30.01.2018

Welche Auswirkungen hat der Brexit auf transnationale Datentransfers?

Das Generaldirektorat “Justiz und Verbraucher” der Europäischen Kommission veröffentliche am 9. Januar 2018 ein alarmierendes Positionspapier unter der Bezeichnung “Notice to stakeholders”, das die datenschutzrechtlichen Aspekte des Austritts des Vereinigten Königreichs aus der EU zum Gegenstand hat.

Hintergrund

Bekanntlich wird das Vereinte Königreich zum 30.03.2019 aus der EU austreten. In dem Positionspapier stellt die Kommission fest, dass, sofern in einer Austrittsvereinbarung nicht etwas anderes geregelt wäre, das Recht der Europäischen Union auf Großbritannien ab dem Zeitpunkt des Austritts aus der EU keine Anwendung mehr finden würde. Großbritannien wäre dann als “Drittstaat” (third country) anzusehen.

“Angesichts der erheblichen Unsicherheiten, insbesondere hinsichtlich des Inhalts einer möglichen Austrittsvereinbarung”, so die Kommission, “werden alle Beteiligten, die personenbezogene Daten verarbeiten, an die rechtlichen Auswirkungen erinnert, die zu berücksichtigen sind, wenn das Vereinigte Königreich ein Drittland wird.”

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 8 plus 5.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Bedingungen für eine rechtskonforme grenzüberschreitende Datenübermittlung

Vorbehaltlich etwaiger Übergangsregelungen, würden zum Zeitpunkt des Austritts des Vereinigten Königreichs die unionsrechtlichen Vorschriften für die Übermittlung personenbezogener Daten in Drittstaaten gelten. Bisher hatten sich viele Unternehmen erhofft, dass es nach dem Brexit eine Angemessenheitsentscheidung der Kommission für das Vereinigte Königreich geben würde. Diese Entscheidung hätte einen freien Datenfluss zwischen der EU und dem Vereinigten Königreich auch nach dem Brexit gesichert. Derartige Absichten der Kommission sind in ihrem Positionspapier jedoch nicht erkennbar.

Vielmehr erinnert die Kommission an die weiteren bestehenden datenschutzrechtlichen Mechanismen zur Sicherstellung einer rechtmäßigen Übermittlung personenbezogener Daten in Drittstaaten:

  • Von der Kommission erarbeitete Standardvertragsklauseln (Standard Model Clauses):
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)
  • Genehmigte Verhaltensregelungen in Verbindung mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Verarbeiters in dem Drittstaat
  • Genehmigte Zertifizierungsmechanismen zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Verarbeiters in dem Drittstaat.

Daneben könne eine Datenübermittlung auf der Grundlage sogenannter Ausnahmeregelungen erfolgen. Diese ermöglichen Datenübermittlungen etwa bei einer bestehenden Einwilligung des Betroffenen oder zur Durchführung eine Vertrags, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde.

Zudem arbeite die Kommission mit Datenschutzbehörden an der Erstellung der durch die Datenschutz-Grundverordnung neu etablierten Instrumente zur Übermittlung personenbezogener Daten in Drittstaaten (z. B. genehmigte Verhaltensregeln und Zertifizierungsmechanismen, die verbindliche Zusagen der Verantwortlichen und der Auftragsverarbeiter aus dem datenempfangenden Drittstaat enthalten).

Schließlich stellt die Kommission klar, dass die Vorbereitung auf den Austritt des Vereinigten Königreichs aus der EU nicht nur Sache der EU und der nationalen Behörden, sondern auch eine Angelegenheit ist, die private Parteien gleichermaßen betrifft.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

Fazit

Unternehmen, die personenbezogene Daten (z.B. im Rahmen einer Auftragsverarbeitung) in das Vereinigte Königreich übermitteln, sollten dieses deutliche Warnsignal der Kommission ernst nehmen und frühzeitig vertragliche Vorkehrungen treffen, um eine zulässige Datenübermittlungen über den Ärmelkanal auch nach dem 30.03.2019 sicherstellen zu können.

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …