Aktuell: Brexit und Datenschutz – Was ist beim Datentransfer aus Deutschland zu beachten?

Das Vereinigte Königreich Großbritannien und Nordirland (VK) wird auf Antrag der britischen Regierung aus der Europäischen Union ausscheiden. Ursprünglich war der Austritt zum 29.03.2019 geplant, der Termin wurde nun auf den 31.10.2019 verschoben.

Geregelter oder ungeregelter Austritt: Folgen für den Datenverkehr

Der aktuelle Entwurf des zwischen der Europäischen Kommission und dem VK ausgehandelten Abkommens sieht in Art. 71 ff. vor, dass die unionsrechtlichen Bestimmungen zum Datenschutz für einen Übergangszeitraum bis Ende 2020 weiterhin Anwendung finden. Einmalig wäre noch eine Verlängerung um maximal zwei Jahre möglich. Sofern beide Seiten dieses Abkommen unterzeichnen, tritt der sogenannte Deal-Brexit ein, und im Datenaustausch mit dem VK behält die Datenschutzgrundverordnung (DSGVO) vorerst Gültigkeit. Der Datentransfer ist dann weiterhin erlaubt, sofern eine Rechtsgrundlage vorhanden ist und die allgemeinen Bestimmungen der Verordnung eingehalten werden.
Sollten die Beteiligten das Abkommen nicht bis zum 31.10.2019 unterzeichnen, kann es zu einem ungeregelten EU-Austritt, dem „No-Deal-Brexit“ kommen. Dann gilt das VK ab dem Austrittsdatum als Drittland im Sinne der DSGVO. Für diesen Fall müssen alle für den Datentransfer Verantwortlichen auch in Deutschland bereits Vorkehrungen treffen. Welche konkreten Maßnahmen zu ergreifen sind, hat die DSK, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, in einem Hinweisbeschluss vom 08.03.2019 ausgeführt.

Maßnahmen für den Datentransfer beim No-Deal-Brexit

Sowohl öffentliche als auch nicht öffentliche Stellen, die persönliche Daten in das VK übermitteln, müssen sich an die Regelungen des fünften Kapitels der DSGVO halten und danach:

• ihre Informationsblätter zum Datenschutz und die Datenschutzerklärungen auf ihren Websites aktualisieren und eine Information über den Datentransfer in ein Drittland hinzufügen (Art. 13,14 DSGVO),

• in der internen Dokumentation die Datenübertragung in das Drittland mit weiteren erforderlichen Angaben vermerken (Art. 30 DSGVO),

• auf Verlangen der Betroffenen Auskunft über die Datenübermittlung in ein Drittland erteilen (Art. 15 DSGVO) und

• falls kein Ausnahmetatbestand nach Art. 49 DSGVO eingreift, geeignete Garantien schaffen, um den Schutz persönlicher Daten zu gewährleisten (Art. 44 ff. DSGVO).

Wer unter Missachtung dieser Vorgaben persönliche Daten in das VK übermittelt, muss damit rechnen, dass die Aufsichtsbehörden die Aussetzung der Datentransfers anordnen und Geldbußen verhängen.