Select Page

DSGVO und Brexit – das ändert sich für Unternehmen

DSGVO und Brexit – das ändert sich für Unternehmen

Der Austritt des Vereinigten Königreichs aus der Europäischen Union am 29. März 2019 rückt immer näher. Als das britische Parlament Mitte Januar 2019 über den von Premierministerin Theresa May ausgehandelten Brexit-Deal mit der EU abstimmte, kam es zu einem eindeutigen Ergebnis – no Deal. Doch Fakt ist: beim Brexit liegt noch vieles im Unklaren. 

Dieses Votum könnte möglicherweise einen ungeregelten Austritt Großbritanniens aus der EU zur Folge haben. Doch welche Konsequenzen hat diese Entscheidung für deutsche bzw. europäische Unternehmen?

Data-Brexit – was ändert sich?

Nach der Ablehnung des Brexit-Deals warnt Achim Berg, Präsident des Digitalverbands „Bitkom“ (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien) in einem offiziellen Statement vor einem „Datenchaos“.

Deutsche Unternehmen müssen im Falle eines harten Brexits ihre britischen Geschäftspartner, Kunden, dortige Rechenzentren oder IT-Dienstleister so behandelt, als säßen sie außerhalb der EU. Ganze 14 Prozent – also jedes siebte deutsche Unternehmen, pflegt derartige Geschäftsbeziehungen zu Großbritannien und ist daher unmittelbar von den Auswirkungen des Brexits betroffen.

Aus datenschutzrechtlicher Perspektive gilt Großbritannien ab dem 30. März 2019 als sogenannter „unsicherer Drittstaat“ gegenüber Deutschland und der EU.

Um weiterhin einen sicheren Datentransfer mit Großbritannien zu gerechtfertigen, ist das Vorliegen eines angemessenen Datenschutzniveaus nicht ausreichend. Hierfür ist nun ein „Angemessenheitsbeschluss“ der EU-Kommission gemäß Artikel 46 DSGVO notwendig.

Aktuell existieren solche Angemessenheitsbeschlüsse nur für wenige Länder, da zähe und umfangreiche Verhandlungen notwendig sind, um solch einen Beschluss zu festigen. Ein Beispiel hierfür ist die Vereinbarungen zwischen den USA und der EU, die im „EU US Privacy Shield“ festgehalten ist. 

Mittel- bis langfristig könnte ein Angemessenheitsbeschluss die Lage zumindest in Hinsicht des Datentransfers zwischen der EU und Großbritannien entspannen. Die britische Datenschutzbeauftragte Elizabeth Denham verkündete jedoch, dass Verhandlungen zu einem etwaigen Angemessenheitsbeschluss erst im Falle eines harten Brexits aufgenommen werden.

Für den sicheren und legalen Datentransfer, unmittelbar nach einem eventuellen harten Brexit, werden daher andere Maßnahmen erforderlich. Beispielsweise durch die Implementierung von EU-Standardvertragsklauseln oder in Form von Binding Corporate Rules.

Binding Corporate Rules und Standardvertragsklauseln

Unternehmen müssen im Falle eines harten Brexits sämtliche Datentransfers eigenständig klären. Hierfür gibt es mehre Möglichkeiten. Unternehmen können beispielsweise auf selbst erarbeitete und verbindliche Unternehmensregelungen, sogenannte „Binding Corporate Rules“ (BCR) zurückgreifen. In Artikel 47 der DSGVO werden BCR rechtmäßig als Möglichkeit für den Datentransfer in Drittländer anerkannt.

Es gilt allerdings zu beachten, dass die BCR von der EU-Kommission genehmigt werden müssen. Aus diesem Grund sollten Unternehmen, für die diese Möglichkeit in Frage kommt, umgehend BCR ausarbeiten und der Kommission zur Prüfung einreichen.

Was bereits existierende BCR betrifft, gibt Großbritannien Unternehmen einen Grund zum aufatmen. Die Regierung kündigte an, dass diese auch im Fall eines harten Brexits im nationalen Recht anerkannt werden und somit weiterhin ihre Gültigkeit behalten.

