Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Aron Van de Pol, Unsplash
Brexit & Datenschutz: Was für Sie zu tun ist
Der Thriller Brexit geht weiter. Die Übergangsphase des Austrittabkommens endet zum Jahresende. Noch gibt es keine Einigung zwischen der britischen Regierung und der EU-Kommission und ein „kalter Brexit“ ist nicht ausgeschlossen. Daher sollten Sie auf alles gefasst sein und sich schon jetzt vorbereiten, damit Sie den Datenschutz auch im neuen Jahr einhalten können und keine bösen Überraschungen erleben. Wie das geht? Wir beantworten die wichtigsten Fragen für Sie und zeigen Ihnen mit 5 Tipps, wie Sie sich vorbereiten können.
Was geschieht am Ende der Übergangsphase?
Das kommt drauf an. Bisher gilt während der Übergangsphase weiterhin die DSGVO als unmittelbar anwendbares Recht und Großbritannien wird wie ein EU-Mitgliedsstaat behandelt. Die Zukunft ist allerdings ungewiss. Wie genau die Zusammenarbeit in Sachen Datenschutz aussehen soll, muss noch geklärt werden.
Hier gibt es zwei Möglichkeiten:
- Die EU-Kommission attestiert Großbritannien durch einen Angemessenheitsbeschluss ein mit der DSGVO vergleichbares Datenschutzniveau. Dann gilt Großbritannien als „sicheres Drittland“ und Datenverarbeitungen sind wie bisher ohne weitere Vorkehrungen möglich.
- Die EU-Kommission und Großbritannien erreichen keine Einigkeit über die datenschutzrechtliche Einstufung Großbritanniens, wodurch es kein sicheres Drittland wird. Das hätte weitgehende Konsequenzen und es müssten weiter Vorkehrungen getroffen werden, um die Einhaltung des Datenschutzes zu sichern.
Nach aktueller Stellungnahme der britischen Datenschutzbehörde Information Commissioner’s Office (ICO) bemüht sich Großbritannien um den Status als „sicheres Drittland“. Der Data Protection Act 2018, der die DSGVO aktuell innerhalb Großbritanniens ergänzt, soll auch in Zukunft gelten. Zusätzlich soll die DSGVO als UK DSGVO in nationales Recht übertragen werden und den Data Protection Act ergänzen. Das würde bedeuten, dass sich die bestehende Praxis auch in Zukunft kaum ändern würde. Aber auch Möglichkeit zwei steht noch im Raum.
Was ändert sich, wenn es keine Einigung gibt?
Ohne Einigung ändert sich die Zusammenarbeit von deutschen und britischen Unternehmen mit datenschutzrechtlich relevanten Berührungspunkten grundlegend. Diese Unternehmen müssen auf andere Instrumente der DSGVO zurückgreifen, um personenbezogene Daten rechtmäßig zu übermitteln. Dabei sollten folgende Bestimmungen der Art. 44 ff. DSGVO beachtet werden:
- Vorliegen geeigneter Garantien, z.B. EU-Standarddatenschutzklauseln
- Datenübermittlung innerhalb eines Konzerns bei Vorliegen von Binding Corporate Rules
- Ausnahmen für bestimmte Fälle, wie die ausdrückliche Einwilligung der betroffenen Person oder die Übermittlung zur Erfüllung eines Vertrages mit der betroffenen Person
Werden diese Vorgaben nicht erfüllt, kann es schnell teuer werden. Denn dann droht ein Bußgeld von bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Das können Sie aber vermeiden!
Müssen sich Unternehmen aus Großbritannien weiterhin an die DSGVO halten?
Die Antwort lautet ganz klar: ja. Obwohl Großbritannien den Europäischen Wirtschaftsraum verlässt, gilt die DSGVO. Der räumliche Anwendungsbereich folgt neben dem Territorialprinzip auch dem Marktortprinzip. Demnach gilt die DSGVO auch für alle Unternehmen, die zwar nicht in der EU sitzen, sich aber mit Waren oder Dienstleistungen an in der EU befindliche Personen richten oder deren Verhalten beobachten. Daran kann auch nationales britisches Recht nichts ändern.
Wie können Sie sich vorbereiten?
Die britische Regierung strebt zwar einen Angemessenheitsbeschluss an, aber der muss nicht passend zum Ende der Übergangsphase vorliegen. Das kann sich schnell in die Länge ziehen. Durchschnittlich dauert es über zwei Jahre bis die EU-Kommission einen derartigen Beschluss verabschiedet. Mit Ende der Übergangsphase wird Großbritannien aber nicht mehr wie ein EU-Mitgliedsstaat behandelt.
Und hier kommen Sie ins Spiel. Mit den folgenden 5 Tipps können Sie sich optimal vorbereiten:
- Identifizieren Sie, ob Ihr Unternehmen Daten nach Großbritannien übermittelt und um welche Daten es sich handelt.
- Prüfen Sie, ob alle Datenübermittlungen nach Großbritannien erforderlich sind. Nicht erforderliche Übermittlungen sollten Sie mit Blick auf den Datenminimierungsgrundsatz unterlassen.
- Treffen Sie die nötigen rechtlichen Vorkehrungen, um das Datenschutzrecht zu gewährleisten. Passen Sie beispielsweise die Information der Datenverarbeitung, das Muster zur Auskunftserteilung sowie das Verzeichnis von Verarbeitungstätigkeiten an.
- Halten Sie sich an die Anforderungen an die Datenübermittlung in Drittstaaten. Vor allem die Schaffung geeigneter Garantien dauert in der Regel seine Zeit. Kümmern Sie sich also rechtzeitig!
- Prüfen Sie das Datenschutzniveau Großbritanniens, wenn Sie Standarddatenschutzklauseln verwenden wollen. Laut Europäischem Gerichtshof sind Sie für diese Prüfung verantwortlich. Stellen Sie sicher, ob Garantien ausreichen oder ob Sie weitere Maßnahmen treffen müssen.
Die Zeit drängt und es ist viel zu tun. Lassen Sie das Ende der Übergangsphase nicht tatenlos verstreichen und stellen Sie sich schon jetzt auf alle Möglichkeiten ein. Nur so können Sie sicherstellen, dass es nicht zu Datenschutzverstößen kommt und Sie keine teuren Bußgelder zahlen müssen.