Brexit und Datenschutz: 5 Schritte zu keep calm and carry on (2/2)

von (Kommentare: 0)

Im ersten Teil dieses Beitrages haben wir die Folgen des No Deal Brexit, also des Austritts Großbritanniens aus der EU, ohne dass der Austrittsvertrag in Kraft tritt, beschrieben. Hier soll es nun darum gehen, was Sie als Unternehmen beachten müssen.

Wir gehen jetzt einfach mal davon aus, dass Sie Ihren Unternehmenssitz in Deutschland haben, aber befürchten, dass Ihre Geschäfte mit Handelspartner im Vereinigten Königreich (VK) in Mitleidenschaft gezogen werden könnten. Im Fall, dass Sie keine Handels- oder Geschäftspartner in Großbritannien haben, wird Sie der Brexit wahrscheinlich nur indirekt betreffen.

Als wichtigster Punkt sind hier erstmal die Auftragsverarbeitungsverträge nach Art. 28 DSGVO und § 62 BDSG zu nennen – vor allem wenn Sie Daten nach VK geben. Wenn Sie von dort nur Daten bekommen, ist dies weit weniger problematisch. 

Die Verarbeitung von Daten in einem Drittland kann aber nicht nur für die Verträge mit Ihren Dienstleistern, sondern auch für die mit Ihren Kunden relevant sein. Zuletzt geht es hier um Informationspflichten, und um die Risikobewertung. Aber alles der Reihe nach:

1. Überprüfen Sie die Verträge mit Ihren Dienstleistern

  • Als erstes sollten Sie sich eine Übersicht verschaffen, ob Sie personenbezogene Daten nach Großbritannien geben. Meistens wird das der Fall sein, wenn Sie einen Dienstleister in Großbritannien haben. Vielleicht ein Übersetzungsbüro, einen Exporteur oder einen Finanzdienstleister? Wenn nicht, dann sind Sie in diesem Punkt schonmal sicher.

  • Wenn dies der Fall ist, dann müssen Sie jetzt einen Blick in den Auftragsverarbeitungsvertrag (AV Vertrag) werfen, der diesen Datentransfer regelt (sollten Sie keinen haben, kümmern Sie sich da besser schnellstens drum – sonst droht ein Bußgeld!). Das VK wird aller Wahrscheinlichkeit nach, nach dem 29.3.2019 ein Drittland sein, für das noch kein Angemessenheitsbeschluss (auch Angemessenheitsentscheidung genannt) der EU Kommission vorliegt – für das also die Sicherheit der Datenverarbeitung nicht allgemein angenommen werden darf.

    Der AV Vertrag wird wahrscheinlich eine Bestimmung enthalten, dass die Daten nur innerhalb der EU oder EEA verarbeitet werden dürfen, und das eine Verlagerung in ein Drittland nur dann erlaubt ist, wenn die Sicherheit der Verarbeitung dort gewährleistet ist – oder so ähnlich formuliert. Manchmal wird dort auch festgelegt, wie denn die Sicherheit der Verarbeitung gewährleistet werden kann.

    Auf diese Bestimmung kommt es jetzt an.

2. Passen Sie diese Verträge an

Die Vertragsbeziehungen mit Ihrem Vertragspartner in Großbritannien müssen jetzt also so gestaltet werden, dass die Sicherheit der Verarbeitung dort gewährlistet wird. Das wird auch im relevanten DSK Kurzpapier erklärt.

  • In aller Regel wird es darauf hinauslaufen, dass mit den Dienstleistern im VK Verträge nach den Standardvertragsklauseln abgeschlossen werden müssen. Diese sind inhaltlich kaum strenger als "normale" AV Verträge – es gibt da also wenig zu befürchten.

    Der entscheidende Unterschied zu anderen AV Verträgen ist, dass in diesen Verträgen zugesichert wird, dass die Gesetze im Land der Verarbeitung nicht eine Verarbeitung nach den Datensicherheitsstandards der DS-GVO unmöglich machen.

    Für das VK dürfte das aber bis auf Weiteres kein Problem darstellen.

  • Wenn Ihre Verträge aber die Verarbeitung in einem Drittland ausschließen, oder aber die Standardvertragsklauseln nicht als Garantie der Datensicherheit akzeptieren, dann gilt es schleunigst den Vertrag anzupassen, oder den Dienstleister zu wechseln.

  • Für größere Konzerne als Dienstleister kommen u.U. laut Art. 46 DSGVO auch verbindliche interne Datenschutzvorschriften, oder genehmigte Verhaltensregeln in Betracht – die Handhabung ist hier aber in den meisten Fällen komplizierter. 

3. Überprüfen Sie die Verträge mit Ihren Auftraggebern

Ihr Pflichten zur Gewährleistung der Datensicherheit stammen nicht nur aus dem Gesetz – sie können auch aus Ihren Vertragsbeziehungen stammen. Falls Sie selbst als Dienstleister, also als Auftragsverarbeiter auftreten, müssen Sie jetzt auch diese Verträge durchforsten, ob es hier Bestimmungen gibt, die Ihren Datentransfer nach Großbritannien verbieten würden. (Falls dieser nicht stattfindet, ist auch dieser Punkt für Sie hiermit abgehakt).

Bestimmungen in AV Verträgen, die Sie aufhorchen lassen sollten wäre solche, die den Transfer in ein Drittland verbieten, oder nur in Länder erlauben, für die ein Angemessenheitsbeschluss vorliegt.

In einem solchen Fall müssten Sie mit Ihrem Auftraggeber nachverhandeln – oder sich einen neuen Dienstleister suchen. Da aber das Datenschutzniveau im VK ja nicht über Nacht merklich abgesunken sein wird, kann man hier ja durchaus auf Verständnis der Auftraggeber/ Kunden hoffen.

4. Informationspflichten

Schließlich ist es nicht damit getan, dass Sie Ihre Vertragsbeziehungen in Ordnung bringen – der Datentransfer in ein Drittland zieht weitere Verpflichtungen nach sich. Hier am prominentesten ist die Informationspflicht nach Art. 13 oder 14 DSGVO. Laut diesen Bestimmungen müssen Sie die Betroffenen über einen etwaigen Datentransfer in ein Drittland informieren – bald also wahrscheinlich auch über den Transfer nach England. 

Ihre Pflichtinformationen für Kunden, Nutzer, Mitarbeiter oder sonstige Betroffene muss dann also den Vermerk enthalten, dass die Daten transferiert werden, dass kein Angemessenheitsbeschluss besteht, und eine Erklärung, wie die Datensicherheit im Drittland garantiert wird. Als letztes muss laut Art. 13 (1)(f) DSGVO ein Verweis enthalten sein, wo eine Kopie dieser Garantien erhalten werden kann.

Hier gilt es also die eigenen Formulare und Vorgänge zu durchforsten nach den Dokumenten, die angepasst werden müssen. Wo die Sicherheitsgarantie durch die Nutzung der Standardvertragsklauseln hergestellt wird, ist der Verweis recht einfach, in den anderen Fällen kann eine längere Suche anfallen.

Zu beachten ist hier auch, dass auch die Datenschutzerklärung die Pflichtinformationen enthalten kann – nämlich für Webseitennutzer. Falls diese Daten nach Großbritannien gehen (also ihr Webdienstleister etwa dort sitzt, oder Sie ein Plug-In einer britischen Firma installiert haben, dass Daten transferiert), müsste auch diese angepasst werden.

5. Risikobewertung und Folgenabschätzung

Auch die internen Prozesse werden die veränderte Situation widerspiegeln. Konkret hat der Transfer in ein Drittland Auswirkungen auf die Bewertung des Risikos der Datenverarbeitungstätigkeit, und auf die Notwendigkeit einer Datenschutzfolgenabschätzung. Der Transfer in ein Drittland behaftet die Datenverarbeitung erstmal mit einem höheren Risiko. Und auch wenn man dann am Ende entscheidet, dass keine Aktion notwendig ist, will die veränderte Situation doch auch dokumentiert sein. 

Suchen Sie noch Unterstützung?

Wir unterstützen unsere Kunden bei genau diesen Anpassungsprozessen. Wenn Sie Hilfe bei der Suche nach der richtigen Vertragsform brauchen, oder von einer Risikobewertung oder gar Datenschutzfolgenabschätzung noch nie gehört haben – wir beraten gerne im Raum Mannheim – Heidelberg bis hin nach Stuttgart, Karlsruhe oder Hamburg zu allen Datenschutzfragen.

Zurück

Einen Kommentar schreiben

Bitte addieren Sie 4 und 8.

Für die korrekte Darstellung der Webseite auf Ihrem Computer arbeiten wir mit sogenannten Cookies. Diese Speichern Informationen auf Ihrem Gerät. Außerdem speichern wir auch Information über Ihren Besuch in solchen Cookies. Detaillierte Informationen über den Einsatz von Cookies auf unserer Webseite erhalten Sie in der Datenschutzerklärung. Die rechtlichen Angaben und Kontaktinformationen der dacuro GmbH finden Sie im Impressum.

Technisch notwendige Cookies

Dies sind Informationen, die wesentliche technische Funktionen ermöglichen, so wie das Ausfüllen von Formularen oder Spracheinstellungen. Diese Cookies sind notwendig, um die Seite anzeigen und diese korrekt nutzen zu können.

Mit der Bestätigung stimmen Sie diesem Vorgang zu.

Maps & YouTube

Mit Aktivierung des Buttons haben Sie Zugriff auf Google Maps und von uns bereitgestellte YouTube-Videos. Hierfür werden Ihre Daten an Google Ireland Limited („Google“) weitergeleitet, wodurch unter Umständen eine Verabeitung Ihrer Daten in den USA erfolgt, da hier der Hauptsitz des Unternehmens ist.

Sie können sich auch nachträglich dazu entschließen, die Anwendungen zuzulassen.

Analyse

Dies sind Informationen, die Daten über Ihre Webseiten-Nutzung sammeln, damit wir diese verbessern können. Hierfür verwenden wir Google Analytics mit Einbindung der IP-Anonymisierung von Google Ireland Limited („Google“), deren Hauptsitz in den USA ist. Wir können daraus keine Rückschlüsse über Ihren Namen oder Ihre Kontaktdaten ziehen.

Sie können diese Cookies in der Datenschutzerklärung wieder ausschalten, wenn Sie sie jetzt zulassen.