27. März 2019 Andreas Schütz

Vereinigtes Königreich wird „unsicheres Drittland“

Das Ausscheiden des Vereinigten Königreichs aus der EU bringt erhebliche Konsequenzen bei der grenzüberschreitenden Verarbeitung von Daten mit sich. [...]

Andreas Schütz, Anwalt bei Taylor Wessing. (c) Taylor Wessing

Datenschutzrechtlich relevant ist der Brexit für jene Organisationen, die Verantwortliche im Sinne der DSGVO sind, die über eine Niederlassung, Tochtergesellschaft oder ein verbundenes Unternehmen in dem Vereinigten Königreich verfügen, deren Daten in der EU verarbeitet werden, oder die Daten des Verantwortlichen verarbeiten. Auch Unternehmen, die Dienstleister (Auftragsverarbeiter) mit Sitz im Vereinigten Königreich beauftragen sowie zur Ausführung von eigenen Leistungen Auftragnehmer im Vereinigten Königreich einsetzen (Transportunternehmen), sind betroffen.


Grundsätzlich ist davon auszugehen, dass (z.B. bei einem Cloud-Dienst) alle Datenkategorien, die der Verantwortliche verarbeitet, betroffen sein können. Wenn etwa Online-Dienste auf einer Website benutzt werden, bei denen der Dienstleister im Vereinigten Königreich ansässig ist, sind auch personenbezogene Daten von Website-Besuchern betroffen. Werden diese Daten transferiert, liegt eine Datenübermittlung in ein »unsicheres« Drittland vor. Unternehmen müssen somit ein angemessenes Schutzniveau beim Empfänger im Vereinigten Königreich sicherstellen.


Das Schutzniveau kann durch einen sogenannten »Angemessenheitsbeschluss« der EU-Kommission erreicht werden, wobei bezweifelt werden darf, dass ein derartiger Beschluss kurzfristig erfolgen wird. Abhilfe auf individueller Ebene könnten Standardvertragsklauseln zwischen Verantwortlichem und Empfänger schaffen. Die DSGVO sieht außerdem vor, dass die Datenschutzbehörde konkrete Vertragsklauseln zwischen Verantwortlichen und Empfängern im Drittland zu Zwecken des »internationalen Datentransfers« genehmigen kann.
Weitere zulässige Datenübermittlungen wären etwa die notwendige Übermittlung zur Vertragserfüllung im Interesse von Betroffenen (wobei die Datenübermittlung nur gelegentlich erfolgen darf) oder die Geltendmachung oder Abwehr von Rechtsansprüchen. Auch im Falle des Vorhandenseins von »genehmigten Verhaltensregeln« ist eine Datenübermittlung zulässig.


Betroffenen Unternehmen ist zu raten, jegliche Datenübermittlung auf ihre Zulässigkeit zu analysieren. Es ist zu prüfen, ob personenbezogene Daten regelmäßig oder nur gelegentlich übermittelt werden und auf welcher Rechtsgrundlage dies erfolgt. Betroffene sind darüber zu informieren, dass deren Daten in ein »unsicheres Drittland« übermittelt werden und Datenschutzhinweise sind entsprechend anzupassen.
Obwohl die DSGVO nunmehr nahezu ein Jahr in Kraft ist und zahlreiche Unternehmen die Bestimmungen umgesetzt haben, herrscht weiterhin hoher organisatorischer Aufwand. Äußere Einflüsse wie ein Brexit machen Unternehmen das Leben keinesfalls leichter.

Andreas Schütz | Taylor Wessing


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*