Vorbereitung auf die Zeit nach dem Brexit (Anleitung)

Datenübertragungen nach Großbritannien nach dem Brexit

Es ist eher unwahrscheinlich, dass die EU-Kommission bis zum Ende der Brexit-Übergangsfrist einen Angemessenheitsbeschluss gemäß Art. 45 Datenschutz-Grundverordnung (DSGVO) zum Datenschutzniveau in Großbritannien fasst. Warum dies sogar auf längere Sicht schwierig sein könnte, haben wir in dieser Faktensammlung zum Brexit dargelegt.

Ohne einen solchen Angemessenheitsbeschluss wird das Vereinigte Königreich Großbritannien und Nordirland zu einem sogenannten Drittstaat. Übertragungen personenbezogener Daten aus der EU nach Großbritannien bedürfen dann gesonderter Nachweise über die Gewährleistung des Datenschutzes vor Ort.

Um sich auf diesen Fall vorzubereiten, sollten Unternehmen mit Standorten, Tochterunternehmen oder Auftragsverarbeitern im Vereinigten Königreich jetzt schon Folgendes zu tun:

Verantwortliche müssen bei einer Datenübermittlung in das Drittland Großbritannien

• feststellen, welche Verarbeitungstätigkeiten die Übermittlung personenbezogener Daten nach Großbritannien vorsehen;
• für diese Verarbeitungstätigkeiten jeweils geeignete Garantien nach Artikel 46 DSGVO festlegen, z.B.
  • EU-Standardvertragsklauseln,
  • verbindliche unternehmensinterne Regelungen (Binding Corporate Rules, BCR) oder
  • Zertifizierungen;
• die gewählten Garantien so umsetzen, dass ab 1. Januar 2021 greifen,
• in der Dokumentation der Verarbeitungstätigkeiten vermerken, dass Übermittlungen in das Drittland Großbritannien erfolgen,
• die Informationsschreiben nach Artikel 13 und 14 DSGVO entsprechend aktualisieren.

Unternehmen muss klar sein, dass wenn sie personenbezogene Daten ohne die nach Kapitel V DSGVO notwendigen Sicherheiten nach Großbritannien übermitteln, rechtswidrig handeln. Die Aufsichtsbehörden können dann Datenübermittlungen per Anordnung aussetzen und Geldbußen verhängen.