Datenschutz und Brexit

DatenschutzrechtDatenschutz und Brexit
Datenschutz und Brexit

Die letzte Ausgabe meiner Datenschutzinformationen für dieses Jahr steht an. Statt des obligatorischen Jahresrückblicks muss ich noch ein aktuelles und immer noch ungelöstes Problem ansprechen. Eigentlich hatten wir gehofft, dass uns der Brexit und seine datenschutzrechtlichen Folgen nicht mehr berühren werden. Allerdings ist das Thema für diejenigen, die Kunden oder Lieferanten in UK haben, immer noch „pending“.

Worum es geht

Das Vereinigte Königreich ist bekanntlich am 31. Januar 2020 aus der Europäischen Union ausgetreten. Während der Übergangsphase ist im Datenschutz zunächst alles beim Alten geblieben. Zum Jahresende läuft die Übergangsphase nunmehr aus. Und wenn es nicht zu einer neuen Einigung kommt, wäre Großbritannien ab Beginn des neuen Jahres als Drittland zu qualifizieren, mit der Konsequenz, dass personenbezogene Daten in das Vereinigte Königreich nicht mehr so einfach übermittelt werden können. Denn hinsichtlich eines Datenverkehrs mit einem Drittland sind die besonderen Anforderungen der Art. 44 ff DSGVO zu beachten.

Sollte der No-Deal tatsächlich eintreffen, müssen besondere Vorkehrungen getroffen werden.

Was zu tun ist

Um die rechtlichen Risiken zu minimieren, sollte so schnell wie möglich mit allen Datenempfängern in Großbritannien die von der EU-Kommission erlassenen Standardvertragsklauseln vereinbart werden.

Hierdurch verpflichtet sich der Vertragspartner im Drittland zu einem Datenschutz auf EU-Niveau. Die Standardvertragsklauseln stellen geeignete Garantien im Sinne des Art. 46 Abs. 2 Buchstabe c DSGVO dar.

Dabei müssen die richtigen Standardvertragsklauseln vereinbart werden. Im Fall der Auftragsverarbeitung sind die „Standardvertragsklauseln für Auftragsverarbeiter“ zu vereinbaren. Bei konzerninternen Übermittlungen sind hingegen die „Alternativen Standardvertragsklauseln“ zu verwenden.

Im Zweifel kann man auf der Website der britischen Aufsichtsbehörde ICO einen „Contract Builder“ benutzen, um automatisch die Standardvertragsklauseln für eine Übermittlung zu generieren und auszufüllen.

Wie geht es weiter?

Bei einem No-Deal wird die britische Regierung in den nächsten Jahren den Erlass eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO durch die Europäische Kommission anstreben, was Großbritannien wieder aus dem Status des Drittlandes herausführen würde. Denn es ist damit zu rechnen, dass die wesentlichen Regelungsinhalte der DSGVO in die UK-GDPR überführt werden. Jedoch könnten die weitgehenden Befugnisse der Sicherheitsbehörden und Geheimdienste in Großbritannien gerade vor dem Hintergrund des Schrems-II-Urteils des Europäischen Gerichtshofs noch datenschutzrechtliche Probleme ergeben, genauso wie hinsichtlich den USA.

EU-Inlandsvertreter gem. Art. 27 DSGVO

Britische Unternehmen, welche in der EU weiterhin mit Kundendaten operieren, müssen aber auf alle Fälle zukünftig einen EU-Inlandsvertreter gemäß Art. 27 DSGVO bestellen. Die Aufgabe des Inlandvertreters besteht im Wesentlichen darin, einen Ansprechpartner für Aufsichtsbehörden und Betroffene in der EU zur Verfügung zu stellen. Diese Aufgabe kann durch einen Rechtsanwalt übernommen werden.

Für Fragen stehe ich Ihnen jederzeit zur Verfügung.

Ich wünsche Ihnen schöne Feiertage und einen guten Rutsch ins neue Jahr.

Bleiben Sie gesund!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.