open search
close
Datenschutz

Datenschutz-Brexit: Was erwartet Unternehmen?

Print Friendly, PDF & Email

Der Countdown läuft. Die Datenschutzwelt blickt in diesen Tagen gespannt nach Großbritannien und stellt sich die Frage, wie sich zukünftig der Datentransfer zwischen dem Vereinten Königreich Großbritannien und Nordirland (im Folgenden: VK) und der Europäischen Union (im Folgenden: EU) gestaltet. Am vergangenen Freitag berichteten bereits unsere englischen IusLaboris-Kollegen von Lewis Silkin (Beitrag hier abrufbar), deren Ausführungen wir im Folgenden insbesondere auch um den Standpunkt der Aufsichtsbehörden ergänzen möchten.

Mögliche Austrittsszenarien

Arbeitgeber, die mit dem VK personenbezogene Daten austauschen, müssen sich gedanklich mit zwei Austrittszenarien befassen:

Gelingt es den Verhandlungsführern, den derzeitigen Entwurf eines Austrittsabkommens zu ratifizieren („Deal-Brexit“), gelten nach wie vor die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und dürfen Datenströme wie bislang fließen. Das Abkommen statuiert für diesen Fall einen Übergangszeitraum bis Ende des nächsten Jahres, der zudem vor dem 1. Juli 2020 um ein beziehungsweise zwei Jahre verlängert werden kann. Ein geregelter Austritt verschaffte Unternehmen zumindest ausreichend Zeit, um sich auf eine etwaige Zersplitterung des europäischen Datenschutzrechts einstellen zu können.

Ob eine solche tatsächlich in massivem Umfang eintritt, darf jedoch bezweifelt werden. Für den Fall des Scheiterns der Verhandlungen („No-Deal-Brexit“) wird das VK zwar zu einem sogenannten „Drittland“ und findet die sogenannte „Zwei-Stufen-Prüfung“ Anwendung (Stufe 1: Werden unabhängig von den in Art. 45 ff. DS-GVO genannten spezifischen Anforderungen an Datentransfers in Drittländer auch sämtliche anderweitigen Vorgaben der DS-GVO eingehalten? Wenn ja, folgt Stufe 2: Hält sich die im Verarbeitung in dem durch Art. 45 ff. DS-GVO gezogenen Rahmen?).


Gewährleistung eines angemessenen Datenschutzniveaus

Allerdings könnte die Europäische Kommission per „Angemessenheitsbeschluss“ dem VK den Status eines sicheren Drittlandes attestieren. Auf dieser Grundlage erfolgende Datentransfers werden solchen innerhalb der EU gleichgestellt und privilegiert. Aber auch jenseits eines solchen Angemessenheitsbeschlusses verbleiben noch verschiedene Möglichkeiten, für einen ausreichenden Datenschutz zu sorgen (Standarddatenschutzklauseln, Binding Corporate Rules etc.). In anderen Fällen wird sich ein Verantwortlicher auch auf Ausnahmen berufen können, die den Transfer in ein Drittland legitimieren, etwa wenn die Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten oder zur Wahrung von Gemeinwohlinteressen erfolgt.

Praktischer Handlungsbedarf

Für betroffene Arbeitgeber ist es höchste Zeit, sich der Konsequenzen eines möglichen Datenschutz-Brexits vor Augen zu führen. Dies setzt zum einen eine Prüfung der Vertragswerke (auch etwa im Hinblick auf Auftragsverarbeitungsverhältnisse) auf Aktualität voraus. Zum anderen sollte besonderes Augenmerk auf die Gewährleistung der Maßnahmen nach Kapitel V DS-GVO gelegt werden. Hier gilt es insbesondere die Vorgaben des Europäischen Datenschutzausschusses (EDSA) zu berücksichtigen (hier abrufbar), für die auch eine inoffizielle deutsche Arbeitsübersetzung vorliegt (hier abrufbar).

Sollte der Datenschutz-Brexit Realität werden, müssen Verantwortliche bei dem Transfer von personenbezogenen Daten in das Drittland im Kern jedenfalls folgende fünf Maßnahmen ergreifen:

  1. Festlegung, welche Verarbeitungen eine Übermittlung personenbezogener Daten an das VK mit sich bringen
  2. Festlegung des geeigneten Datentransferinstruments für die Situation
  3. Umsetzung dieses Instruments dergestalt, dass es für den Fall des Brexits einsatzbereit ist
  4. Interne Dokumentation darüber, dass Übermittlungen in das VK erfolgen werden
  5. Entsprechende Aktualisierung des Datenschutzes zur Information der Einzelpersonen

Die unter Nr. 4 und 5 genannten Schritte verlangen von Verantwortlichen dabei mit Blick auf den datenschutzrechtlichen Transparenzgrundsatz insbesondere, Betroffene über etwaige Datentransfers in das VK gemäß Art. 13, 14 DS-GVO zu informieren sowie auf Verlangen der Betroffenen auch nach Maßgabe von Art. 15 DS-GVO Auskunft über die Datenübermittlungen in das VK sowie die ergriffenen geeigneten Datenschutzgarantien zu erteilen. Darüber hinaus müssen die Datentransfers nebst der weiteren erforderlichen Angaben in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) aufgenommen werden.

Fazit

Der Brexit fordert Arbeitgebern auch in datenschutzrechtlicher Hinsicht einiges ab. Wenngleich nach wie vor abzuwarten bleibt, wie sich die parlamentarische Debatte in Großbritannien entwickelt, sind Unternehmen aufgerufen, sich mit angemessenen Datenschutzmaßnahmen auf den Ernstfall vorzubereiten und bereits jetzt Strategien zu überlegen, um auch zukünftig einen zulässigen Datentransfer mit dem VK sicherzustellen.

384 beiträge

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 65 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Führt Datenschutz zu Tatenschutz?

Kann die Einhaltung von datenschutzrechtlichen Bestimmungen durch den Arbeitgeber interne Ermittlungen im Unternehmen beeinflussen? Der Dieselskandal oder der Wirbel bei der Bild um Julian Reichelt zeigen die Bedeutung von internen Untersuchungen, sog. Internal Investigation. Sie sind ein wichtiges Instrument, um in Unternehmen dem Verdacht arbeitsvertraglicher Pflichtverstöße nachzugehen und Missstände aufzudecken. Sollen Aufklärungs- und Ermittlungsmaßnahmen effektiv und erfolgsversprechend sein, führt typischerweise kein Weg an einer datenintensiven…
Arbeitsrecht in der Pandemie Datenschutz Individualarbeitsrecht Neueste Beiträge

Bring Your Own Device – Chancen und Risiken der dienstlichen Nutzung privater Endgeräte

Viele Arbeitgeber bieten ihren Arbeitnehmern an, ihre privaten mobilen Endgeräte (wie z.B. Smartphones, Tablet-PC’s, Laptops etc.) auch für betriebliche Zwecke zu nutzen. Hinter diesem Trend verbirgt sich die Bezeichnung „Bring Your Own Device“ (BYOD). Gesteigerte Relevanz entfaltet die Thematik rund um BYOD auch vor dem Hintergrund der aktuellen pandemischen Lage in Deutschland und der jüngsten Anordnung der Bundesregierung, wonach Arbeitgeber ihren Arbeitnehmern (sofern möglich) Homeoffice…
Compliance Neueste Beiträge

Wenn die Datenschutzbehörde beim Arbeitgeber anklopft ...

Bußgelder für Datenschutzverstöße im Zusammenhang mit Mitarbeiter- und Bewerberdaten haben zugenommen. Jüngst erreichte ein Bußgeld Millionenhöhe, weil ein Unternehmen Informationen aus dem Privatleben von Mitarbeitern speicherte und auswertete. Vor diesem Hintergrund bleibt nicht jeder Unternehmensverantwortliche cool, wenn ein Schreiben der Datenschutzbehörde ins Haus flattert. Dabei muss ein Tätigwerden der Datenschutzbehörde nicht zwingend zu einem (hohen) Bußgeld führen. Wie sollten Unternehmen reagieren? Wann und wie wird…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.