open search
close
Datenschutz

Datenschutz-Brexit: Was erwartet Unternehmen?

Print Friendly, PDF & Email

Der Countdown läuft. Die Datenschutzwelt blickt in diesen Tagen gespannt nach Großbritannien und stellt sich die Frage, wie sich zukünftig der Datentransfer zwischen dem Vereinten Königreich Großbritannien und Nordirland (im Folgenden: VK) und der Europäischen Union (im Folgenden: EU) gestaltet. Am vergangenen Freitag berichteten bereits unsere englischen IusLaboris-Kollegen von Lewis Silkin (Beitrag hier abrufbar), deren Ausführungen wir im Folgenden insbesondere auch um den Standpunkt der Aufsichtsbehörden ergänzen möchten.

Mögliche Austrittsszenarien

Arbeitgeber, die mit dem VK personenbezogene Daten austauschen, müssen sich gedanklich mit zwei Austrittszenarien befassen:

Gelingt es den Verhandlungsführern, den derzeitigen Entwurf eines Austrittsabkommens zu ratifizieren („Deal-Brexit“), gelten nach wie vor die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und dürfen Datenströme wie bislang fließen. Das Abkommen statuiert für diesen Fall einen Übergangszeitraum bis Ende des nächsten Jahres, der zudem vor dem 1. Juli 2020 um ein beziehungsweise zwei Jahre verlängert werden kann. Ein geregelter Austritt verschaffte Unternehmen zumindest ausreichend Zeit, um sich auf eine etwaige Zersplitterung des europäischen Datenschutzrechts einstellen zu können.

Ob eine solche tatsächlich in massivem Umfang eintritt, darf jedoch bezweifelt werden. Für den Fall des Scheiterns der Verhandlungen („No-Deal-Brexit“) wird das VK zwar zu einem sogenannten „Drittland“ und findet die sogenannte „Zwei-Stufen-Prüfung“ Anwendung (Stufe 1: Werden unabhängig von den in Art. 45 ff. DS-GVO genannten spezifischen Anforderungen an Datentransfers in Drittländer auch sämtliche anderweitigen Vorgaben der DS-GVO eingehalten? Wenn ja, folgt Stufe 2: Hält sich die im Verarbeitung in dem durch Art. 45 ff. DS-GVO gezogenen Rahmen?).


Gewährleistung eines angemessenen Datenschutzniveaus

Allerdings könnte die Europäische Kommission per „Angemessenheitsbeschluss“ dem VK den Status eines sicheren Drittlandes attestieren. Auf dieser Grundlage erfolgende Datentransfers werden solchen innerhalb der EU gleichgestellt und privilegiert. Aber auch jenseits eines solchen Angemessenheitsbeschlusses verbleiben noch verschiedene Möglichkeiten, für einen ausreichenden Datenschutz zu sorgen (Standarddatenschutzklauseln, Binding Corporate Rules etc.). In anderen Fällen wird sich ein Verantwortlicher auch auf Ausnahmen berufen können, die den Transfer in ein Drittland legitimieren, etwa wenn die Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten oder zur Wahrung von Gemeinwohlinteressen erfolgt.

Praktischer Handlungsbedarf

Für betroffene Arbeitgeber ist es höchste Zeit, sich der Konsequenzen eines möglichen Datenschutz-Brexits vor Augen zu führen. Dies setzt zum einen eine Prüfung der Vertragswerke (auch etwa im Hinblick auf Auftragsverarbeitungsverhältnisse) auf Aktualität voraus. Zum anderen sollte besonderes Augenmerk auf die Gewährleistung der Maßnahmen nach Kapitel V DS-GVO gelegt werden. Hier gilt es insbesondere die Vorgaben des Europäischen Datenschutzausschusses (EDSA) zu berücksichtigen (hier abrufbar), für die auch eine inoffizielle deutsche Arbeitsübersetzung vorliegt (hier abrufbar).

