In diesem letzten Teil des zweiteiligen Blogs über Brexit und GDPR geht es um Compliance und Rechenschaftspflicht, was der Brexit für Unternehmen in Großbritannien bedeutet und wo wir jetzt mit GDPR stehen.

Lesen Sie die erste Folge hier.  

GDPR – Einhaltung von Vorschriften und Verantwortlichkeit

Die Einhaltung der DSGVO erfordert eine eindeutige Identifizierung aller gespeicherten personenbezogenen Daten, die Gewissheit, wie und warum diese Daten erhoben werden, und die Fähigkeit, genau anzugeben, wo die erhobenen Daten gespeichert werden. Damit eine Organisation, die für die Datenverarbeitung verantwortlich ist, die GDPR einhalten kann, muss sie zunächst eine Bewertung ihrer aktuellen Situation vornehmen, um Lücken bei der Einhaltung der Vorschriften zu ermitteln. Durch die Festlegung von Prioritäten für Abhilfemaßnahmen kann eine Organisation dann einen Weg zur Einhaltung der DSGVO einschlagen.

Die für die Datenverarbeitung Verantwortlichen sollten auch bedenken, dass sie letztlich für die Einhaltung der Vorschriften verantwortlich sind und daher für die Verarbeitungstätigkeiten der von ihnen beauftragten Datenverarbeiter (z. B. Cloud-Service-Anbieter) haftbar gemacht werden können. Dies muss sorgfältig bedacht werden, wenn Verträge abgeschlossen oder überprüft werden, die über den 25. Mai 2018 hinausgehen.

Ein wiederkehrendes Thema der GDPR ist die Rechenschaftspflicht. Organisationen müssen in der Lage sein, sowohl gegenüber den betroffenen Personen als auch gegenüber den Aufsichtsbehörden nachzuweisen, dass sie den richtigen Weg eingeschlagen haben, oft noch Jahre nach der ursprünglichen Entscheidung. Datenschutzbeauftragte (DSB) sind für einige Kategorien von Organisationen vorgeschrieben, z.B. für Behörden und Organisationen, die Daten mit hohem Risiko verarbeiten. Der DSB muss über „Expertenwissen“ im Bereich des Datenschutzrechts verfügen, und es ist seine Aufgabe, über die Einhaltung der Vorschriften zu informieren und zu beraten. Die Datenschutz-Grundverordnung schreibt außerdem vor, dass bei der Verarbeitung personenbezogener Daten ein „Data Protection by Design and by Default“-Ansatz verfolgt werden muss. Dies erfordert von den Unternehmen eine Denkweise, die auf proaktiver statt reaktiver und präventiver statt abhelfender Vorgehensweise beruht. Die Verwendung von Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, PIAs) wird empfohlen und ist in einigen Fällen sogar vorgeschrieben, um dies zu unterstützen.

Brexit rein, Big Business raus?

Dies ist ein Zeitalter, in dem Daten ganz natürlich über die Grenzen hinweg verschoben werden. Sollte das Vereinigte Königreich  nicht als angemessenes Schutzniveau angesehen werden, dann müssten rechtlich gesehen alle Übermittlungen in das Vereinigte Königreich über EU-Musterklauseln erfolgen, eine sehr verwaltungsintensive Aufgabe.

Modellklauseln werden verwendet, um die Übermittlung von Daten in Nicht-EU-Länder zu ermöglichen und werden von den Aufsichtsbehörden geregelt. Möglicherweise sind auch verbindliche Unternehmensregeln (Binding Corporate Rules – BCRs) erforderlich. Diese sind im Grunde dasselbe Instrument wie die Modellklauseln, werden aber vom Unternehmen selbst für unternehmensinterne Übermittlungen aufgestellt. Dies wird zusätzliche Kosten verursachen und könnte dazu führen, dass einige Unternehmen einen Teil ihrer Geschäftstätigkeit in die EU verlagern, zumindest bis die Dinge klarer werden. Andere britische Firmen werden wahrscheinlich EU-Schattenfirmen gründen, um Daten der Einfachheit halber abzugrenzen – eine komplizierte und teure Lösung, die den Umgang mit Daten erleichtern soll. Unternehmen aus Ländern außerhalb der EU werden es vielleicht einfach vermeiden, sich überhaupt in Großbritannien niederzulassen.

GDPR – Wo stehen wir jetzt?

Die Staatssekretärin Karen Bradley MP bestätigte in der Sitzung des Ausschusses für Kultur, Medien und Sport am24. Oktober 2016: „Wir werden 2018 Mitglied der EU sein und daher wäre es zu erwarten und ganz normal, dass wir uns für die GDPR entscheiden und dann später prüfen, wie wir britische Unternehmen am besten beim Datenschutz unterstützen und gleichzeitig ein hohes Schutzniveau für die Bürger aufrechterhalten können.“ 

Tatsächlich waren es das ICO und die britische Regierung, die seit mehreren Jahren auf eine Reform des EU-Rechts gedrängt haben, um eine kontinuierliche Entwicklung der digitalen Wirtschaft Großbritanniens zu erreichen. Die Informationsbeauftragte Elizabeth Denham kommentierte:

„Das Wachstum der digitalen Wirtschaft erfordert das Vertrauen der Öffentlichkeit in den Schutz (personenbezogener Daten) … Das ICO ist bestrebt, Unternehmen und öffentliche Einrichtungen dabei zu unterstützen, sich auf die Anforderungen der DSGVO vor Mai 2018 und darüber hinaus vorzubereiten.“

Frau Denham räumt auch ein, dass immer noch Fragen dazu gestellt werden, wie die Datenschutz-Grundverordnung (GDPR) bei einem Austritt des Vereinigten Königreichs aus der EU funktionieren würde, aber das sollte nicht von der Aufgabe ablenken, die GDPR bis Mai 2018 einzuhalten.

Wenn Sie sicherstellen möchten, dass Ihre Mitarbeiter mit der DSGVO vertraut sind und wissen, wie sie auf Ihr Unternehmen anzuwenden ist, kontaktieren Sie uns für weitere Informationen oder fordern Sie eine Demo zu unserem eLearning-Kurs zur DSGVO an.