Eine weitere Möglichkeit für legalen und sicheren Datentransfer mit Großbritannien sind Standardvertragsklauseln. Darunter sind von der EU-Kommission erarbeitete und zur Verfügung gestellte Verträge zu verstehen, die Klauseln zur Einhaltung des in der EU geltenden Datenschutzniveaus beinhalten. 

Die Verträge stehen auf der Homepage der Kommission zum Download zur Verfügung und müssen im Einzelfall von den Unternehmen um die zu verarbeitenden Daten, die Empfänger und weitere Angaben ergänzt werden. Solche Standardvertragsklauseln dürfen dann genehmigungsfrei für die Datenübermittlung aus der EU in ein Drittland genutzt werden. 

Insgesamt stellen Standardvertragsklauseln eine rechtssichere Alternative zu einem Angemessenheitsbeschluss dar und bieten Unternehmen somit eine Möglichkeit, sich auf den Brexit vorzubereiten. 

Harter Brexit – was ist datenschutzrechtlich zutun? 

  • 1. Bestandsaufnahme: Prüfen Sie zunächst, ob der Brexit auf Datentransfer-Ebene für Ihr Unternehmen relevant ist. Das ist dann der Fall, wenn Sie personenbezogene Daten nach Großbritannien übermitteln oder dort ansässigen Unternehmen Zugriff auf diese Daten gewähren. Dafür müssen Sie nicht unbedingt über eine Niederlassung in Großbritannien verfügen. Auch durch die Nutzen von Cloud- und SaaS-Diensten aus Großbritannien sind Sie aus datenschutzrechtlicher Sicht durch den Brexit betroffen.
  • 2. Geeignetes Transfer-Instrument ermitteln: Die für den gesetzeskonformen Daten-Transfer erforderlichen Maßnahmen lassen sich nicht ad hoc umsetzen. Binding Corporate Rules oder Standardvertragsklauseln bedürfen einer sorgfältigen Planung und gegebenenfalls sogar einer Abstimmung mit den beteiligten Datenempfängern der UK. Um im Falle eines harten Brexits bestmöglich gewappnet zu sein, sollten betroffene Unternehmen also umgehend handeln und die nötigen Umsetzungsmaßnahmen ergreifen.
  • 3. DSGVO-konform bleiben: Ein effektives Datenschutz-Management, das die Umsetzungsmaßnahmen auf die DSGVO hin kontinuierlich überprüft und anpasst, sollte von jedem Unternehmen eingeführt werden. Die hohen datenschutzrechtlichen Anforderungen der DSGVO werden sich schließlich durch den Brexit nicht ändern. Auch im Falle eines harten Brexits bieten die Regularien der DSGVO genug Möglichkeiten, die Datenübermittlung nach Großbritannien auf ein rechtlich sicheres Fundament zu stellen. Unternehmen müssen jedoch eigenständig aktiv werden und diese Instrumente schnellstmöglich umsetzen.

Es bleibt keine Zeit mehr zu hoffen, dass Großbritannien und die EU Fragen rund um das Thema Datenschutz vertraglich oder gesetzlich regeln. Aus diesem Grund sollten Sie jetzt handeln und sich datenschutzrechtlich auf einen harten Brexit vorbereiten.

Natürlich laufen Sie damit in Gefahr, dass im Falle einer Regelung, Teile Ihrer Arbeit umsonst gewesen sind. Das ist jedoch allemal besser, als bußgeldträchtige Gesetzesverstöße zu begehen oder den Datentransfer zum Stichtag einfach einzustellen.

Benötigen Sie Unterstützung beim Thema DSGVO-konforme Datenhaltung? Als zertifizierter IT-Dienstleister beraten wir Sie vollumfänglich und individuell.

Über den Autor

Lina Schaefer

Durch Einblicke in aktuelle Themen der IT sollen Trends & Entwicklungen durch meine Beiträge leichter verständlich und für jedermann zugänglich gemacht werden.

Hinterlassen Sie uns einen Kommentar:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.