Der Europäische Rat stimmt einer erneuten Fristverlängerung zugunsten des Vereinigten Königreichs zu. Bejaht das britische Unterhaus diese Woche den Vertrag, welcher zwischen der EU und dem VK ausverhandelt wurde zu, endet die Frist mit 22.05.2019. Wird das Abkommen aufs Neue durch das House of Commons abgelehnt, kommt es „nur“ zu einer Verlängerung bis zum 12.04.2019. In diesem Zeitraum muss auch ein Plan über das weitere Vorgehen des VK vorgelegt werden.
Vom Ausscheiden des VK aus der EU ist auch das immer wichtiger werdende Feld der Datenverarbeitung betroffen. Im Gebiet der EU wird diese Thematik, seit dem 25. Mai 2018, durch die Datenschutz-Grundverordnung („DSGVO“) geregelt. Diese erhöht die von Unternehmerseite zu setzenden Maßnahmen, um den Schutz von Verbraucherdaten zu gewährleisten. Ebenso werden die Rechte von Betroffenen und Informationspflichten erweitert (Recht auf Berichtigung, Recht auf „Vergessen werden“).
Zu einer detaillierteren Behandlung der EU – DSGVO aus österreichischer Perspektive: https://eu-dsgvo.at/
Das Vereinigte Königreich wird im Verhältnis zur EU zu einem Drittstaat. Ein Schutz durch die DSGVO ist somit nicht mehr gegeben und es stellt sich die Frage ob und wie eine Übermittlung personenbezogener Daten an Drittländer zulässig ist. Dazu muss einerseits die Datenverarbeitung im Inland und andererseits das Schutzniveau des Drittlandes in dem sich der Empfänger befindet, der DSGVO entsprechen.
Eine Übermittlung an Empfänger in Drittländern ist durch die DSGVO nur in folgenden Konstellationen gedeckt:
Existiert ein Angemessenheitsbeschluss der Europäischen Kommission (z.B. in Bezug auf Japan am 23.01.2019), ist das Versenden von Daten zulässig. Angemessenheitsentscheidungen aufgrund der Datenschutzrichtlinie (z.B. in Bezug auf die Schweiz, Israel, Kanada) bleiben bis zu ihrem Widerruf aufrecht.
Bestehen geeignet Garantien (von der Datenschutzbehörde genehmigte verbindliche interne Datenschutzvorschriften; von der Europäischen Kommission erlassene Standartklauseln) wird ein den europäischen Standards entsprechendes Schutzniveau ebenso angenommen.
Auch Vertragsklauseln, die von der die Datenschutzbehörde genehmigt wurden, rechtfertigen einen Datentransfer in ein Drittland.
Kommt es zum Austritt des Vereinigten Königreichs aus der EU ist enorme Vorsicht geboten. Die Übermittlung von Daten an Empfänger im VK, welches dann als Drittstaat zu qualifizieren wäre, muss rechtlich/ vertraglich entsprechend abgesichert sein. Verstöße vermögen zu einem erheblichen Schaden führen, da es zu Geldbußen bis zu EUR 20 Mio. kommen kann. Unternehmen müssen mit bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres einstehen.
Achtsamkeit und eine genaue Kontrolle der bestehenden Verträge mit Partnern im VK ist das Gebot der Stunde.
Quellen: APA, Reuters, eu-dsgvo.at, wko.at