Die DSGVO regelt Rechte und Pflichten zum Schutz personenbezogener Daten und sanktioniert Verstöße mit erheblichen Bußgeldern. Das mit der DSGVO geschaffene Schutzniveau in der EU soll nicht dadurch untergraben werden, dass Daten ins Ausland übermittelt werden, wo möglicherweise andere Datenschutzbestimmungen gelten, die dem von der DSGVO geforderten Schutz nicht entsprechen. Innerhalb der EU gelten für den Datentransfer hingegen keine besonderen Voraussetzungen.
Internationaler Datenverkehr
Der internationale Datenfluss ist für den internationalen Handel besonders wichtig. Zu Datenübertragungen kommt es beispielsweise dann, wenn Dienstleister im Ausland als Auftragsverarbeiter eingesetzt werden, aber auch und insbesondere dann, wenn Cloud-Lösungen genutzt werden, bei denen sich die Server in der Regel im Ausland befinden. Laut einer aktuellen Studie im Auftrag von Bitkom lassen 11 Prozent der deutschen Unternehmen personenbezogene Daten in Großbritannien verarbeiten, davon wollen aber nur 2 Prozent die Datenverarbeitung in Großbritannien nach dem Brexit fortführen.
Übergangszeitraum
Die Auswirkungen auf den Datenschutz hängen dabei erheblich von dem Austrittsszenario ab. Sollte das neu gewählte Parlament dem Austrittsabkommen zustimmen, gilt bis Ende 2020 ein Übergangszeitraum. In dieser Zeit würde Großbritannien im Hinblick auf die DSGVO weiterhin als EU-Mitgliedsstaat behandelt, so dass die Verantwortlichen mehr Zeit hätten, sich auf den Ernstfall vorzubereiten.
Das Austrittsabkommen sieht zudem die Option vor, die Übergangszeit bis zu zweimal zu verlängern. Letztendlich ist die Fortgeltung der DSGVO aber kein Dauerzustand. Über kurz oder lang ist eine Anpassung an die neue Rechtslage notwendig.
Im Falle des No-Deal-Brexits oder nach Ablauf einer etwaigen Übergangsphase wird die Datenübermittlung in Großbritannien dann so behandelt wie in jedes andere Drittland auch. Sie ist nicht grundsätzlich unzulässig, solange das europäische Datenschutzniveau gewährleistet bleibt. Die DSGVO bietet hierfür einige Lösungsmöglichkeiten.
Die Datenübermittlung in ein Drittland nach der DSGVO
Eine Möglichkeit, daten in ein Drittland zu übermitteln, bietet die Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission. Damit stellt die Kommission fest, dass in dem Drittland ein angemessenes Datenschutzniveau besteht, so dass die Datenübermittlung DSGVO-konform möglich ist. Entsprechende Beschlüsse bestehen bereits unter anderem für Kanada, die Schweiz oder die USA unter Geltung des Privacy Shields.
Es ist nicht fernliegend, dass die Kommission für Großbritannien als ehemaligem EU-Mitgliedsstaat einen Angemessenheitsbeschluss erlassen könnte. Momentan ist ein solches Verfahren aber nicht im Gange, so dass mit dem Erlass eines Angemessenheitsbeschlusses in nächster Zeit (vorerst) nicht zu rechnen ist.
Ohne Angemessenheitsbeschluss der Kommission ist eine Datenübermittlung ins Ausland möglich, wenn geeignete Garantien bestehen. Dies können sein:
- Standarddatenschutzklauseln
- Verbindliche unternehmensinterne Regelungen (Binding Corporate Rules, BCR)
- Genehmigte Verhaltensregeln
- Zertifizierungen
Darüber hinaus kommen für bestimmte Fälle Ausnahmen in Betracht. Die Ausnahmetatbestände sind in der DSGVO aufgelistet und restriktiv auszulegen.
Standarddatenschutzklauseln
Standarddatenschutzklauseln sind von der Europäischen Kommission genehmigte Vertragswerke. Der Verantwortliche kann mit seinem Vertragspartner in Großbritannien deren Geltung vereinbaren, darf aber keine Änderungen vornehmen, sondern muss die Standardvertragsklauseln so übernehmen, wie sie genehmigt wurden. Derzeit stehen drei Zusammenstellungen von Standarddatenschutzklauseln zur Verfügung.
Binding Corporate Rules
Unter Binding Corporate Rules versteht man unternehmensinterne Regelungen (in einem multinationalen Unternehmen), mit denen sich ein Unternehmen zu Maßnahmen zum Schutz personenbezogener Daten verpflichtet. Bereits genehmigte BCR dürfen weiter genutzt werden, müssen aber angepasst werden. Falls noch keine BCR bestehen, müssen diese von der Aufsichtsbehörde genehmigt werden.
Genehmigte Verhaltensregeln und Zertifizierungen
Genehmigte Verhaltensregeln und Zertifizierungen haben gemeinsam, dass sie verbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland enthalten müssen. Es handelt sich dabei um mit der DSGVO eingeführte neue Instrumente zum Schutz personenbezogener Daten bei der Datenübermittlung, so dass hier Einzelheiten noch nicht feststehen.
Handlungsbedarf
Der erste Schritt ist der Blick ins Verarbeitungsverzeichnis. Hieraus sollte sich ergeben, ob und welche Daten nach Großbritannien übermittelt werden. Anschließend ist für jede Verarbeitung gründlich zu prüfen, ob die Übermittlung weiterhin DSGVO konform ist. Gegebenenfalls müssen Verträge mit Auftragsverarbeitern oder gemeinsamen Verantwortlichen aktualisiert werden. In jedem Fall muss das Ergebnis der Prüfung schriftlich festgehalten werden, um der Rechenschaftspflicht nach der DSGVO gerecht zu werden. Schließlich müssen auch Dokumente wie Verarbeitungsverzeichnis, Datenschutzerklärung und Datenschutz-Folgenabschätzung aktualisiert werden.
___________________
Quelle: computerwoche.de