Die Bre­x­it-Ver­hand­lun­gen kamen mona­te­lang kaum vor­an. Nun wur­de der Aus­tritt des Ver­ei­nig­ten König­reichs Groß­bri­tan­ni­en (VKG) aus der Euro­päi­sche Uni­on (EU) ver­scho­ben. Die Mög­lich­keit eines unge­re­gel­ten Bre­xits besteht nach wie vor. Fol­gen­de zwei Sze­na­ri­en sind denk­bar:

Bei einem gere­gel­ten Bre­x­it gilt nach den Vor­ga­ben eines Aus­tritts­ab­kom­mens (der­zeit im Ent­wurf) zwi­schen dem VKG und der EU die Daten­schutz Grund­ver­ord­nung (DSGVO) wei­ter. In die­sem Abkom­men ist ein Über­gangs­zeit­raum bis zum Ende des Jah­res 2020 fest­ge­schrie­ben.

Bis Ende 2020 gilt also das EU-Recht und somit auch die DSGVO. Das VKG wäre somit kein Dritt­land im Sin­ne der DSGVO. Anschlie­ßend wäre sogar eine Ver­län­ge­rung des Über­gangs­zeit­rau­mes mög­lich.

Im Über­gangs­zeit­raum dür­fen also wei­ter­hin per­so­nen­be­zo­ge­ne Daten unter den sel­ben Vor­aus­set­zun­gen über­mit­telt wer­den.

Bei einem No-Deal-Bre­x­it (unge­re­gelt) wird das VKG zu einem Dritt­land im Sin­ne der DSGVO. Daher müs­sen dann ab dem Aus­tritt beson­de­re Maß­nah­men getrof­fen wer­den. Die­se Maß­nah­men kann man aus dem Kapi­tel V der DSGVO ent­neh­men. Wei­ter gibt es hier­zu ein Arbeits­pa­pier des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, wor­aus sich fol­gen­de vor­be­rei­ten­den Maß­nah­men erge­ben:

  1. Fest­stel­len, wel­che Ver­ar­bei­tun­gen eine Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten mit sich brin­gen.
  2. Ein geeig­ne­tes Daten­trans­fer­in­stru­ment fest­le­gen.
  3. Das Daten­trans­fer­in­stru­ment so umset­zen, dass es bis zum Aus­tritt bereit ist.
  4. In den jewei­li­gen Doku­men­ta­tio­nen fest­hal­ten, dass eine Über­mitt­lung an das VKG erfolgt.
  5. Daten­schutz­er­klä­run­gen ent­spre­chend aktua­li­sie­ren.

Es gibt drei Trans­fer­in­stru­men­te, die ver­wen­det wer­den kön­nen:

  • Stan­dard- und Ad-hoc-Daten­schutz­klau­sel
  • Unter­neh­mens­in­ter­ne Daten­schutz­vor­schrift (Bin­ding Cor­po­ra­te Rules)
  • Ver­hal­tens­ko­di­zes und Zer­ti­fi­zie­rungs­me­cha­nis­men

Eini­ge Unter­neh­men ver­wen­den schon BCR. Bei die­sen Unter­neh­men müs­sen kei­ne Anpas­sun­gen durch­ge­führt wer­den. Bei allen ande­ren Unter­neh­men, die kei­ne BCR ver­wen­den, müs­sen die Maß­nah­men bis zum Aus­tritt abge­schlos­sen sein. Soll­te die­ses nicht der Fall sein, kann es hier zu Sank­tio­nen durch die jewei­li­gen Lan­des­da­ten­schutz­auf­sichts­be­hör­den kom­men.

Auf­wands­schät­zung
für die Erstel­lung einer Stan­dart­ver­trags­klau­sel:

Besuchen Sie uns einfach
im Internet unter:

datenschutz.blusystems.de

Oder sprechen Sie uns
direkt an:

du-bist-datenschutz@blusystems.de

+49 (0)89 919 290 560

Ger­ne hel­fen wir ihnen auch bei den nöti­gen Schrit­ten, um den Rei­fe­grad ihres Daten­schut­zes wei­ter zu stei­gern.