Unternehmensberatung - IT Consulting · Datenschutz und Compliance
 

Datenschutzempfehlungen zum Austritt Großbritanniens aus der EU (BREXIT)

Ab dem 30.03.2019 ist das Vereinigte Königreich nicht mehr Mitgliedsstaat der Europäischen Union (EU) und damit auch nicht mehr Teil der für die Mitgliedsstaaten geltenden Regelungen der Europäischen Datenschutzgrundverordnung (EU DSGVO). Da derzeit, bei einem ungeregelten Austritt (BREXIT), auch nicht mit einem zum Stichtag exzitierenden Angemessenheitsbeschluss zu rechnen ist wird Großbritannien dann unmittelbar zu einen Drittland im Sinn der EU DSGVO.

Datenübermittlungen in Drittländer stellen andere Anforderungen an die Zulässigkeit als dies für Datenübermittlungen innerhalb der EU/EWR gilt.

Gibt es für die Datenübermittlung geeignete Garantien?
Geeignete Garantien sind Binding Corporate Rules, Standardvertragsklauseln der EU-Kommission, genehmigte Verhaltensregeln, einzeln ausgehandelte Vertragsklauseln oder Verwaltungsvereinbarungen.

Darf die Datenübermittlung in Ausnahmefällen auch ohne geeignete Garantien erfolgen?
Die Datenübermittlung in ein Drittland darf in Ausnahmefällen auch ohne Vorliegen geeigneter Garantien zum Schutz der Daten erfolgen, wenn die Voraussetzungen eines der folgenden Ausnahmetatbestände aus Art. 49 EU DSGVO erfüllt sind: Einwilligung, Vertragserfüllung, wichtige Gründe des öffentlichen Interesses, Verfolgung von Rechtsansprüchen, Schutz lebenswichtiger Interessen oder Wahrung zwingender berechtigter Interessen

Welche Dokumentationen sind anzupassen?
• Die Informationspflichten nach Art. 13 bzw. Art. 14 EU DSGVO sind zu prüfen und falls notwendig um die Datenübermittlung in Drittländer zu ergänzen.
• Das Verzeichnis der Verarbeitungstätigkeiten aus Art. 30 EU DSGVO ist um die ANgaben für Datenübermittlungen in Drittländer anzupassen.
• Bei Auskunftsersuchen ist zu Prüfen, ob Datenübermittlungen nach Großbritannien stattfinden/stattgefunden haben und die betroffenen Anfragenden sind darüber zu informieren.

Was ist jetzt zu tun?
• Prüfen Sie z.B. anhand des Verzeichnisses der Verarbeitungstätigkeiten, ob Sie Dienstleister zur Aufgabenerfüllung einsetzen, die Ihren Sitz in Großbritannien haben (z.B. Internetprovider)
• Stellen Sie bestehende Vertragliche Regelungen zu Auftragsverarbeitung auf EU Standardvertragsklauseln um (auch, wenn diese noch als offenen Fragen bei EuGH zu bewerten sind)
• Passen Sie Die Informationspflichten aus Art. 13 und Art. 14 EU DSGVO an.