Brexit: Drittland über Nacht

Datenschutzrechtliche Konsequenzen des Austritts des Vereinigten Königreichs aus der EU Am heutigen Dienstag entscheidet das britische Parlament über das mit der EU ausgehandelte Abkommen zum Austritt des Vereinigten Königreichs aus der Europäischen Union. Nach wie vor ist unklar, ob, wann und in welcher Weise es zu einer Einigung im Rahmen der Verhandlungen rund um den Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union (EU) kommen wird.

Gleich, ob am Ende ein ungeregelter Austritt Groß-Britannien steht oder eine verhandelte Lösung, wird davon ein großer Teil rheinland-pfälzischer Unternehmen betroffen sein. Dies hat nicht zuletzt auch datenschutzrechtliche Folgen.

„Mit der Digitalisierung von Geschäftsprozessen bei Entwicklung und Produktion, Marketing und Vertrieb oder der Pflege von Kundenbeziehungen, bestehen vielfältige wirtschaftliche und technische Verflechtungen über Unternehmens- und Ländergrenzen hinweg. Viele Unternehmen übermitteln Beschäftigten- oder Kundendaten nach Groß-Britannien oder nutzen IT-Leistungen, die von dortigen Anbietern oder in dortigen Rechenzentren erbracht werden“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann. Betroffen sind sie als Konzern-Unternehmen, im  Rahmen von Joint-Ventures, Lieferketten und anderen IT-gestützten Prozessen. Solche Datenübermittlungen bedürfen auch nach einem Brexit einer rechtlichen Grundlage. Um zu vermeiden, dass wichtige rechtliche Dokumente kurzfristig angepasst oder gar erst erstellt und dann noch ins Tagesgeschäft eingespeist werden müssen, sollten nicht-öffentliche und öffentliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, sich schon jetzt auf das „Worst Case Scenario“ vorbereiten, denn der 29. März 2019 rückt unaufhaltsam näher“ so Kugelmann. „Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem „Drittland“ im Sinne der Datenschutz-Grundverordnung (DS-GVO)

Damit müssen verantwortliche Stellen in der EU, also auch die mit Sitz in Rheinland-Pfalz, in jedem Fall die folgenden Bestimmungen berücksichtigen und ggf. Dokumente entsprechend überarbeiten und zwar unabhängig davon, ob es zu einem „deal“ zwischen der EU und dem UK kommt oder nicht:

  • Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung in ein Drittland zu informieren.
  • Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO auch über die Datenübermittlung in Drittländer zu beauskunften.
  • Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DS-GVO bzw. Art. 30 Abs. 2 lit. c DS-GVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen. 
  • Ggf. sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das UK als Drittland geht (Art. 35 DS-GVO).

Der Landesbeauftragte wird in Kürze Informationen bereitstellen, welche datenschutzrechtlichen Anforderungen sich für Unternehmen und Verwaltungen in den verschiedenen Austritts-Szenarien ergeben und wie der LfDI als Aufsichtsbehörde dies begleitet.

Weitere Informationen 

  • Brexit
  • Internationaler Datenverkehr und Datenschutz
Zurück