Berliner Wirtschaft 6/2019

Unabhängig davon, ob es zu einem geregelten oder ungeregelten Austritt Großbritanniens aus der EU kommt, müssen Unternehmen Verträge und Datenschutzerklärungen mit dem Hinweis auf die Drittlandübermittlung ergänzen von Beeke Schmidt Neue Regeln – auch für den Datenschutz W ohnen, arbeiten, reisen – der Brexit wirft im (Arbeits-)Alltag viele essen- zielle Fragen auf. Eine in wirtschaft- licher Hinsicht für Unternehmer sehr relevante Frage ist, inwiefern der Brexit die Vor- schriften zum Datenschutz betrifft und welche Auswirkungen sich daraus für den Unterneh- mensbetrieb ergeben. Denn viele Unternehmen haben entweder Niederlassungen oder Dienstleis- ter im Vereinigten Königreich (UK), an die per- sonenbezogene Daten übermittelt werden. Mit demAustritt aus der EUwird UK jedoch zu einem sogenannten Drittland, die dortige Datenverarbei- tung ist damit nicht mehr automatisch zulässig. First Step: Hinweis auf Drittlandübermittlung Unabhängig davon, ob es zu einemgeregelten oder ungeregelten Brexit kommt, müssen Unterneh- men, die personenbezogene Daten nach UK trans- ferieren, jedenfalls ihre Datenschutzhinweise um die Information über diese Drittlandübermittlung ergänzen. Dazu müssen die Datenschutzerklä- rung, das Verarbeitungsverzeichnis und Verträge entsprechend angepasst werden. Erlässt die EU-Kommission einen Angemes- senheitsbeschluss, wird UK zu einem sogenann- ten sicheren Drittland erklärt und damit festge- stellt, dass UKs datenschutzrechtliches Niveau dem der DSGVO entspricht. Die Datenübermitt- lung bliebe in diesem Falle ohne weitere Voraus- setzungen zulässig. Angemessenheitsbeschlüsse gibt es unter anderem für die Schweiz, Kanada und Japan. Grundsätzlich liegt es daher nahe, auch für UK einen solchen Beschluss zu erlassen. Allerdings dürften die Verhandlungen darüber nicht einfach werden, da in UK Sicherheitsgesetze gelten, die erhebliche Risiken für den Schutz von personenbezogenen Daten darstellen. Next Step: Rechtsgrundlage schaffen Unternehmen sind daher gut beraten, sich nicht auf eine mögliche politische Lösung zu verlassen, sondern sich schon jetzt rechtssicher aufzustel- len. Um Datenübermittlungen nach dem Brexit weiterhin datenschutzkonform durchführen zu können, bedarf es einer Rechtsgrundlage: einer „geeigneten Garantie“. Diese kann in unterschied- licher Form geschaffen werden. Für die unternehmensinterne Datenübermitt- lung in unsichere Drittländer ist die Implemen- tierung von bindenden Unternehmensrichtlinien (Binding Corporate Rules, BCR) eine Möglichkeit. Diese legen innerhalb einer Unternehmensgruppe das DSGVO-Niveau als Standard fest. Zu beach- ten ist jedoch, dass die Einführung von BCR ein kosten- und durch die erforderliche Genehmi- gung durch Aufsichtsbehörden auch ein zeitin- tensiver Prozess ist. Eine andere Möglichkeit ist die Verwendung von EU-Standardvertragsklauseln, die die Ver- Beeke Schmidt, IHK-Bereich Weiterbildung & Unternehmenssicherung beeke.schmidt@berlin.ihk.de FOTOS: SHUTTERSTOCK/IVAN MARC, PRIVAT SERVICE | Brexit 56 BERLINER WIRTSCHAFT 06 | 2019