open search
close
Datenschutz

Datenschutz-Brexit: Was erwartet Unternehmen?

Print Friendly, PDF & Email

Der Countdown läuft. Die Datenschutzwelt blickt in diesen Tagen gespannt nach Großbritannien und stellt sich die Frage, wie sich zukünftig der Datentransfer zwischen dem Vereinten Königreich Großbritannien und Nordirland (im Folgenden: VK) und der Europäischen Union (im Folgenden: EU) gestaltet. Am vergangenen Freitag berichteten bereits unsere englischen IusLaboris-Kollegen von Lewis Silkin (Beitrag hier abrufbar), deren Ausführungen wir im Folgenden insbesondere auch um den Standpunkt der Aufsichtsbehörden ergänzen möchten.

Mögliche Austrittsszenarien

Arbeitgeber, die mit dem VK personenbezogene Daten austauschen, müssen sich gedanklich mit zwei Austrittszenarien befassen:

Gelingt es den Verhandlungsführern, den derzeitigen Entwurf eines Austrittsabkommens zu ratifizieren („Deal-Brexit“), gelten nach wie vor die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und dürfen Datenströme wie bislang fließen. Das Abkommen statuiert für diesen Fall einen Übergangszeitraum bis Ende des nächsten Jahres, der zudem vor dem 1. Juli 2020 um ein beziehungsweise zwei Jahre verlängert werden kann. Ein geregelter Austritt verschaffte Unternehmen zumindest ausreichend Zeit, um sich auf eine etwaige Zersplitterung des europäischen Datenschutzrechts einstellen zu können.

Ob eine solche tatsächlich in massivem Umfang eintritt, darf jedoch bezweifelt werden. Für den Fall des Scheiterns der Verhandlungen („No-Deal-Brexit“) wird das VK zwar zu einem sogenannten „Drittland“ und findet die sogenannte „Zwei-Stufen-Prüfung“ Anwendung (Stufe 1: Werden unabhängig von den in Art. 45 ff. DS-GVO genannten spezifischen Anforderungen an Datentransfers in Drittländer auch sämtliche anderweitigen Vorgaben der DS-GVO eingehalten? Wenn ja, folgt Stufe 2: Hält sich die im Verarbeitung in dem durch Art. 45 ff. DS-GVO gezogenen Rahmen?).


Gewährleistung eines angemessenen Datenschutzniveaus

Allerdings könnte die Europäische Kommission per „Angemessenheitsbeschluss“ dem VK den Status eines sicheren Drittlandes attestieren. Auf dieser Grundlage erfolgende Datentransfers werden solchen innerhalb der EU gleichgestellt und privilegiert. Aber auch jenseits eines solchen Angemessenheitsbeschlusses verbleiben noch verschiedene Möglichkeiten, für einen ausreichenden Datenschutz zu sorgen (Standarddatenschutzklauseln, Binding Corporate Rules etc.). In anderen Fällen wird sich ein Verantwortlicher auch auf Ausnahmen berufen können, die den Transfer in ein Drittland legitimieren, etwa wenn die Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten oder zur Wahrung von Gemeinwohlinteressen erfolgt.

Praktischer Handlungsbedarf

Für betroffene Arbeitgeber ist es höchste Zeit, sich der Konsequenzen eines möglichen Datenschutz-Brexits vor Augen zu führen. Dies setzt zum einen eine Prüfung der Vertragswerke (auch etwa im Hinblick auf Auftragsverarbeitungsverhältnisse) auf Aktualität voraus. Zum anderen sollte besonderes Augenmerk auf die Gewährleistung der Maßnahmen nach Kapitel V DS-GVO gelegt werden. Hier gilt es insbesondere die Vorgaben des Europäischen Datenschutzausschusses (EDSA) zu berücksichtigen (hier abrufbar), für die auch eine inoffizielle deutsche Arbeitsübersetzung vorliegt (hier abrufbar).

Sollte der Datenschutz-Brexit Realität werden, müssen Verantwortliche bei dem Transfer von personenbezogenen Daten in das Drittland im Kern jedenfalls folgende fünf Maßnahmen ergreifen:

  1. Festlegung, welche Verarbeitungen eine Übermittlung personenbezogener Daten an das VK mit sich bringen
  2. Festlegung des geeigneten Datentransferinstruments für die Situation
  3. Umsetzung dieses Instruments dergestalt, dass es für den Fall des Brexits einsatzbereit ist
  4. Interne Dokumentation darüber, dass Übermittlungen in das VK erfolgen werden
  5. Entsprechende Aktualisierung des Datenschutzes zur Information der Einzelpersonen

Die unter Nr. 4 und 5 genannten Schritte verlangen von Verantwortlichen dabei mit Blick auf den datenschutzrechtlichen Transparenzgrundsatz insbesondere, Betroffene über etwaige Datentransfers in das VK gemäß Art. 13, 14 DS-GVO zu informieren sowie auf Verlangen der Betroffenen auch nach Maßgabe von Art. 15 DS-GVO Auskunft über die Datenübermittlungen in das VK sowie die ergriffenen geeigneten Datenschutzgarantien zu erteilen. Darüber hinaus müssen die Datentransfers nebst der weiteren erforderlichen Angaben in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) aufgenommen werden.

Fazit

Der Brexit fordert Arbeitgebern auch in datenschutzrechtlicher Hinsicht einiges ab. Wenngleich nach wie vor abzuwarten bleibt, wie sich die parlamentarische Debatte in Großbritannien entwickelt, sind Unternehmen aufgerufen, sich mit angemessenen Datenschutzmaßnahmen auf den Ernstfall vorzubereiten und bereits jetzt Strategien zu überlegen, um auch zukünftig einen zulässigen Datentransfer mit dem VK sicherzustellen.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge

Wenn Arbeitgeber Bewerber googeln: Informationspflicht und Datenschutz im digitalen Zeitalter

Internetrecherchen spielen für Arbeitgeber im Bewerbungsprozess eine immer größere Rolle. Im digitalen Zeitalter gibt es eine hohe Diversität an Informationen über Personen im Netz. Dadurch kann das Internet Informationen über Bewerber bieten, die über die in den eingereichten Bewerbungsunterlagen hinausgehen. Arbeitgeber müssen allerdings einiges beachten, wenn sie die Namen von Bewerbern in eine Suchmaschine eingeben und dadurch erlangte Informationen im Auswahlverfahren verwerten möchten. Arbeitgeber müssen bei…
BEM Individualarbeitsrecht

BEM-Einladungsschreiben – keine reine Formalität!

Die Durchführung eines betrieblichen Eingliederungsmanagements („BEM“) ist in den meisten Fällen Wirksamkeitsvoraussetzung für eine krankheitsbedingte Kündigung. Das BEM gehört also zum Standardprozess. Doch bereits ein fehlerhaftes Einladungsschreiben zum BEM kann diesen Prozess zunichtemachen. Und das nicht nur, wenn der Arbeitnehmer das BEM abgelehnt hat, sondern auch wenn es tatsächlich durchgeführt wurde. In diesem Beitrag sollen daher wichtige Aspekte aufgegriffen werden, die bei der Erstellung des…
Datenschutz Neueste Beiträge

Erste europäische Richtlinie zur Nutzung von Künstlicher Intelligenz und Datenschutz

Der European Data Protection Supervisor („EDPS“) hat in seiner Funktion als Datenschutzbehörde am 3. Juni 2024 erstmalig eine Richtlinie für den richtigen Umgang mit Datenschutz im Zusammenhang mit der Nutzung von generativen KI-Systemen veröffentlicht. Vorrangig richtet sich die Richtlinie an EU-Institutionen und soll eine Orientierungshilfe zur Einhaltung der EU-DSVO sein. Die EU-DSVO findet speziell für die Verarbeitung von personenbezogenen Daten durch EU-Institutionen Anwendung, während die…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert