Datenschutzvergehen rechtzeitig vorbeugen

Datenschutzfalle Brexit

Geordnet oder ungeordnet: Gleich, welches der möglichen Brexit-Szenarien eintrifft, der Termin für den geplanten EU-Austritt Großbritanniens naht. Auf welche datenschutzrechtlichen Implikationen Unternehmen sich einstellen müssen und wie sie Verstößen gegen die DSGVO vorbeugen können, erklärt Datenschutzexperte Haye Hösel.

  • Datenschutzfalle Brexit

    Der bevorstehende Brexit wirft nicht nur politisch viele Fragen auf. Vor allem Unternehmen sehen sich auch mit ganz neuen datenschutzrechtlichen Herausforderungen konfrontiert.

  • Datenschutzfalle Brexit

    „Im Falle eines ungeregelten Brexits kommen auf Unternehmen große datenschutzrechtliche Herausforderungen zu, auf die es sich bereits jetzt vorzubereiten gilt", warnt Haye Hösel, Gründer und Geschäftsführer der Hubit Datenschutz GmbH.

Auch wenn über die detaillierten Modalitäten noch Unklarheit herrscht, ist eines unbestritten: Das geplante Brexit-Datum rückt immer näher: Nach heutigem Stand soll Großbritannien am 29. März 2019 um 23.00 Uhr mitteleuropäischer Zeit die EU verlassen. Noch allerdings ist Frage offen, wie der Austritt vonstattengehen soll. Das Problem: London und Brüssel haben sich zwar auf einen Austrittsvertrag geeinigt, doch dieser wurde bisher nicht vom britischen Parlament gebilligt. Das bedeutet, es besteht weiterhin die Gefahr eines ungeregelten Brexits. Um dies zu vermeiden und Zeit für weitere Verhandlungen zu gewinnen, will das britische Parlament am 14. März über eine Verschiebung abstimmen. Aber selbst wenn dafür eine Mehrheit zustande käme, müssten noch immer alle EU-Staaten der Verschiebung zustimmen.

„Im Falle eines ungeregelten Brexits kommen auf Unternehmen große datenschutzrechtliche Herausforderungen zu, auf die es sich bereits jetzt vorzubereiten gilt, denn es gibt, anders als beim Inkrafttreten der DSGVO, keine Übergangsregelung“, so Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG.

Harter Brexit würde Großbritannien zum Drittland machen

Zahlreiche Unternehmen pflegen Geschäfts- und Kundenbeziehungen nach Großbritannien. Folglich übermitteln sie personenbezogene Daten wie Name, Anschrift, Geburtsdatum, Religionszugehörigkeit sowie Bankdaten dorthin. Aber auch Behörden, Vereine und Universitäten senden manchmal Daten in das Vereinigte Königreich, beispielsweise wenn sie mit Anbietern für IT-Leistungen zusammenarbeiten, die ihren Sitz dort haben oder bestimmte Leistungen von Rechenzentren mit dortigem Sitz in Anspruch nehmen.

Im Falle eines harten Brexits erhält Großbritannien gemäß der Datenschutz-Grundverordnung (DSGVO) über Nacht den Status eines Drittlandes, sodass eine Datenübermittlung nicht mehr ohne Weiteres stattfinden kann. Stattdessen greifen die Artikel 44 bis 50 der EU DSGVO. Artikel 44 besagt, dass „[j]edwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, […] nur zulässig [ist], wenn der Verantwortliche und der Auftragsverarbeiter die […] niedergelegten Bedingungen einhalten und auch die […] Bestimmungen dieser Verordnung eingehalten werden“. Das bedeutet, die Übermittlung der Daten könnte zwar weiterhin stattfinden, unterläge jedoch speziellen Regeln, damit die betroffenen Personen Schutz erfahren. „Um diesen zu garantieren, müssen Unternehmen verschiedenste Schutzmaßnahmen treffen. Hierunter fallen unter anderem EU-Standardvertragsklauseln oder sogenannte Binding Corporate Rules, also verbindliche interne Datenschutzvorschriften. Letztere müssen jedoch durch eine Aufsichtsbehörde genehmigt werden“, erklärt Hösel.

Ausweg Angemessenheitsbeschluss?

Für die Zukunft gilt es durch die EU-Kommission zu klären, ob das Datenschutzniveau Großbritanniens dem der EU entspricht. Sollte sie diesbezüglich zu einer positiven Antwort kommen, darf „eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation […] vorgenommen werden“. In diesem Fall verfasst die Kommission einen sogenannten Angemessenheitsbeschluss, der die Übermittlung personenbezogener Daten in das Vereinigte Königreich ohne besondere Einschränkungen zuließe. „Diese Entscheidung trifft die EU jedoch aller Voraussicht nach erst nach einem vollzogenen Austritt. Infolgedessen wird es eine Übergangsphase geben, in der Großbritannien datenschutzrechtlich als Drittland behandelt wird – selbst wenn die EU irgendwann ein Angemessenheitsbeschluss verfasst“, erläutert der zertifizierte Datenschützer.

Datenschutzrechtsverletzung verhindern – Maßnahmen treffen

Um eine Verletzung der Datenschutzrechte zu vermeiden, empfiehlt es sich für Unternehmen, bereits jetzt einige Maßnahmen zu ergreifen. So gilt es im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung der Website über die Datenübermittlung in ein Drittland zu informieren. Darüber hinaus muss das Verzeichnis von Verarbeitungstätigkeiten Datenübermittlungen in Drittländer – also Großbritannien – auflisten. Gegebenenfalls muss zudem eine Ergänzung oder Neu-Durchführung der Datenschutz-Folgenabschätzung erfolgen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok