Datenschutzfalle Brexit

Auch wenn über die detaillierten Modalitäten noch Unklarheit herrscht, ist eines unbestritten: Der Brexit steht kurz bevor. Am 29. März 2019 um 23.00 Uhr mitteleuropäischer Zeit verlässt Großbritannien die EU. Die Frage lautet, wie der Austritt vonstattengehen wird.

Das Problem: London und Brüssel haben sich zwar auf einen Austrittsvertrag geeinigt, doch dieser wurde bisher nicht vom britischen Parlament gebilligt. Das bedeutet, es besteht weiterhin die Gefahr eines ungeregelten Brexits. Um dies zu vermeiden und Zeit für weitere Verhandlungen zu gewinnen, stimmt das britische Parlament am 14. März über eine Verschiebung ab. Aber selbst wenn dafür eine Mehrheit zustande kommt, müssten noch immer alle EU-Staaten der Verschiebung zustimmen. „Im Falle eines ungeregelten Brexits kommen auf Unternehmen große datenschutzrechtliche Herausforderungen zu, auf die es sich bereits jetzt vorzubereiten gilt, denn es gibt, anders als beim Inkrafttreten der DSGVO, keine Übergangsregelung“, so Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

Anzeige

Harter Brexit macht Großbritannien zum Drittland

Zahlreiche Unternehmen pflegen Geschäfts- und Kundenbeziehungen nach Großbritannien. Folglich übermitteln sie personenbezogene Daten wie Name, Anschrift, Geburtsdatum, Religionszugehörigkeit sowie Bankdaten dorthin. Aber auch Behörden, Vereine und Universitäten senden manchmal Daten in das Vereinigte Königreich, beispielsweise wenn sie mit Anbietern für IT-Leistungen zusammenarbeiten, die ihren Sitz dort haben oder bestimmte Leistungen von Rechenzentren mit dortigem Sitz in Anspruch nehmen. Im Falle eines harten Brexits erhält Großbritannien gemäß der Datenschutz-Grundverordnung (DSGVO) über Nacht den Status eines Drittlandes, sodass eine Datenübermittlung nicht mehr ohne Weiteres stattfinden kann.

Stattdessen greifen die Artikel 44 bis 50 der EU DSGVO. Der Artikel 44 besagt, dass „[j]edwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, […] nur zulässig [ist], wenn der Verantwortliche und der Auftragsverarbeiter die […] niedergelegten Bedingungen einhalten und auch die […] Bestimmungen dieser Verordnung eingehalten werden“. Das bedeutet, die Übermittlung der Daten kann zwar weiterhin stattfinden, unterliegt jedoch spezielle Regeln, damit betroffene Personen Schutz erfahren. „Um diesen zu garantieren, müssen Unternehmen verschiedenste Schutzmaßnahmen treffen. Hierunter fallen unter anderem EU-Standardvertragsklauseln oder sogenannte Binding Corporate Rules, also verbindliche interne Datenschutzvorschriften. Letztere müssen jedoch durch eine Aufsichtsbehörde genehmigt werden“, erklärt Hösel.

Ausweg Angemessenheitsbeschluss?

Für die Zukunft gilt es durch die EU-Kommission zu klären, ob das Datenschutzniveau Großbritanniens dem der EU entspricht. Sollte sie diesbezüglich zu einer positiven Antwort kommen, darf „eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation […] vorgenommen werden“. In diesem Fall verfasst die Kommission einen sogenannten Angemessenheitsbeschluss, der die Übermittlung personenbezogener Daten in das Vereinigte Königreich ohne besondere Einschränkungen zulässt. „Diese Entscheidung trifft die EU jedoch aller Voraussicht nach erst nach einem vollzogenen Austritt. Infolgedessen wird es eine Übergangsphase geben, in der Großbritannien datenschutzrechtlich als Drittland behandelt wird – selbst wenn die EU irgendwann ein Angemessenheitsbeschluss verfasst“, erläutert der zertifizierte Datenschützer.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Datenschutzrechtsverletzung verhindern – Maßnahmen treffen

Um eine Verletzung der Datenschutzrechte zu vermeiden, empfiehlt es sich für Unternehmen, bereits jetzt einige Maßnahmen zu ergreifen. So gilt es im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung der Website über die Datenübermittlung in ein Drittland zu informieren. Darüber hinaus muss das Verzeichnis von Verarbeitungstätigkeiten Datenübermittlungen in Drittländer – also Großbritannien – auflisten. Gegebenenfalls muss zudem eine Ergänzung oder Neu-Durchführung der Datenschutz-Folgenabschätzung erfolgen.

www.hubit.de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.