Nach dem Brexit, dem Austritt Großbritanniens aus der EU, gilt bis zum Ende des Jahres 2020 eine Übergangsfrist, in der das Vereinigte Königreich datenschutzrechtlich weiterhin wie ein EU-Mitgliedsstaat behandelt wird. Doch wie können sich Unternehmen in der Union, die mit britischen Unternehmen personenbezogene Daten austauschen, auf die Zeit ab dem 1. Januar 2021 vorbereiten?
Datenübertragungen nach Großbritannien nach dem Brexit
Es ist eher unwahrscheinlich, dass die EU-Kommission bis zum Ende der Brexit-Übergangsfrist einen Angemessenheitsbeschluss gemäß Art. 45 Datenschutz-Grundverordnung (DSGVO) zum Datenschutzniveau in Großbritannien fasst. Warum dies sogar auf längere Sicht schwierig sein könnte, haben wir in dieser Faktensammlung zum Brexit dargelegt.
Ohne einen solchen Angemessenheitsbeschluss wird das Vereinigte Königreich Großbritannien und Nordirland zu einem sogenannten Drittstaat. Übertragungen personenbezogener Daten aus der EU nach Großbritannien bedürfen dann gesonderter Nachweise über die Gewährleistung des Datenschutzes vor Ort.
Um sich auf diesen Fall vorzubereiten, sollten Unternehmen mit Standorten, Tochterunternehmen oder Auftragsverarbeitern im Vereinigten Königreich jetzt schon Folgendes zu tun:
Verantwortliche müssen bei einer Datenübermittlung in das Drittland Großbritannien
- feststellen, welche Verarbeitungstätigkeiten die Übermittlung personenbezogener Daten nach Großbritannien vorsehen;
- für diese Verarbeitungstätigkeiten jeweils geeignete Garantien nach Artikel 46 DSGVO festlegen, z.B.
- EU-Standardvertragsklauseln,
- verbindliche unternehmensinterne Regelungen (Binding Corporate Rules, BCR) oder
- Zertifizierungen;
- die gewählten Garantien so umsetzen, dass ab 1. Januar 2021 greifen,
- in der Dokumentation der Verarbeitungstätigkeiten vermerken, dass Übermittlungen in das Drittland Großbritannien erfolgen,
- die Informationsschreiben nach Artikel 13 und 14 DSGVO entsprechend aktualisieren.
Unternehmen muss klar sein, dass wenn sie personenbezogene Daten ohne die nach Kapitel V DSGVO notwendigen Sicherheiten nach Großbritannien übermitteln, rechtswidrig handeln. Die Aufsichtsbehörden können dann Datenübermittlungen per Anordnung aussetzen und Geldbußen verhängen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!#