Datenschutzrechtliche Konsequenzen des Austritts des Vereinigten Königreichs aus der EU
Am vergangenen Dienstag entschied das britische Parlament über das mit der EU ausgehandelte Abkommen zum Austritt des Vereinigten Königreichs aus der Europäischen Union. Nach wie vor ist unklar, ob, wann und in welcher Weise es zu einer Einigung im Rahmen der Verhandlungen rund um den Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union (EU) kommen wird.
Gleich, ob am Ende ein ungeregelter Austritt Großbritannien steht oder eine verhandelte Lösung, wird davon ein großer Teil rheinland-pfälzischer Unternehmen betroffen sein. Dies hat nicht zuletzt auch datenschutzrechtliche Folgen.
Update Januar 31.01.2020
Was passiert jetzt, da Großbritannien sicher aus der EU ausscheidet?
Nun, da Großbritannien ein Rückzugsabkommen mit der EU hat, gibt es eine Übergangszeit bis Ende 2020. In dieser Zeit werden die neuen Beziehung mit der EU ausgehandelt. Während des Übergangszeitraums wird die DSGVO weiterhin im Vereinigten Königreich gelten.
Mitteilung der englischen Datenschutzaufsichtsbehörde ICO im Original.
„Mit der Digitalisierung von Geschäftsprozessen bei Entwicklung und Produktion, Marketing und Vertrieb oder der Pflege von Kundenbeziehungen, bestehen vielfältige wirtschaftliche und technische Verflechtungen über Unternehmens- und Ländergrenzen hinweg. Viele Unternehmen übermitteln Beschäftigten- oder Kundendaten nach Groß-Britannien oder nutzen IT-Leistungen, die von dortigen Anbietern oder in dortigen Rechenzentren erbracht werden.“
Betroffen sind Konzern-Unternehmen, im Rahmen von Joint-Ventures, Lieferketten und anderen IT-gestützten Prozessen. Solche Datenübermittlungen bedürfen auch nach einem Brexit einer rechtlichen Grundlage.
Um zu vermeiden, dass wichtige rechtliche Dokumente kurzfristig angepasst oder gar erst erstellt und dann noch ins Tagesgeschäft eingespeist werden müssen, sollten nicht-öffentliche und öffentliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, sich schon jetzt auf das „Worst Case Scenario“ vorbereiten, denn der 29. März 2019 rückt unaufhaltsam näher.“
„Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO) wird.“
Damit müssen verantwortliche Stellen in der EU, in jedem Fall die folgenden Bestimmungen berücksichtigen und ggf. Dokumente entsprechend überarbeiten und zwar unabhängig davon, ob es zu einem „deal“ zwischen der EU und dem UK kommt oder nicht:
Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO über die Datenübermittlung in ein Drittland zu informieren.
Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO auch über die Datenübermittlung in Drittländer zu beauskunften.
Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
Ggf. sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das UK als Drittland geht (Art. 35 DSGVO)
Quelle: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks