Die DSGVO und der Brexit

Am 01.01.2021 ist der Brexit-Deal wirksam geworden. Viele Unternehmen verarbeiten auch weiterhin Daten über Stellen im United Kingdom. Wir erläutern Ihnen, welche Verarbeitungsprozesse Sie einer genauen Prüfung unterziehen müssen und wie Sie mit dem Datenschutz in Zeiten des Brexit umgehen müssen.

Konsequenzen des Brexits

Nach der Datenschutzgrundverordnung (DSGVO) ist der innereuropäisch grenzüberschreitende Datenverkehr ohne weiteres zulässig. Belanglos ist also, ob Sie ein deutsches oder etwa ein spanisches Unternehmen auswählen, um Datenverarbeitungen durchzuführen. 

Anders ist dies, wenn Sie personenbezogene Daten in Großbritannien verarbeiten, speichern oder Sie dort mit Unternehmen zusammenarbeiten und z.B. eine gemeinsame Cloud betreiben. Nach dem Austritt des Vereinigten Königreichs handelt es sich hierbei um ein Drittland, sodass Unternehmen bei grenzüberschreitendem Datentransfer ein geeignetes Datenschutzniveau garantieren müssen. Eine Übergangsregelung fingiert dies bis zum 30.06.2021, die Verhandlungen über eine Verlängerung dieses „Angemessenheitsbeschlusses“ sind jedoch am 20.05.2021 gescheitert, sodass das UK nach aktuellem Stand der Dinge ab dem 01.07.2021 als unsicherer Drittstaat gilt.

Gewährleistung des angemessenen Datenschutzniveaus

In der Folge müssen Sie das angemessene Datenschutzniveau anderweitig garantieren, nämlich durch eine der folgenden Varianten:

• Zwingende Verarbeitung zur Vertragserfüllung bei UK-Beteiligung, also bei Auftragnehmern oder Auftraggebern aus dem UK ohne Verarbeitung von Fremddaten (z.B. Hotelbuchung, nicht jedoch Outsourcing).
• Gesonderte, ausdrückliche und einzelfallbezogene Einwilligung der betroffenen Person zur Verarbeitung der Daten in einem nicht sicheren Drittland nebst Risikobelehrung.
• Durch unveränderte Verwendung von sogenannten Standarddatenschutzklauseln, die von der EU-Kommission oder von Aufsichtsbehörden vorgegeben werden, kann ein Vertrag zwischen dem Datenübermittler und dem empfangenden Unternehmen ein ausreichendes Datenschutzniveau im Einzelfall garantieren. Die Verpflichtungen hieraus sind jedoch sehr weitgehend.
• Auch intern verpflichtende Regelungen („Binding Corporate Rules“) gewährleisten ein ausreichendes Datenschutzniveau, wenn sie seitens der zuständigen Aufsichtsbehörde in einem aufwendigen Verfahren genehmigt wurden. Der Aufwand für kleine und mittelständische Unternehmen im Rahmen dieser Maßnahme dürfte jedoch kaum rentabel sein.
• Gesetzlich vorgesehen ist überdies eine Zertifizierung des Datenschutzniveaus des Datenempfängers im Rahmen des Übertragungsprozesses. Geeignete Prüfverfahren und ‑stellen befinden sich jedoch nach wie vor in der Entwicklungsphase.

Folgen

Prüfen Sie, ob Ihre Partner, insbesondere Auftragsdatenverarbeiter im Vereinigten Königreich sitzen oder Übertragungen von Daten nach Großbritannien durchführen. Hier besteht gegebenenfalls Anpassungsbedarf in Form von Ergänzungsvereinbarungen.

In jedem Fall sollten Sie Ihre Kunden über die Datenverarbeitung durch britische Anbieter informieren. Hierzu sind Sie ohnehin verpflichtet.

Bei Verstößen gegen diese Vorgaben haften Sie den Betroffenen gegenüber auf Schadensersatz und können mit Bußgeldern belegt werden. Solche Folgen können durch sorgfältige Prüfung vermieden werden.
 

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189