Brexit und DSGVO: Was Unternehmer und Webseitenbetreiber jetzt wissen müssen

(2 Bewertungen, 5.00 von 5)

Der Brexit-Deal ist am 1.1.2021 in Kraft getreten. Doch was bedeutet der Austritt Großbritanniens aus der EU für den Datenschutz? Dürfen Sie als deutscher Unternehmer künftig einfach Unternehmen aus UK beauftragen? Dürfen Sie Anbieter und Tools aus dem Vereinigten Königreich wie Spotify oder Klick-Tipp noch auf EU-Webseiten weiternutzen? Wir klären auf.

Anzeige

Inhaltsverzeichnis:

  1. Welche Folgen hat der Brexit für den Datenschutz?
  2. Ist die Datenübermittlung nach Großbritannien illegal?
  3. Kann ich mich darauf verlassen, dass die EU eine "datenschutzrechtliche Lösung" für den Brexit finden wird?
  4. Wie kann ich den Datentransfer nach Großbritannien absichern?
  5. Muss ich meine Datenschutzerklärung anpassen?
  6. Bin ich betroffen?
  7. Sollte ich die Standardvertragsklauseln mit meinem britischen Vertragspartner vereinbaren?
  8. Was sollte ich noch tun?
  9. Fazit
  10. Checkliste

Welche Folgen hat der Brexit für den Datenschutz?

Die Datenschutz-Grundverordnung (DSGVO) erlaubt den freien Datentransfer innerhalb der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR). Als deutscher Unternehmer müssen Sie sich also keine Gedanken über den grenzüberschreitenden Datenaustausch machen, wenn Sie einen französischen oder einen irischen Dienstleister beauftragen. Grund: Die Datenschutz-Grundverordnung (DSGVO) erlaubt den freien Datentransfer innerhalb der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR).

Das galt bisher auch für Großbritannien. Durch den Brexit wird das Vereinigte Königreich aber zu einem datenschutzrechtlich unsicheren Drittstaat. Laut DSGVO dürfen Sie Daten in solche Staaten nur übermitteln, wenn geeignete datenschutzrechtliche Garantien vorliegen.

Ist die Datenübermittlung nach Großbritannien seit dem 1.1.2021 also illegal?

Nein. Im letzten Moment haben die EU und Großbritannien eine Übergangsregelung vereinbart: Hiernach wird Großbritannien bis zum 30. Juni 2021 datenschutzrechtlich wie ein EU-Staat behandelt.

Aber: Ab dem 1. Juli 2021 ist Großbritannien voraussichtlich ein unsicherer Drittstaat.

Kann ich mich darauf verlassen, dass die EU schon irgendwie eine "datenschutzrechtliche Lösung" für den Brexit finden wird?

Im Moment sieht es nicht gut aus. Denn die EU-Kommission hatte zwar einen Angemessenheitsbeschluss entworfen. Das Europäische Parlament hat diesen jedoch kürzlich abgelehnt. Ein Problem sieht das EU-Parlament in der Überwachung durch britische Geheimdienste, wie es auch im Fall der USA war. Ob die EU-Kommission bis zum 30.6. noch eine andere Lösung finden wird, ist unklar.

Anzeige

Wie kann ich den Datentransfer nach Großbritannien und in andere Drittstaaten absichern?

Da das Europäische Parlament den Angemessenheitsbeschluss abgelehnt hat, wird ab dem 1.7. Großbritannien voraussichtlich ein unsicherer Drittstaat sein. Daher unsere Empfehlung: Prüfen Sie, ob die Nutzung der britischen Tools zulässig ist. Der Einsatz von britischen Tools ist dabei unter folgenden Voraussetzungen zulässig:

1) Vertragserfüllung:

Wenn Sie die Daten in die UK übermitteln, um einen Vertrag zu erfüllen, kann dies zulässig sein. Dafür muss die Übermittlung nach UK und der Vertragszweck eng zusammenhängen.

Beispiel: Übermittlung von Reisedaten für Flug- oder Hotelbuchungen

Hieran dürfte es beispielsweise fehlen, wenn Sie eine Kunden- oder Personaldatenverwaltung nach Großbritannien outsourcen (z.B. auf in UK gehostete CRM-Systeme oder Personalverwaltungssysteme). Denn solche Systeme gibt es auch in der EU.

2) Einwilligung:

Sie können auch eine Einwilligung bei den Betroffenen einholen. Weisen Sie im Einwilligungstext ausdrücklich darauf hin, dass die Daten in ein nicht sicheres Drittland übermittelt werden sollen.

