open search
close
Datenschutz

Datenschutz-Brexit: Was erwartet Unternehmen?

Print Friendly, PDF & Email

Der Countdown läuft. Die Datenschutzwelt blickt in diesen Tagen gespannt nach Großbritannien und stellt sich die Frage, wie sich zukünftig der Datentransfer zwischen dem Vereinten Königreich Großbritannien und Nordirland (im Folgenden: VK) und der Europäischen Union (im Folgenden: EU) gestaltet. Am vergangenen Freitag berichteten bereits unsere englischen IusLaboris-Kollegen von Lewis Silkin (Beitrag hier abrufbar), deren Ausführungen wir im Folgenden insbesondere auch um den Standpunkt der Aufsichtsbehörden ergänzen möchten.

Mögliche Austrittsszenarien

Arbeitgeber, die mit dem VK personenbezogene Daten austauschen, müssen sich gedanklich mit zwei Austrittszenarien befassen:

Gelingt es den Verhandlungsführern, den derzeitigen Entwurf eines Austrittsabkommens zu ratifizieren („Deal-Brexit“), gelten nach wie vor die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und dürfen Datenströme wie bislang fließen. Das Abkommen statuiert für diesen Fall einen Übergangszeitraum bis Ende des nächsten Jahres, der zudem vor dem 1. Juli 2020 um ein beziehungsweise zwei Jahre verlängert werden kann. Ein geregelter Austritt verschaffte Unternehmen zumindest ausreichend Zeit, um sich auf eine etwaige Zersplitterung des europäischen Datenschutzrechts einstellen zu können.

Ob eine solche tatsächlich in massivem Umfang eintritt, darf jedoch bezweifelt werden. Für den Fall des Scheiterns der Verhandlungen („No-Deal-Brexit“) wird das VK zwar zu einem sogenannten „Drittland“ und findet die sogenannte „Zwei-Stufen-Prüfung“ Anwendung (Stufe 1: Werden unabhängig von den in Art. 45 ff. DS-GVO genannten spezifischen Anforderungen an Datentransfers in Drittländer auch sämtliche anderweitigen Vorgaben der DS-GVO eingehalten? Wenn ja, folgt Stufe 2: Hält sich die im Verarbeitung in dem durch Art. 45 ff. DS-GVO gezogenen Rahmen?).


Gewährleistung eines angemessenen Datenschutzniveaus

Allerdings könnte die Europäische Kommission per „Angemessenheitsbeschluss“ dem VK den Status eines sicheren Drittlandes attestieren. Auf dieser Grundlage erfolgende Datentransfers werden solchen innerhalb der EU gleichgestellt und privilegiert. Aber auch jenseits eines solchen Angemessenheitsbeschlusses verbleiben noch verschiedene Möglichkeiten, für einen ausreichenden Datenschutz zu sorgen (Standarddatenschutzklauseln, Binding Corporate Rules etc.). In anderen Fällen wird sich ein Verantwortlicher auch auf Ausnahmen berufen können, die den Transfer in ein Drittland legitimieren, etwa wenn die Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten oder zur Wahrung von Gemeinwohlinteressen erfolgt.

Praktischer Handlungsbedarf

Für betroffene Arbeitgeber ist es höchste Zeit, sich der Konsequenzen eines möglichen Datenschutz-Brexits vor Augen zu führen. Dies setzt zum einen eine Prüfung der Vertragswerke (auch etwa im Hinblick auf Auftragsverarbeitungsverhältnisse) auf Aktualität voraus. Zum anderen sollte besonderes Augenmerk auf die Gewährleistung der Maßnahmen nach Kapitel V DS-GVO gelegt werden. Hier gilt es insbesondere die Vorgaben des Europäischen Datenschutzausschusses (EDSA) zu berücksichtigen (hier abrufbar), für die auch eine inoffizielle deutsche Arbeitsübersetzung vorliegt (hier abrufbar).

Sollte der Datenschutz-Brexit Realität werden, müssen Verantwortliche bei dem Transfer von personenbezogenen Daten in das Drittland im Kern jedenfalls folgende fünf Maßnahmen ergreifen:

  1. Festlegung, welche Verarbeitungen eine Übermittlung personenbezogener Daten an das VK mit sich bringen
  2. Festlegung des geeigneten Datentransferinstruments für die Situation
  3. Umsetzung dieses Instruments dergestalt, dass es für den Fall des Brexits einsatzbereit ist
  4. Interne Dokumentation darüber, dass Übermittlungen in das VK erfolgen werden
  5. Entsprechende Aktualisierung des Datenschutzes zur Information der Einzelpersonen

Die unter Nr. 4 und 5 genannten Schritte verlangen von Verantwortlichen dabei mit Blick auf den datenschutzrechtlichen Transparenzgrundsatz insbesondere, Betroffene über etwaige Datentransfers in das VK gemäß Art. 13, 14 DS-GVO zu informieren sowie auf Verlangen der Betroffenen auch nach Maßgabe von Art. 15 DS-GVO Auskunft über die Datenübermittlungen in das VK sowie die ergriffenen geeigneten Datenschutzgarantien zu erteilen. Darüber hinaus müssen die Datentransfers nebst der weiteren erforderlichen Angaben in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) aufgenommen werden.

Fazit

Der Brexit fordert Arbeitgebern auch in datenschutzrechtlicher Hinsicht einiges ab. Wenngleich nach wie vor abzuwarten bleibt, wie sich die parlamentarische Debatte in Großbritannien entwickelt, sind Unternehmen aufgerufen, sich mit angemessenen Datenschutzmaßnahmen auf den Ernstfall vorzubereiten und bereits jetzt Strategien zu überlegen, um auch zukünftig einen zulässigen Datentransfer mit dem VK sicherzustellen.

351 beiträge

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 65 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Kopie personenbezogener Mitarbeiterdaten – Keine Pflicht zur Herausgabe umfassender Unterlagen

Nach der DSGVO kann der Arbeitnehmer vom Arbeitgeber eine Kopie der personenbezogenen Daten verlangen, die Gegenstand der Verarbeitung durch den Arbeitgeber sind. Die Reichweite dieses Anspruchs ist nach wie vor umstritten. Eine Klärung durch das BAG ist bislang nicht erfolgt. Nun hat sich das ArbG Bonn (Urteil vom 16.07.2020 – 3 Ca 2026/19) gegen ein weites Verständnis des Anspruchs ausgesprochen und klargestellt, dass nur die…
Betriebsrat Datenschutz Kollektivarbeitsrecht Mitbestimmung Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der…
Datenschutz Neueste Beiträge

Rekord-DSGVO-Bußgeld für die Modekette H&M

Der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar hat gegen die Modekette H&M ein Bußgeld von € 35,3 Mio verhängt. In der Nürnberger Filiale der Modekette war seit Jahren das Privatleben von Beschäftigten systematisch ausgespäht worden. Bereits im Oktober 2019 war bekannt geworden, dass in der Nürnberger Filiale von H&M Führungskräfte sogenannte Welcome-Back-Gespräche mit Beschäftigten geführt hatten, die aus Urlaub oder Krankheit zurückkehrten. Dabei wurden u….
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.