Home / Aktuelles & Termine / it.sec blog

Die Abstimmung im britischen Unterhaus am 27.03.2019 hat weiterhin keine Klarheit darüber gebracht, ob und wenn ja, wie der Brexit am 12.04.2019 oder ggf. zu einem späteren Zeitpunkt erfolgt.

Ein „harter“ Brexit, d.h. ohne entsprechendes Austrittsabkommen mit der EU, würde das Vereinigte Königreich (UK) daher automatisch zu einem Drittstaat i.S.v. § 1 Abs. 6 BDSG, Art. 44 ff. DSGVO machen. Einen Angemessenheitsbeschluss der EU-Kommission, dass UK ein Drittstaat mit einem angemessenen Datenschutzniveau sei, gibt es jedoch derzeit nicht.

Unternehmen, welche Auftragsverarbeiter in UK beauftragen, personenbezogene Daten mit dort ansässigen Konzerngesellschaften austauschen oder an sonstige Stellen übermitteln, sollten daher Vorkehrungen für den Fall eines ungeregelten Austritts treffen: Denn sie müssen dann zusätzlich die Art. 44 ff DSGVO beachten und die Datenübermittlungen in Drittstaaten absichern.

Einige Aufsichtsbehörden (z.B. Bayern und Sachsen-Anhalt), der Europäische Datenschutzausschuss sowie die Datenschutzkonferenz (DSK, ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) haben hierzu Mitteilungen herausgegeben, welche Instrumente hierfür zur Verfügung stehen:

- Insbesondere wird der Abschluss von EU-Standardvertragsklauseln mit dem britischen Datenimporteur empfohlen (Art. 46 Abs. 2 lit. c), d) DSGVO). Welche Standardvertragsklauseln abzuschließen sind, bestimmt sich danach, ob der britische Datenimporteur Verantwortlicher oder Auftragsverarbeiter ist.

- Unternehmen können sich auch auf die Ausnahmeregelungen in Art. 49 Abs. 1 a), b), c), e) DSGVO stützen, bspw. die Einwilligung der betroffenen Personen einholen; dies setzt jedoch voraus, dass solche Datenübermittlungen nur gelegentlich und nicht regelmäßig erfolgen.

Verbindliche, unternehmensinterne Datenschutzvorschriften („BCRs“) oder Verhaltenskodizes & Zertifizierungsmechanismen sind keine sehr praktikablen Instrumente, angesichts der Kürze der Zeit.

Sollte es zu einem "harten" Brexit kommen, gilt es daher Einiges in Sachen Datenschutz zu beachten.

Wir halten Sie auf dem Laufenden.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Einleitung

 

Wer international agiert, muss beim Transfer der Daten besondere Vorkehrungen gem. Art. 44 ff. DSGVO beachten. Die Kommission unterstützt die Unternehmen hierbei: Bestimmte Länder dürfen sich mit einem sog. Angemessenheitsbeschluss schmücken, d.h. der Transfer in diese Länder wird ebenso behandelt, wie wenn die Daten innerhalb der Union ausgetauscht werden.

 

Aus aktuellem Anlass wollen wir auf drei Länder besonders verweisen.

 

Japan

 

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss erlassen, wonach Japan ein angemessenes Datenschutzniveau bescheinigt wird. Aufgrund eines neuen Abkommens wurden in Japan zusätzliche Garantien eingeführt, die nun gewährleisten, dass sämtliche personenbezogene Daten einem Schutz unterliegen, der den europäischen Standards entspricht. Ein Datentransfer nach Japan ist nunmehr ohne weitere zusätzliche vertragliche Absicherung hinsichtlich der Datenübermittlung in Drittstaaten möglich.

 

Groß-Britannien

 

Ganz anders sieht es mit Groß-Britannien und dem bevorstehenden Brexit aus. Ein No-Deal-Brexit würde auch für den Datenschutz einen „no-Deal“ bedeuten, mit der Konsequenz, dass der Datentransfer ins Königreich nicht mehr ohne zusätzliche Absicherung möglich wäre. Da nicht damit zu rechnen ist, dass die Kommission im Falle eines No-Deal-Brexits umgehend einen entsprechenden Angemessenheitsbeschluss erlässt, sollten sich die Unternehmen vorsorglich darauf einstellen, mit ihren Vertragspartnern sicherheitshalber einen Vertrag aufgrund der Standardvertragsklauseln abzuschließen. Ansonsten wäre eine Datenübermittlung nach Groß-Britannien unrechtmäßig.

 

Schweiz

 

Unklar ist derzeit noch, wie es hinsichtlich des Schweizer Datenschutzrechts aussieht. Zwar existiert (noch) ein Angemessenheitsbeschluss der Kommission. Allerdings bleiben die Schweizer Regelungen in vielen Fällen noch hinter den Regelungen der EU zurück. Die entsprechend geplante Änderung des DSG (Datenschutzgesetz Schweiz) lassen derweil jedoch noch auf sich warten. Wenn die Schweizer Gesetzgebung sich nicht beeilt, droht der Widerruf des Angemessenheitsbeschlusses der Kommission mit der Folge, dass auch hinsichtlich des Datentransfers mit Schweizer Unternehmen die Standard-Vertragsklauseln abzuschließen wären, um einen rechtswidrigen Datentransfer zu vermeiden.

 

Wir halten Sie auf dem Laufenden.

 

Céline Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Der Austritt von Großbritannien ist beschlossen. Neben zahlreichen Unklarheiten, blieb ebenso fraglich, in welcher Form das Land mit dem Datenschutz umgehen wird. Bis zum endgültigen Austritt besteht zwar auch für Großbritannien die Umsetzungspflicht der Datenschutzgrundverordnung (DSGVO), nicht aber danach.

In einer offiziellen Absichtserklärung vom 7. August dieses Jahres hat die Regierung des Landes erklärt, dass es die Bestimmungen der DSGVO in nationales Recht umsetzen will. Dabei erklärte die Regierung, dass mit der Reform des Datenschutzrechts der einzelnen Person mehr Kontrolle über seine Daten gegeben werden soll. Auch sollen die Bußgelder in gleicher Weise bemessen werden, wie es die DSGVO vorsieht, also in den schwerwiegendsten Fällen einer Datenschutzverletzung bis zu 20 Millionen Euro (oder hier bis zu 17 Millionen Pfund) oder bis zu 4% vom gesamten Jahresumsatz.

Weitere grundlegende Ziele und Pflichten aus der DSGVO sollen ebenfalls in britisches Recht umgesetzt werden (z.B. das Recht auf Vergessenwerden).

Oberster Zweck der Reform wird es wohl sein, dass sich Großbritannien als Drittland mit angemessenem Datenschutzniveau etablieren kann. um auch nach dem Brexit einen ungehinderten Fluss der personenbezogenen Daten zwischen dem Land und den EU-Staaten garantieren zu können.

Bisher konnte die Regierung noch keinen konkreten Gesetzesentwurf vorlegen, allerdings gibt es bereits Pläne, welche Reformen sich vollziehen sollen. Die Regierung hat hierzu ein PDF-Dokument veröffentlicht.

Ob und in welcher Form die Regierung garantieren kann, dass auch noch nach dem Austritt des Landes die neuen Regelungen in Kraft bleiben, ist abzuwarten.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonität Bonitätsprüfung Brexit Browser BSI Bund Bundesarbeitsgericht Bundesnetzagentur Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Eigentum Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Integrität interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm schutzwürdige Interessen Schwachstellen Schweiz Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TKG TLS TMG Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unerlaubt unpersonalisierter Benutzer-Account Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30