Der Brexit und die Folgen für den Datenschutz
Data Privacy von Ioannis Dimas (Kommentare: 0)
„Das Ende der Brexit-Soap – der Beginn der Interessanten Zeiten für Datenverarbeiter und Datenschützer.“
Wir schreiben den 31.01.2020 – der Tag an dem eines der am bestüberwachtesten Länder Westeuropas die EU verlässt – über 6 Millionen Überwachungskameras im öffentlichen Raum, Gesichtserkennung, Datensammlung etc. – Big Brother lässt grüßen. Aber was bedeutet dieser Austritt für in der EU ansässige Unternehmen, deren IT-Verantwortliche und Datenschutzbeauftragte?
Wir wollen hier ein wenig Licht ins Dunkel bringen. Da das EU-Parlament dem Austritt zugestimmt hat, haben wir einen geregelten Austritt Großbritanniens (GB) aus der Europäischen Union. Mit dem Austritt ab dem 01.02.2020 beginnt die 11-monatige Übergangsfrist, die am 31.12.2020 endet. Während dieser Zeit wird GB von der EU grundsätzlich wie jeder andere EU-Mitgliedsstaat weiterhin behandelt. In dieser Zeit haben GB und die EU die Gelegenheit auch den Datenschutz und den Umgang des Datenaustauschs zwischen den beiden Parteien in einem Abkommen zu regeln. Somit kann wie bisher auch, der Datenaustausch zwischen EU-Unternehmen und Stellen in GB erfolgen. Interessant wird es wenn kein Abkommen zum 31.12.2020 erfolgt – Datenschützer werden dann mit Staffel 2 der Brexit-Soap konfrontiert.
Wie sieht es dann aus? Hier begeben wir uns in den Bereich der Kristallkugel und des Kaffeesatzlesens. Nehmen wir das Worst-Case-Szenario: „Es wurde kein wie auch immer gearteter Vertrag zum Schutz und zur Verarbeitung von personenbezogenen Daten geschlossen und es liegt auch kein Angemessenheitsbeschluss der Europäischen Kommission vor.“ Dann muss der für die Datenverarbeitung Verantwortliche (das EU ansässige Unternehmen oder Organisation) geeignete Garantien zum Schutz der Daten und deren Verarbeitung vorsehen und die betroffene Person durchsetzbare und wirksame Rechte zur Verfügung haben. Oder eine Ausnahme (wie in der DS-GVO) definiert vorliegen.
Die Verantwortlichen und Datenschützer von EU-Unternehmen sollten jetzt schon beginnen sich Gedanken über die weitere Datenverarbeitung mit Stellen in GB zu machen. Elf Monate klingt nach viel, ist aber eine sehr kurze Zeit um sich DS-GVO-Konform aufzustellen.
Sprechen Sie uns an, wir beraten Sie gerne und sind behilflich bei der Umsetzung.