Datenschutz-Akademie » Datenschutz-News » Brennpunkt Brexit
Brennpunkt Brexit: Was ist bei der Übermittlung personenbezogener Daten zu beachten?
Auch wenn es derzeit so aussieht, als ob sich der Austritt des Vereinigten Königreichs Großbritannien (VK) aus der EU weiter verschiebt, ist es durchaus sinnvoll sich jetzt schon mit dem Brennpunkt Brexit zu befassen. Denn mit dem Austritt des VK wird dieses als Drittland deklariert.
In Bezug auf die Datenschutz-Grundverordnung (DSGVO) bedeutet das, das personenbezogene Daten nur unter bestimmten Bedingungen übermittelt werden können. Denn die DSGVO geht bei der Einstufung von Ländern außerhalb der EU zunächst immer davon aus, dass kein gleichwertiges Datenschutzniveau gewährleistet ist.
Im Falle des Vereinigten Königreichs Großbritannien und Nordirland gibt es zwei Szenarien:
Mögliche Brexit Szenarien
Szenario 1: Deal-Brexit / geregelter Austritt
- Die DSGVO gilt weiterhin für den Übergangszeitraum bis Ende 2020.
- Der Übergangszeitraum kann um ein Jahr, mit Frist zum 01.07.2020, verlängert werden.
- Zunächst gibt es keine Auswirkungen auf die Zusammenarbeit.
Szenario 2: No-Deal-Brexit / ungeregelter Austritt
- Das VK wird zu einem Drittland im Sinne der DSGVO.
- Konkrete Auswirkungen auf die Übermittlung personenbezogene Daten.
In welchem Fall müssen sich Unternehmer auf den No-Deal-Brexit vorbereiten?
Sollten Unternehmer eine der folgenden Fragen mit „ja“ beantworten, müssen Maßnahmen zur Sicherstellung des Datenschutzniveaus getroffen werden:
- Befinden sich Niederlassungen, Vertriebsmitarbeiter oder sogar der Hauptsitz Ihres Unternehmens im VK?
- Übermitteln Sie personenbezogene Daten an Dienstleister oder Kooperationspartner mit Sitz im VK?
- Befinden sich Subdienstleister Ihrer Auftragsverarbeiter im VK? Beachten Sie das dies auch für Unterauftragnehmersituationen (bspw. Rechenzentren) zu beachten ist.
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
Fünf Schritte zur Vorbereitung auf einen Brexit-No-Deal
- Feststellen, welche Verarbeitungen eine Übermittlung personenbezogener Daten an das Vereinigte Königreich Großbritannien und Nordirland mit sich bringen.
- Das geeignete Datentransferinstrument (bspw. Standardvertragsklauseln, Binding Corporate Rules) für Ihre Situation festlegen.
- Das gewählte Datentransferinstruments so umsetzen, dass es für den Brexit bereit ist.
- In Ihrer internen Dokumentation vermerken, dass Übermittlungen in das VK erfolgen werden.
- Ihre Datenschutzerklärung zur Information der Einzelpersonen entsprechend aktualisieren.
Drei konkrete Maßnahmen
Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder empfehlen insbesondere folgende Maßnahmen:
- Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Webseite ist über die Datenübermittlung in das Drittland und über die verwendeten geeigneten Datenschutzgarantien zu informieren.
- Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie auch über die Datenübermittlung in das Drittland und die verwendeten geeigneten Datenschutzgarantien zu informieren.
- Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in das Drittland als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
- COVID-19 und Datenschutz - 25. März 2020
- Datenschutz in der USA – Teil 3 der Delegationsreise - 6. Dezember 2019
- Datenschutz in der USA – Teil 2 der Delegationsreise - 3. Dezember 2019