Praxistipp: Da es hier auf die konkreten Formulierungen an kommt sollten Sie sich Unterstützung bei einem auf Datenschutzrecht spezialisierten Rechtsanwalt suchen.
Die Kanzlei Siebert Lexow steht Ihnen dafür gern zur Verfügung:
www.kanzlei-siebert.de

3) Binding Corporate Rules (BCR):

Sie können Daten weiterhin relativ problemlos übertragen, wenn der Anbieter sich verbindliche unternehmensinterne Regelungen zum Umgang mit personenbezogenen Daten auferlegt hat – sogenannte Binding Corporate Rules (BCRs). Da Binding Corporate Rules von einer EU-Datenschutzbehörde bestätigt werden müssen, können diese weiterhin als Rechtsgrundlage für die Datenübertragung in Drittstaaten herangezogen werden. Es gibt aber nur wenige Unternehmen, die über BCRs vefügen.

4) EU-Standardvertragsklauseln:

Sie können auch sog. EU-Standardvertragsklauseln mit dem Anbieter vereinbaren. Diese Standardvertragsklauseln (oder Standard Contractual Clauses – SCCs) sind ein offizielles Vertragsmuster der EU-Kommission. Aber Achtung: Zwar hat der EuGH sie bisher nicht für unwirksam erklärt - im Gegensatz zum Privacy-Shield. Aber er hat klargestellt: Die zuständige Datenschutzbehörde kann die Übertragung der Daten in Drittstaaten auf Grundlage der Standardvertragsklauseln verbieten. Voraussetzung: Sie meint, dass die Klauseln und die DSGVO im Drittland nicht eingehalten werden. Folge: Auch die Behörde könnte die Standardvertragsklauseln kippen.

Muss ich meine Datenschutzerklärung anpassen?

Wenn Sie auf Ihrer Webseite oder für Ihr Marketing Tools und Dienste aus Großbritannien nutzen, dann ja! Dann müssen Sie in Ihrer Datenschutzerklärung beschreiben, dass die Daten ins Vereinigte Königreich übermittelt werden. Spätestens ab dem 1. Juli 2021 müssen Sie auch die Rechtsgrundlage angeben.

Praxistipp: Nutzen Sie den eRecht24-Datenschutzgenerator. Damit sind Sie auf der sicheren Seite.

Bin ich überhaupt betroffen?

Um herauszufinden, ob Sie überhaupt etwas tun müssen, sollten Sie sich zwei Fragen stellen:

1. Nutze ich Tools eines britischen Anbieters?

Beispiele: Cloud-Anbieter, Software-as-a-Service-Lösungen

Hier eine Liste von britischen Unternehmen:

  • Spotify
  • Sage
  • Sendowl
  • Qubit
  • Klick-Tipp
  • exponential-E

2. Überträgt der Anbieter personenbezogene Daten in die UK?

Das betrifft vor allem Daten von:

  • Ihren Kunden
  • Nutzern Ihrer Onlinedienste
  • Websitebesucher
  • Mitarbeiter oder Bewerber (z. B. beim Einsatz von Onlinebewerbungsdiensten)

Achtung: Pesronenbezogene Daten sind zum Beispiel auch IP-Adressen.

Tipp: Wenn Sie sich nicht sicher sind, holen Sie sich am besten Hilfe von einem auf Datenschutzrecht spezialisierten Anwalt. Die Kanzlei Siebert Lexow steht Ihnen dafür gern zur Verfügung: www.kanzlei-siebert.de

Sollte ich die Standardvertragsklauseln mit meinem britischen Vertragspartner vereinbaren?

Wenn Ihr Vertragspartner keine Binding Corporate Rules hat, sollten Sie Standardvertragsklauseln mit ihm abschließen. So zeigen Sie zumindest, dass Sie sich mit dem Thema auseinandergesetzt und eine Lösung gefunden haben – das dürfte Sie in der Regel vor Bußgeldern bewahren. Wichtig: Sie müssen aber auch sicherstellen, dass Ihr Vertragspartner sich tatsächlich an die datenschutzrechtlichen Vorgaben hält.

Aber Achtung: Die Standardvertragsklauseln werden gerade von der EU-Kommission erneuert. Ende 2021 müssen Sie daher vermutlich die neuen Klauseln mit Ihren Dienstleistern vereinbaren. Wir werden Sie hierüber rechtzeitig informieren.

Was sollte ich noch tun?

Zusätzlich zu den Standardvertragsklauseln sollten Sie auch noch eine Risikoabschätzung machen. Schauen Sie sich dazu das Tool und die Datenübertragung genau an und prüfen Sie, welche Art von Daten betroffen ist (ob es sich zum Beispiel um besonders sensible Gesundheitsdaten handelt). Analysieren Sie auch, ob sie weitere technische Schutzmaßnahmen implementieren können, zum Beispiel eine SSL-Verschlüsselung. Nutzen Sie dafür am besten eine Prüfvorlage vom Anwalt.

