Mit Ablauf des 29. März 2019 wird Großbritannien aus der Europäischen Union ausscheiden. Sollte es bis dahin nicht gelingen, den Austritt durch ein Abkommen zu regeln, welches auch datenschutzrechtliche Regelungen enthält, wird Großbritannien mit der Loslösung aus dem seit Jahrzehnten bestehenden europäischen Binnenmarkt aus Sicht der Datenschutz-Grundverordnung (DSGVO) zu einem Drittstaat.
Dies hätte zur Folge, dass Unternehmen hinsichtlich der Datenübertragung nach Großbritannien die Einhaltung der besonderen, für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen der Art. 44 ff. DSGVO sicherstellen müssten.
Demgegenüber wird nach Angaben der britischen Regierung die derzeitige Praxis, welche den freien Datenverkehr von Großbritannien in die Europäische Union hin ermöglicht, auch bei einem ungeregelten Austritt fortgesetzt.
Der Europäische Datenschutzausschuss (EDSA) hat sich im Rahmen seiner Februar-Sitzung mit den Folgen eines „harten“ Brexit auseinandergesetzt. Man einigte sich auf datenschutzrechtliche Informationen, welche auf der Webseite des EDSA bereits veröffentlicht wurden. Diese Informationen sollen die Unternehmen anhalten, bereits jetzt die nötigen Vorkehrungen zu treffen, damit Datenübermittlungen nach Großbritannien auch weiterhin im Einklang mit den Vorgaben der DSGVO stehen.
Der EDSA empfiehlt datenverarbeitenden Unternehmen zunächst, sich einen Überblick darüber zu verschaffen, im Rahmen welcher Verarbeitungstätigkeiten personenbezogene Daten nach Großbritannien übermittelt werden. Sodann muss die für diese Übermittlung geeignete Datenübertragungsgrundlage bestimmt und angewendet werden. Die Datenübermittlungen nach Großbritannien sollten zudem intern dokumentiert sowie extern in Form von Datenschutzerklärungen und -hinweisen kommuniziert werden.
Ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO existiert für Großbritannien derzeit nicht. Aus diesem Grund muss zur Sicherstellung der Einhaltung eines angemessenen Datenschutzniveaus eine der folgenden Garantien die Übertragungsgrundlage bilden: Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) und d) DSGVO), verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b) DSGVO), oder Verhaltensregeln und Zertifizierungsmechanismen (Art. 46 Abs. 2 lit. e) und f) DSGVO). Geeigneter Garantien bedarf es nicht, wenn eine Ausnahmeregelung nach Art. 49 DSGVO eingreift.
Unternehmen können die drei durch die Europäische Kommission bereits veröffentlichten Standarddatenschutzklauseln (Dokument 32001D0497, Dokument 32004D0915, Dokument 32010D0087) verwenden. Soweit mit britischen Unternehmen „alte“ Vereinbarungen zum Datentransfer bestehen, sollten die bestehenden Vertragswerke kurzfristig um die Klauselwerke der Europäischen Kommission ergänzt werden. Hierbei ist insbesondere zu beachten, dass diese nicht inhaltlich verändert werden, oder dem gesamten Vertragswerk widersprechen dürfen.
Gleichwohl können auch abgeänderte Standarddatenschutzklauseln geeignete Garantien bieten (Art. 46 Abs. 2 lit. d) DSGVO). In diesem Fall müssen die Klauseln von der nationalen Aufsichtsbehörde nach Genehmigung des EDSA angenommen werden.
Soweit sich ein Teil einer Unternehmensgruppe in Großbritannien befindet und zwischen den Unternehmensteilen ein Austausch personenbezogener Daten stattfindet, bieten sich verbindliche interne Datenschutzvorschriften als geeignete Garantien an. Hierbei handelt es sich um Richtlinien, welche von einer Unternehmensgruppe in Bezug auf Datenübermittlungen innerhalb der eigenen Unternehmensgruppe, (aber möglicherweise auch außerhalb der Europäischen Union), eingehalten werden. Sie stellen geeignete Garantien dar, sobald sie von der nationalen Aufsichtsbehörde nach Stellungnahme des EDSA genehmigt wurden. Tiefergehende Informationen hierzu hat der EDSA auf seiner Webseite veröffentlicht.
Der EDSA arbeitet derzeit noch an Leitlinien, welche die nähere Ausgestaltung der angemessenen Garantien in Form von Verhaltensregeln und Zertifizierungsmechanismen, die durch die DSGVO neu eingeführt wurden, konkretisieren.
Hinsichtlich des Eingreifens eines Ausnahmetatbestands müssen Unternehmen vorsichtig sein: die Ausnahmetatbestände des Art. 49 DSGVO sind restriktiv auszulegen und beziehen sich regelmäßig nur auf gelegentliche Verarbeitungstätigkeiten. Hierzu zählen bspw. die informierte Einwilligung der betroffenen Person, die Notwendigkeit der Übertragung zur Vertragserfüllung oder die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses.
Unternehmen, die personenbezogene Daten nach Großbritannien transferieren, sollten sich mit den Informationen des EDSA umgehend auseinanderzusetzen und die notwendigen datenschutzrechtlichen Maßnahmen alsbald ergreifen. Denn im immer wahrscheinlicher werdenden Falle eines „No-Deal-Szenarios“ heißt es nach Angaben des stellvertretenden Bundesbeauftragten für den Datenschutz, Jürgen H. Müller: „Es wird keine Übergangszeit geben, in der die Datenschutzaufsichtsbehörden Übermittlungen ohne entsprechende Schutzmaßnahmen tolerieren können.“
Kontakt
Goltsteinstraße 14 | 40211 Düsseldorf
Tel: +49 2 11 5 18 82-0 | Fax: +49 2 11 5 18 82-100
E-Mail: duesseldorf@hoffmannliebs.de
Partnerschaften
Informationen
© 2024 Hoffmann Liebs Partnerschaft von Rechtsanwälten mbB
Wir benötigen Ihre Zustimmung, bevor Sie unsere Website weiter besuchen können. Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.