datenschutzrechtlicher Drittstaat nach dem Brexit
Während die USA aus europäischer Datenschutzperspektive seit jeher als Drittstaat gelten, trifft dies nächstes Jahr nach vollendetem Brexit auch auf Großbritannien zu. Das hat Konsequenzen für Unternehmen, die Daten nach Großbritannien transferieren. Sie müssen dazu technische und organisatorische Maßnahmen verankern, damit ein angemessenes Datenschutzniveau gewährleistet bleibt. Aufgrund dessen werden für das Jahr 2021 zusätzliche Investitionen für den Bereich der Datenschutz-Compliance nötig sein. Allerdings bleiben diese in einem überschaubaren Rahmen, soweit auf bekannte Strukturen zurückgegriffen werden kann, die sich schon für den Datenexport in die USA etabliert haben.
Nutzung von Synergieeffekten beim Datentransfer in die USA
Ebenso wie zwischen der EU und den USA besteht auch zwischen der EU und Großbritannien derzeit kein Angemessenheitsbeschluss für die Zeit nach dem Brexit, welcher als Rechtsgrundlage einen gesetzeskonformen Datentransfer gewährleistet. Nachdem der EuGH im Juli 2020 den EU-US Privacy Shield für unwirksam erklärt hatte, mussten Unternehmen neue Rechtsgrundlagen für den Datentransfer in die USA etablieren und haben hierbei zumeist auf angepasste Standardvertragsklauseln (Standard Contractual Clauses) oder unternehmensinterne Vereinbarungen (Binding Corporate Rules) zurückgegriffen. Um ein angemessenes Datenschutzniveau beim Datentransfer nach Großbritannien sicherzustellen, können im Grundsatz die gleichen Instrumente verwendet und zugleich Synergieeffekte genutzt werden, vorausgesetzt, es werden landesspezifische Anpassungen vorgenommen.
Unsere erfahrenen Anwälte für Datenschutzrecht beraten Sie gerne zur Bewältigung der hierbei entstehenden Herausforderungen.
Weiterlesen:
Unternehmen müssen einen EU-Vertreter bestellen
In drei Schritten zum rechtssicheren Datenschutz