Neues zum Datenschutzrecht
15.3.2019
Brexit: Datenschutzrechtlich alles klar?!
Ob und wie der Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der EU erfolgt, ist immer noch nicht entschieden. Unzweifelhaft ist dagegen die datenschutzrechtliche Relevanz für Unternehmen, die personenbezogene Daten von Kunden, Geschäftspartnern und Beschäftigten nach Großbritannien übermitteln oder IT-Leistungen in Anspruch nehmen, die von Anbietern in Großbritannien erbracht werden.
Im Fokus stehen die Frage, wie zukünftig eine rechtmäßige Weitergabe personenbezogener Daten realisiert werden kann und welche weiteren Besonderheiten zu beachten sind, die im weitesten Sinne unter dem Stichwort „Datenschutzorganisation“ gefasst werden können. Dabei sind zwei Szenarien zu unterscheiden:
Geregelter Austritt
Im Fall eines geregelten Austritts („Deal“) gilt nach dem aktuell vorliegenden Entwurf eines Austrittsabkommens zwischen der EU und dem Vereinigten Königreich Großbritannien und Nordirland für einen Übergangszeitraum bis Ende 2020 weiterhin die Datenschutz-Grundverordnung. Bis dahin gelten die Vorgaben der Datenschutz-Grundverordnung im Vereinigten Königreichs Großbritannien und Nordirland vollumfänglich und sind so anzuwenden, als handele es sich weiterhin um ein Mitgliedstaat der EU. Das bedeutet, während des Übergangszeitraums treten noch keine datenschutzrechtlichen Änderungen ein. Insbesondere dürfen personenbezogene Daten unter denselben Voraussetzungen wie bislang übermittelt werden.
Ungeregelter Austritt
Im Fall eines ungeregelten Austritts („No Deal“) kommt die vorstehend erwähnte und bislang lediglich im Entwurf vorliegende Übergangsregelung des Austrittsabkommens nicht zum Tragen. Das Vereinigte Königreich Großbritannien und Nordirland wird zum Drittland. Darauf weisen auch der Europäische Datenschutzausschuss (EDSA) und die deutschen Datenschutzaufsichtsbehörden zutreffend hin – verbunden mit der Information, dass die Aufsichtsbehörden Datenübermittlungen per Anordnung aussetzen und Geldbußen verhängen könnten. Für eine rechtmäßige Datenübermittlung müssen zusätzlich zu den allgemeinen Vorgaben die Voraussetzungen gemäß Art. 44 ff. DSGVO erfüllt sein. Die Zulässigkeit einer Datenweitergabe in Drittländer ist zweistufig zu prüfen. Über Details dieser Prüfung sowie weitere relevante Aspekte für die Datenschutzorganisation im Fall eines ungeregelten Austritts, z.B. die Anpassung der Informationen zur Datenverarbeitung, habe ich sie bereits in den News am 14.12.2018 informiert.
Sollten Sie Fragen zu den datenschutzrechtlichen Konsequenzen des Austritts Großbritanniens aus der EU haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.