Brexit meets DSGVO: Ein SuperGAU?

Der Europäische Rat stimmt einer erneuten Fristverlängerung zugunsten des Vereinigten Königreichs zu. Bejaht das britische Unterhaus diese Woche den Vertrag, welcher zwischen der EU und dem VK ausverhandelt wurde zu, endet die Frist mit 22.05.2019. Wird das Abkommen aufs Neue durch das House of Commons abgelehnt, kommt es „nur“ zu einer Verlängerung bis zum 12.04.2019. In diesem Zeitraum muss auch ein Plan über das weitere Vorgehen des VK vorgelegt werden.

Vom Ausscheiden des VK aus der EU ist auch das immer wichtiger werdende Feld der Datenverarbeitung betroffen. Im Gebiet der EU wird diese Thematik, seit dem 25. Mai 2018, durch die Datenschutz-Grundverordnung („DSGVO“) geregelt. Diese erhöht die von Unternehmerseite zu setzenden Maßnahmen, um den Schutz von Verbraucherdaten zu gewährleisten. Ebenso werden die Rechte von Betroffenen und Informationspflichten erweitert (Recht auf Berichtigung, Recht auf „Vergessen werden“).

Zu einer detaillierteren Behandlung der EU – DSGVO aus österreichischer Perspektive: https://eu-dsgvo.at/

Das Vereinigte Königreich wird im Verhältnis zur EU zu einem Drittstaat. Ein Schutz durch die DSGVO ist somit nicht mehr gegeben und es stellt sich die Frage ob und wie eine Übermittlung personenbezogener Daten an Drittländer zulässig ist. Dazu muss einerseits die Datenverarbeitung im Inland und andererseits das Schutzniveau des Drittlandes in dem sich der Empfänger befindet, der DSGVO entsprechen.

Eine Übermittlung an Empfänger in Drittländern ist durch die DSGVO nur in folgenden Konstellationen gedeckt:

Existiert ein Angemessenheitsbeschluss der Europäischen Kommission (z.B. in Bezug auf Japan am 23.01.2019), ist das Versenden von Daten zulässig. Angemessenheitsentscheidungen aufgrund der Datenschutzrichtlinie (z.B. in Bezug auf die Schweiz, Israel, Kanada) bleiben bis zu ihrem Widerruf aufrecht.

Bestehen geeignet Garantien (von der Datenschutzbehörde genehmigte verbindliche interne Datenschutzvorschriften; von der Europäischen Kommission erlassene Standartklauseln) wird ein den europäischen Standards entsprechendes Schutzniveau ebenso angenommen.

Auch Vertragsklauseln, die von der die Datenschutzbehörde genehmigt wurden, rechtfertigen einen Datentransfer in ein Drittland.

Kommt es zum Austritt des Vereinigten Königreichs aus der EU ist enorme Vorsicht geboten. Die Übermittlung von Daten an Empfänger im VK, welches dann als Drittstaat zu qualifizieren wäre, muss rechtlich/ vertraglich entsprechend abgesichert sein. Verstöße vermögen zu einem erheblichen Schaden führen, da es zu Geldbußen bis zu EUR 20 Mio. kommen kann. Unternehmen müssen mit bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres einstehen.

Achtsamkeit und eine genaue Kontrolle der bestehenden Verträge mit Partnern im VK ist das Gebot der Stunde.

Quellen: APA, Reuters, eu-dsgvo.at, wko.at

Zurück

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_ga	Wird verwendet, um Benutzer zu unterscheiden.	2 Jahre	HTML	Google
_gat	Wird zum Drosseln der Anfragerate verwendet.	1 Tag	HTML	Google
_gid	Wird für die Nutzerunterscheidung genutzt.	1 Tag	HTML	Google
_ga_--container-id--	Speichert den aktuellen Sessionstatus.	2 Jahre	HTML	Google
_gac_--property-id--	Enthält Informationen zu Kampagnen für den Benutzer. Wenn Sie Ihre Google Analytics und Google Ads Konten verknüpft haben, werden Elemente zur Effizienzmessung dieses Cookie lesen.	3 Monate	HTML	Google