Datenschutz: Durch Brexit wird UK zum Drittland
Privilegierter Datentransfer innerhalb der EU
Der Datentransfer innerhalb der EU erfordert (nur) eine Rechtsgrundlage, die Information des Betroffenen und die Aufnahme des Vorgangs ins Verarbeitungsverzeichnis. Als Rechtsgrundlage kommen hier die Einwilligung, die Vertragserfüllung, die Erfüllung rechtlicher Pflichten oder das berechtigte Interesse in Betracht.
Brexit – UK als Drittland
Mit Ablauf des Übergangszeitraums am 31.12.2020 wird das Vereinigte Königreich (UK) für Datenverantwortliche in der EU zu einem Drittland. Der Datentransfer nach UK muss daher noch zusätzliche Voraussetzungen erfüllen, nämlich die eines angemessenen Datenschutzniveaus nach Art. 44 DSGVO.
Angemessenes Datenschutzniveau
Die EU-Kommission kann beschließen, dass das Datenschutzniveau in UK angemessen ist, sodass keine weiteren Maßnahmen mehr erfolgen müssen. Bislang liegt ein solcher Beschluss jedoch nicht vor und ist auch nicht zu erwarten.
Standardvertragsklauseln
Wenn kein Angemessenheitsbeschluss getroffen wird, muss der Verantwortliche selbst für ein angemessenes Schutzniveau sorgen. Das kann durch den Abschluss von Standardvertragsklauseln, konzernintern durch „Binding Corporate Rules“ oder durch Einzeleinwilligungen der Betroffenen geschehen.
Im täglichen Verkehr ist die Verwendung der Standardvertragsklauseln empfehlenswert. Beim Datentransfer mit Drittländern, auch mit den USA nach dem Wegfall des EU-US-Privacy-Shield-Abkommens, sind sie schon jetzt vielfach erprobt. Von den vorgegebenen Mustern der EU-Kommission darf nicht abgewichen werden, sodass kein individueller Spielraum bleibt. Zusätzliche Schutzmaßnahmen sind zunächst nicht notwendig, können aber das Schutzniveau zugunsten des Verantwortlichen erhöhen und mehr Sicherheit beim Datentransfer in Drittländer gewährleisten.
Was tun?
Da bislang kein Angemessenheitsbeschluss der EU-Kommission vorliegt, ist jeder Vertrag, der einen Datentransfer vorsieht, zu überprüfen und gegebenenfalls durch den Abschluss von Standardvertragsklauseln zu ergänzen. In der Praxis dürfte dies vor allem bei IT-Dienstleistern und Rechenzentren in UK sowie beim Datenaustausch im Konzern eine Rolle spielen. Im Einzelfall, vor allem bei besonders sensiblen Daten, können weitere Schutzmaßnahmen erforderlich sein. Gerne sind wir Ihnen an dieser Stelle behilflich. Sprechen Sie uns einfach an.