Tipp: Bei eRecht24 Premium erhalten Sie ein anwaltlich erstelltes Muster, mit dem Sie das aktuelle datenschutzrechtliche Risiko deutlich reduzieren.

Fazit

Bis zum 30. Juni 2021 ist die Datenübertragung nach Großbritannien "sicher". So wie es aktuell aussieht, wird das ab dem 1. Juli 2021 nicht mehr der Fall sein. Was danach passiert, steht aktuell leider noch in den Sternen. Sorgen Sie also bis dahin dafür, dass Sie datenschutzrechtlich möglichst sicher sind.

Checkliste: Welche Schritte sollte ich konkret unternehmen?

Gehen Sie wie folgt vor, um datenschutzrechtlich für den Brexit gewappnet zu sein:

  1. Prüfen Sie, ob Sie Dienstleister, Tools oder sonstige Vertragspartner in Großbritannien haben und personenbezogene Daten an ihn übertragen; wenn nicht: Glückwunsch! Sie brauchen ab hier nicht mehr weiterzulesen ;-)
  2. Prüfen Sie, wie wichtig diese Tools und Dienste für Ihr Unternehmen sind. Wenn es Alternativen aus der EU gibt, prüfen Sie, ob Sie diese nutzen können.
  3. Wenn Sie personenbezogene Daten nach Großbritannien übertragen, müssen Sie prüfen, ob diese Datenübertrag rechtlich abgesichert ist. Eine Absicherung kann beispielsweise mit Hilfe von Standardvertragsklauseln oder durch Binding Corporate Rules erfolgen. Fragen Sie hier am besten direkt bei Ihrem britischen Dienstleister nach Standardvertragsklauseln oder Binding Corporate Rules.
  4. Wenn der Anbieter nicht über Standardvertragsklauseln verfügt, bieten Sie ihm an, selbst Standardvertragsklauseln abzuschließen oder sollten Sie einholen Sie eine Einwilligung Ihrer Nutzer ein, bevor Sie Dienste aus UK nutzen.
  5. Machen Sie eine Risikoabschätzung für die betroffenen Tools. Prüfen Sie in diesem Zusammenhang,
    • ob es eine rechtssichere Alternative gibt
    • warum Sie diese nicht einsetzen können
    • welche Nutzerdaten betroffen sind
    • wie "heikel" diese Daten sind
    • wie der Anbieter die Daten schützt

    Für diese Risikoabwägung haben wir für eRecht24-Premium-Nutzer eine anwaltliche erstellte Prüfvorlage vorbereitet.

  6. Passen Sie Ihre Datenschutzerklärung an: Erklären Sie, dass Daten in die UK übermitteln. Geben Sie auch die Rechtsgrundlage für die Übermittlung an.
  7. Wenn Sie Hilfe bei der rechtlichen Einschätzung und den weiteren Schritten benötigen wenden Sie sich an einen auf Datenschutzrecht spezialisierten Anwalt. Die Kanzlei Siebert Lexow steht Ihnen dafür gern zur Verfügung: www.kanzlei-siebert.de
Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Captcha Aktualisieren
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Wichtiges EuGH Urteil zu Cookies: Sind Google Analytics und Online-Marketing jetzt am Ende? Es vergeht kaum eine Woche ohne neue Nachrichten zu Cookies, Tracking, Google Analytics und Einwilligungslösungen. Eine DSGVO ohne konkrete Regelungen dazu. Ein...
Weiterlesen...
Wichtiges aktuelles Urteil: OLG Hamburg sagt, DSGVO-Verstöße sind abmahnfähig Keine Entwarnung für Webseitenbetreiber im Bereich DSGVO-Abmahnungen: Erst hatte das LG Würzburg geurteilt, dass Verstöße gegen die DSGVO abgemahnt werden könne...
Weiterlesen...
Chatbots und die DSGVO: Wie setze ich Chatbots DSGVO-konform ein? Chatbots werden gefühlt auf jeder zweiten Webseite eingesetzt. Um die Kommunikation mit Kunden zu starten, Fragen zu beantworten, Verkäufe zu steigern. Die DSGV...
Weiterlesen...
Wichtiges Urteil: Ist das DSGVO Kopplungsverbot Vergangenheit? Vor der DSGVO haben viele Shops, Webseitenbetreiber und Marketingverantwortliche ihren Nutzern E-Books, Freebies oder Gewinnspiele angeboten. Im Tausch dafür ha...
Weiterlesen...
Datenschutz: Was Sie zu Google AdSense wissen müssen Google AdSense bietet Seitenbetreibern die Möglichkeit, Werbung auf ihren Seiten zu schalten und so mit der eigenen Webseite Geld zu verdienen. Um passende Werb...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support