Brexit und DSGVO

Am 31. Dezember 2020 lief die Übergangsfrist aus: Zum Ende des Jahres 2020 ist Großbritannien aus der EU ausgetreten. Für Unternehmen ist der Ausstieg aus der EU mindestens doppelt so interessant wie für Privatpersonen, denn mit der EU kehrt das Königreich auch der DSGVO den Rücken zu.

Damit können für Unternehmen große Umstrukturierungen in den Datenprozessen nötig werden. Noch ist offen, welche langfristigen Folgen der Brexit auf die DSGVO in Großbritannien haben wird. Wir zeigen Ihnen hier die möglichen Optionen auf, um weiterhin mit Externen aus dem Königreiche zusammenzuarbeiten und wie Sie sich schnellstmöglich auf die Alternativen vorbereiten können.

Brexit beendet DSGVO-Pflicht in Großbritannien

Bisher galt in Großbritannien die DSGVO, womit der Datenfluss zwischen dem EU-Mitgliedsland und anderen EU-Ländern wie Deutschland weitestgehend unbeschränkt und datenschutzkonform fließen konnte. Das war in Bezug auf Deutschland vor allem dann der Fall, wenn deutsche Unternehmen Dienstleister in Großbritannien als Auftragsverarbeiter eingesetzt haben oder Cloud-Lösungen von britischen Unternehmen bzw. Unternehmen mit einem britischen Serverstandort genutzt wurden.

Tritt nun der Brexit ein, gilt die DSGVO nicht mehr als gemeinsame Rechtsgrundlage. Wie sollen deutsche Unternehmen nun also den Datenschutz gemäß DSGVO weiterhin einhalten, wenn sie mit britischen Dienstleistern, Unternehmen oder anderen Externen zusammenarbeiten?

DSGVO nach Brexit: Übergangsfrist bis Sommer 2021

Die Problematik ist bekannt, kurz vor Jahresende trat das „EU-UK Trade and Cooperation Agreement“ in Kraft. Dort ist u. a. eine sechs Monate lange Übergangszeit geregelt, in der Großbritannien in Sachen Datenschutz weiterhin als EU-Mitgliedsland und nicht als Drittland betrachtet wird. In diesem Zeitraum wird davon ausgegangen, dass die Datenschutzbestimmungen Großbritanniens sich weiterhin auf dem Niveau der DSGVO bewegen.

Zuletzt führte das Land die DSGVO zu weiten Teilen in nationales Recht über, weshalb diese Annahme sehr realistisch ist. Bis Mitte 2021 müssen Unternehmen also zunächst keine weiteren Maßnahmen treffen, um Daten datenschutzkonform nach Großbritannien zu transferieren. Was nach Ablauf dieser Übergangsfrist geschieht, ist aktuell nicht klar. Es gibt zwei Optionen.

Option 1: Erlass eines Angemessenheitsbeschluss

Spätestens nach dem Ablauf der Übergangsfrist kann die Europäische Kommission für Großbritannien einen Angemessenheitsbeschluss erlassen. Damit würde die EU anerkennen, dass sich die nationalen Datenschutzbestimmungen des Königreiches auch weiterhin auf dem Niveau der DSGVO befinden. Demnach sind die britischen Datenschutzregelungen dann angemessen genug, um den Datenverkehr zwischen EU-Mitgliedsstaaten und dem Drittland wie bisher weiterzuführen.

Ob ein solcher Angemessenheitsbeschluss erlassen wird, ist offen. Zwar zeigt Großbritannien guten Willen, da es die Regelungen der DSGVO vor dem Brexit zu großen Teil ins nationale Recht überführt hat. Jedoch hat der 2016 verabschiedete „Investigatory Powers Act“ dem britischen Staat weitreichende Möglichkeiten zur Vorratsdatenspeicherung eingeräumt. Es folgte scharfe Kritik von Seiten der Datenschützer und eine Rüge des Europäischen Gerichtshofs für Menschenrechte. Zudem zeigte sich erst im vergangenen Jahr am gekippten EU-US-Privacy-Shield für Datenübermittlungen, wie schwierig ein solcher Angemessenheitsbeschluss durchzusetzen ist.

Checkliste zum „Schrems II“ Urteil EU-US-Privacy-Shield-Beschluss
Checkliste zum „Schrems II“ Urteil EU-US-Privacy-Shield-Beschluss

„Schrems II“ Urteil EU-US-Privacy-Shield-Beschluss: Für die nächsten Schritte möchten wir Informationen und Hilfestellungen an die Hand geben. Nutzen Sie unsere Checkliste zur Abfrage der zulässigen Datenübermittlung in Drittländer um eine Entscheidungsgrundlage für die Nutzung eingesetzter Tools / Software zu haben.
ShapeMinds ShapeMinds

Option 2: Nach Brexit DSGVO-Garantien prüfen

Wird nach dem Ende der Übergangszeit kein Angemessenheitsbeschluss erlassen, müssen Unternehmen andere Möglichkeiten in Betracht ziehen. Um nach dem Brexit die DSGVO im Datenaustausch mit Großbritannien weiterhin einhalten zu können, müssen dann „geeignete Garantien“ festgehalten werden, die in Art. 46 DSGVO geregelt werden.

Danach „darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.“

DSGVO-Garantien für Zusammenarbeit mit Drittländern

  • Standarddatenschutzklauseln
  • Verbindliche unternehmensinterne Regelungen (Binding Corporate Rules, BCR)
  • genehmigte Verhaltensregeln
  • Zertifizierungen

Was können Unternehmen jetzt vorbereiten?

Bereits jetzt können deutsche Unternehmen proaktiv handeln. Im ersten Schritt hilft es sich ein Bild davon zu machen, wann und in welchen Bereichen ein Datenfluss zwischen dem eigenen Unternehmen und Großbritannien stattfindet. Die notwendigen Informationen sind im Verarbeitungsverzeichnis zu finden. Anschließend sollte geprüft werden, ob die DSGVO nach dem Brexit ohne Angemessenheitsbeschluss weiterhin eingehalten werden kann oder es kritische Strukturen gibt.

Mit großer Wahrscheinlichkeit müssen Auftragsverarbeitungsverträge oder Verträge mit gemeinsam Verantwortlichen abgeändert sowie Datenschutzerklärungen, Verarbeitungsverzeichnisse und Datenschutz-Folgeabschätzungen aktualisiert werden. Für den Nachweis der sorgfältigen Prüfung sollten Datenschutzbeauftragte die Ergebnisse der Prüfung in jedem Fall schriftlich festhalten werden.

 

Möchten Sie rechtzeitig prüfen lassen, welche Auswirkungen der Brexit auf den Datenschutz in Ihrem Unternehmen hat? Wir beraten Sie gern und beantworten Ihnen Ihre Fragen.
Kontaktieren Sie uns gern und machen Sie einen Termin aus.
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: