Expertentipp: Brexit & Datenschutz Unter spezieller Berücksichtigung des Gesichtspunktes Videoüberwachung

Großbritannien hat zum 31.12.2020 die EU verlassen. Aus europäischer Sicht stellen sich nun viele Fragen: Worauf müssen sich Unternehmen einstellen? Wird Datenübermittlung in das Vereinigte Königreich komplizierter? Wie sieht es beim Thema Datenschutz und Brexit aus? Dieser Dallmeier Expertentipp zum Thema Brexit und Datenschutz hilft Ihnen dabei, den Überblick über die rechtlichen Voraussetzungen und Entwicklungen zu behalten.

Ist UK nun ein datenschutzrechtliches Drittland? Worum geht es?

  • Bis zum Brexit galt in UK direkt und unmittelbar die DSGVO.
  • Das mit der DSGVO geschaffene Datenschutzniveau in der EU soll nicht dadurch umgangen bzw. untergraben werden, dass Daten ins Ausland übermittelt und dort verarbeitet werden, wo möglicherweise ein niedrigeres Datenschutzniveau als in der EU gilt
  • „Ins Ausland“ bedeutet nach der DSGVO in ein Drittland. Nicht-EU-Mitgliedsstaaten sind sogenannte Drittländer.
  • Für UK gilt allerdings eine Übergangszeit von max. sechs Monaten
  • Was gilt es für Unternehmen datenschutzrechtlich zu beachten bzw. umzusetzen nach dem Brexit?

„Welcher Datentransfer / Welche Datenverarbeitung“ sind betroffen?

  • Transfer und Verarbeitung von allgemeinen und geschäftsüblichen Daten mit Personenbezug nach/in Großbritannien
  • Transfer und Verarbeitung von personenbezogenen und personenbeziehbaren Daten, welche im Umgang und in der Anwendung von Videotechnik anfallen
  • Zu Daten- und Videodatenverarbeitungen und Transfers kommt es zum Beispiel dann:
    • wenn Dienstleister im Ausland als Auftragsverarbeiter (z.B. Videodienstleister im Supportfall) eingesetzt werden
    • oder wenn Cloud-Lösungen genutzt werden (z.B. Cloud-Videodienstleister), bei denen sich die Server in der Regel im Ausland befinden
Datenschuz und Datenscichergheit in der Videoüberwachung

Welche Regelung gilt seit 01.01.2021 laut Freihandelsabkommen?

REGELUNG UND WICHTIG ZU WISSEN:

  • Großbritannien ist übergangsweise und datenschutzrechtlich kein Drittland während einer Übergangszeit von max. 6 Monaten
  • Für den Zeitraum dieser Übergangslösung müssen Unternehmen keine Vorkehrungen treffen, um Daten zwischen der EU und Großbritannien transferieren zu können

Ausblick und Handlungstipps (bzgl. Datentransfer)

SZENARIO 1 (BESTER UND EINFACHSTER FALL: „ANGEMESSENHEITSBESCHLUSS“)

  • Nach Übergangszeit könnte Datenübermittlung nach Großbritannien, das dann „offiziell“ Drittland wäre, auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (nach Art 45 DSGVO) datenschutzrechtlich möglich und konform ablaufen
  • Ein „Angemessenheitsbeschluss“ wäre grob gesagt eine Bestätigung, dass ein Drittland ein angemessenes Schutzniveau aufweist („sicheres Drittland“)
  • Übergangszeit gilt bis zu dem Zeitpunkt, in dem die Europäische Kommission einen Angemessenheitsbeschluss für das Königreich final erlassen hat
  • Angemessenheitsbeschluss ist lt. aktueller Expertenmeinung sehr wahrscheinlich
  • Unternehmen können dann Ihre Datenprozesse in bzw nach Großbritannien auf die Regelungen des Artikels 45 DSGVO stützen

SZENARIO 2 („SCHLECHTESTER“ UND AUFWENDIGERER FALL)

  • Falls kein Angemessenheitsbeschluss ergeht, ergibt dies einen erhöhten Handlungsbedarf bei den Unternehmen
  • Die DSGVO ermöglicht aber auch für diesen Fall, die Datenübermittlung nach Großbritannien datenschutzrechtlich konform durchzuführen.
  • Unternehmen müssten jedoch aktiv werden und gewisse Instrumente und Prozesse nach Ablauf der Übergangsfrist schnellstmöglich umsetzen
  • Vermutlich nach den Bestimmungen für den Datentransfer in Drittland gemäß den Artikeln 46ff DSGVO
  • z. B. Datenübermittlung vorbehaltlich geeigneter Garantien / Standarddatenschutzklauseln

Wichtiger Hinweis bzgl. Datenverarbeitung

Jenseits des Themas Datentransfer gilt nachfolgende Regelung:

  • Bei der Datenverarbeitung gilt auch nach dem Brexit für UK-Unternehmen indirekt und mittelbar die DSGVO d. h. Großbritannien kann sich auch mit dem Brexit nicht ganz von der DSGVO verabschieden
  • Die DSGVO greift weiterhin bei Datenverarbeitungsszenarien, wie im Artikel 3 Abs. 2 DSGVO beschrieben („Räumlicher Anwendungsbereich“)
  • Waren- oder Dienstleistungsangebot an Personen in der Union • Verhalten von betroffenen Personen in der Union beobachten
Besprechung Brexit Datenschutz

Checkliste für Sie als Entscheider oder Verantwortlicher

  • Kenntnisnahme und Nachvollziehbarkeit dieser Information
  • Szenarien und Zeitfristen weiter beobachten und Beschlüsse der EU-Kommission abwarten
  • Parallel dazu die Dallmeier Expertentipps und Newsletter beobachten und abonniert halten
  • Entsprechend nötige Maßnahmen zum Zeitpunkt x einleiten • Jetzt schon mal folgendes veranlassen:
    • Blick ins Verarbeitungsverzeichnis: Hieraus sollte sich ergeben, ob und welche Daten
      • nach Großbritannien übermittelt werden (Blickwinkel Datentransfer EU -> UK)
      • von betroffenen EU-Personen in UK verarbeitet werden (Blickwinkel Datenverarbeitung von betroffenen EU-Personen durch UK-Unternehmen)
      • Für jede Verarbeitung prüfen, ob die Übermittlung aktuell und in Zukunft je nach Szenario weiterhin DSGVO konform ist.
  • Optional Verträge mit Auftragsverarbeitern oder gemeinsamen Verantwortlichen aktualisieren
  • Dokumente wie Verarbeitungsverzeichnis, Datenschutzerklärung und Datenschutz-Folgenabschätzung prüfen und bei Bedarf aktualisieren

19. Mai 2022: Update zum Blogbeitrag

Ausblick und Handlungstipps (bzgl. Datentransfer)

  • SZENARIO 1 (BESTER UND EINFACHSTER FALL: „ANGEMESSENHEITSBESCHLUSS“)

Juni 2021: EU-Kommission erlässt Angemessenheitsbeschluss zu Großbritanniens Datenschutzniveau

Am 28. Juni 2021 hat die EU-Kommission wenige Tage vor Ablauf der Übergangslösung einen Angemessenheitsbeschluss gem. Art. 45 DSGVO erlassen, wonach Großbritannien als sicherer Drittstaat eingestuft wird.

Der Angemessenheitsbeschluss hat eine Laufzeit von zunächst vier Jahren (bis Juni 2025).

About the Author: