Am 01.01.2021 ist der Brexit-Deal wirksam geworden. Viele Unternehmen verarbeiten auch weiterhin Daten über Stellen im United Kingdom. Wir erläutern Ihnen, welche Verarbeitungsprozesse Sie einer genauen Prüfung unterziehen müssen und wie Sie mit dem Datenschutz in Zeiten des Brexit umgehen müssen.
Konsequenzen des Brexits
Nach der Datenschutzgrundverordnung (DSGVO) ist der innereuropäisch grenzüberschreitende Datenverkehr ohne weiteres zulässig. Belanglos ist also, ob Sie ein deutsches oder etwa ein spanisches Unternehmen auswählen, um Datenverarbeitungen durchzuführen.
Anders ist dies, wenn Sie personenbezogene Daten in Großbritannien verarbeiten, speichern oder Sie dort mit Unternehmen zusammenarbeiten und z.B. eine gemeinsame Cloud betreiben. Nach dem Austritt des Vereinigten Königreichs handelt es sich hierbei um ein Drittland, sodass Unternehmen bei grenzüberschreitendem Datentransfer ein geeignetes Datenschutzniveau garantieren müssen. Eine Übergangsregelung fingiert dies bis zum 30.06.2021, die Verhandlungen über eine Verlängerung dieses „Angemessenheitsbeschlusses“ sind jedoch am 20.05.2021 gescheitert, sodass das UK nach aktuellem Stand der Dinge ab dem 01.07.2021 als unsicherer Drittstaat gilt.
Gewährleistung des angemessenen Datenschutzniveaus
In der Folge müssen Sie das angemessene Datenschutzniveau anderweitig garantieren, nämlich durch eine der folgenden Varianten:
Folgen
Prüfen Sie, ob Ihre Partner, insbesondere Auftragsdatenverarbeiter im Vereinigten Königreich sitzen oder Übertragungen von Daten nach Großbritannien durchführen. Hier besteht gegebenenfalls Anpassungsbedarf in Form von Ergänzungsvereinbarungen.
In jedem Fall sollten Sie Ihre Kunden über die Datenverarbeitung durch britische Anbieter informieren. Hierzu sind Sie ohnehin verpflichtet.
Bei Verstößen gegen diese Vorgaben haften Sie den Betroffenen gegenüber auf Schadensersatz und können mit Bußgeldern belegt werden. Solche Folgen können durch sorgfältige Prüfung vermieden werden.
Fazit
Prüfen Sie, ob die Inanspruchnahme von datenverarbeitenden Dienstleistern in Großbritannien zwingend erforderlich ist. In solchen Fällen ist auf jeden Fall Handlungsbedarf gegeben, in der Regel in Form einer Ergänzungsvereinbarung. Im Zweifel müsste die Einwilligung der Betroffenen eingeholt werden, um keine Verstöße gegen Datenschutzrecht zu begehen. Gerne prüfen wir Ihren Datenverkehr nach Großbritannien und beraten Sie hinsichtlich der sich hieraus für Sie ergebenden Pflichten. Sprechen Sie uns jederzeit an. |
Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)
E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189