vdmno | Der Verband Druck & Medien im NordOsten
Datenschutz − das passiert beim Brexit
Nach wie vor ist unklar, wie es in Sachen Brexit weitergeht. Sollte es allerdings zu einem ungeregelten Austritt des Vereinigten Königreichs aus der EU kommen, hätte dies auch datenschutzrechtliche Auswirkungen.
- No-Deal-Brexit
Für den Fall eines ungeregelten Austritts wird das Vereinigte Königreich zu einem „Drittland” im Sinne der Datenschutz-Grundverordnung (DS-GVO). In diesem Fall gelten die Vorgaben nach Kapitel 5 der DS-GVO zur Übermittlung personenbezogener Daten an Drittländer. Nachdem bislang kein Angemessenheitsbeschluss (Art. 45 DS-GVO) für das Vereinigte Königreich vorliegt, muss der für die Verarbeitung Verantwortliche oder Auftragsverarbeiter für die Datenübermittlung dann entweder geeignete Garantien gem. Art. 46 DS-GVO vorsehen oder es müssen in Art. 49 DS-GVO geregelte Ausnahmeregelungen einschlägig sein.
Geeignete Garantien sind z. B. Standarddatenschutzklauseln, die von der EU-Kommission genehmigt wurden. Liegen keine geeigneten Garantien vor, können ggf. Ausnahmeregelungen greifen, die von den Aufsichtsbehörden aber restriktiv ausgelegt werden. Hierzu gehört z. B. die Datenübermittlung für die Erfüllung eines Vertrags oder eine ausdrückliche Einwilligung.
Darüber hinaus sollte beachtet werden, dass das Verzeichnis der Verarbeitungstätigkeiten an die Drittlandsübermittlung angepasst werden muss (Art. 30 Abs. 1 lit. d, e, Abs. 2 lit. c DS-GVO). Zudem muss sich die Information über die Datenverarbeitung (Art. 13 Abs. 1 lit. f, Art. 14 Abs. 1 lit. f DS-GVO) und ggf. die Auskunft (Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO) auf die Drittlandsübermittlung beziehen.
- Deal-Brexit
Für den Fall eines geregelten Austritts indes gilt die DS-GVO während eines Übergangszeitraums bis Ende 2020, der um ein bzw. zwei Jahre verlängert werden kann, auch im Vereinigten Königreich weiter. Während dieser Zeit dürfen personenbezogene Daten unter denselben Voraussetzungen wie bisher übermittelt werden.