Traurig, aber wahr: Ein ungeregelter Brexit droht uns Europäern.

Falls kein Wunder mehr passiert, dann ist Großbritannien am 29.03.2019 um 23:00 Uhr kein EU-Land mehr. Datenschutzrechtlich wäre es dann ein x-beliebiges Drittland (wie USA, Indien, Russland oder China). Der Transfer von personenbezogenen Daten in diese Drittländer ist nur unter bestimmten Voraussetzungen erlaubt, weil die Persönlichkeitsrechte dort nicht gesetzlich garantiert werden.

Interessante Fachartikel finden sich hier und hier.

Der Artikel 44 regelt den Datentransfer in diese Länder.

Die dazugehörige Pflicht [GVO_044] findet sich im Kapitel 7.6 des PrivazyPlan®. Die diesbezüglichen Rechtsgrundlagen werden im Kapitel 13.5.1b thematisiert ("Übermittlung an Drittländer etc.").

Hier kommt also die 2-Stufen-Prüfung zur Geltung, die auch schon zu BDSG-Zeiten galt:

1. Die Daten-Übermittlung an sich bedarf - wie immer - einer Rechtsgrundlage (z.B. Gesetz, Vertrag, Einwilligung).
   
   
2. Rechtfertigung gemäß Artikel 49 (1) für die Tatsache, dass der Empfänger in einem Drittland ansässig ist:
   a) eine explizte (und informierte) Einwilligung in die Drittland-Übermittlung liegt vor, oder
   b) zur Vertragserfüllung mit der betroffenen Person ist die Drittland-Übermittlung unbedingt erforderlich, oder
   c) zur Geltendmachung (bzw. Ausübung oder Verteidigunt) von Rechtsansprüchen erforderlich, oder
   d) im Falle der USA ein Eintrag in die Liste von "EU-U.S. Privacy Shield" erfolgte, oder
   e) ein angemessenes Schutzniveau ist z.B. durch einen EU-Standardvertrag gegeben.

Wenn die obigen Punkte a) bis d) nicht erfüllt sind, dann bleibt nur noch der EU-Standardvertrag (im Englischen auch bekannt unter "Standard Contractual Clauses (SCC)" oder "Model Contract" oder "Model Clause").

Es gibt mindestens vier Versionen dieses EU-Standardvertrages: (a) in Abhängigkeit davon, ob der Empfänger selbstverantwortlich ist oder streng weisungsbezogen handelt und (b) es gibt "neue" und "alte" Versionen.

Das Datenschutz-Praxishandbuch TOM-Guide® geht im Kapitel 8.1.5 auf diese Aspekte ausführlich ein.

Die britische Aufsichtsbehörde liefert hier sehr gute Informationen und sogar ein Tool als Gestaltungshilfe.

Gehören Sie zu den Unternehmen, die personenbezogene Daten nach Großbritannien transferieren? Dann müssen Sie ziemlich wahrscheinlich einen EU-Standardvertrag gestalten und gemeinsam mit dem Empfänger unterzeichnen. Bis zum 29.03.2019 sollte dies erfolgen.

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.