Sollte der Datenschutz-Brexit Realität werden, müssen Verantwortliche bei dem Transfer von personenbezogenen Daten in das Drittland im Kern jedenfalls folgende fünf Maßnahmen ergreifen:

  1. Festlegung, welche Verarbeitungen eine Übermittlung personenbezogener Daten an das VK mit sich bringen
  2. Festlegung des geeigneten Datentransferinstruments für die Situation
  3. Umsetzung dieses Instruments dergestalt, dass es für den Fall des Brexits einsatzbereit ist
  4. Interne Dokumentation darüber, dass Übermittlungen in das VK erfolgen werden
  5. Entsprechende Aktualisierung des Datenschutzes zur Information der Einzelpersonen

Die unter Nr. 4 und 5 genannten Schritte verlangen von Verantwortlichen dabei mit Blick auf den datenschutzrechtlichen Transparenzgrundsatz insbesondere, Betroffene über etwaige Datentransfers in das VK gemäß Art. 13, 14 DS-GVO zu informieren sowie auf Verlangen der Betroffenen auch nach Maßgabe von Art. 15 DS-GVO Auskunft über die Datenübermittlungen in das VK sowie die ergriffenen geeigneten Datenschutzgarantien zu erteilen. Darüber hinaus müssen die Datentransfers nebst der weiteren erforderlichen Angaben in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) aufgenommen werden.

Fazit

Der Brexit fordert Arbeitgebern auch in datenschutzrechtlicher Hinsicht einiges ab. Wenngleich nach wie vor abzuwarten bleibt, wie sich die parlamentarische Debatte in Großbritannien entwickelt, sind Unternehmen aufgerufen, sich mit angemessenen Datenschutzmaßnahmen auf den Ernstfall vorzubereiten und bereits jetzt Strategien zu überlegen, um auch zukünftig einen zulässigen Datentransfer mit dem VK sicherzustellen.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 70 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Compliance Neueste Beiträge Whistleblowing & Investigations

Internal Investigations: Kostenersatz bei Compliance-Untersuchungen

Sofern gegen einen Arbeitnehmer der Verdacht besteht, gegen Compliance-Vorschriften verstoßen oder eine erhebliche Verfehlung begangen zu haben, sind vom Arbeitgeber entsprechende unternehmensinterne Untersuchungen einzuleiten. Diese sog. Internal Investigations gewinnen in der Praxis immer größere Bedeutung, sie haben jedoch auch ihren Preis. Da viele Unternehmen keine Erfahrungen mit solchen Situationen haben, werden häufig externe Spezialisten, wie etwa Detektive oder spezialisierte Anwaltskanzleien hinzugezogen, um die Verdachtsmomente umfassend…
Arbeitsvertrag Individualarbeitsrecht Neueste Beiträge

Nachweisgesetz: Müssen bald alle Arbeitsverträge geändert werden?

Das Nachweisgesetz dürfte nicht zu den bekanntesten Arbeitsgesetzen zählen. Ein Blick in das geplante (neue) Nachweisgesetz lohnt bereits jetzt, denn aktuell wird eine neue Fassung diskutiert (BT-Drucks. 20/1636). Die aktuellen Änderungsvorschläge basieren auf einer Richtlinie, die das Ziel hat, mehr Transparenz hinsichtlich der Arbeitsvertragsbedingungen in Europa herzustellen. Dass Transparenz immer auch mit einem gewissen Aufwand für Arbeitgeber verbunden ist, zeigt sich z.B. eindrucksvoll an Art….
Datenschutz Neueste Beiträge

Kann der Auskunftsanspruch nach Art. 15 DS-GVO rechtsmissbräuchlich sein? Ja, sagt das LAG Sachsen!

Das LAG Sachsen hat entschieden, dass ein Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ausscheidet, wenn das Auskunftsbegehren rechtsmissbräuchlich ist. Anlass der Entscheidung war, dass ein Arbeitnehmer während eines laufenden Rechtsstreits gegen den Arbeitgeber Auskunftsansprüche geltend machte. Diese Informationen wollte der Arbeitnehmer gegen den Arbeitgeber verwenden, um seine behaupteten Überstunden beweisen zu können. Das LAG urteilte, dass dieser Zweck nicht von der DS-GVO gedeckt und…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.