In diesem letzten Teil des zweiteiligen Blogs über Brexit und GDPR geht es um Compliance und Rechenschaftspflicht, was der Brexit für Unternehmen im Vereinigten Königreich bedeutet und wo wir mit GDPR stehen.
Lesen Sie die erste Folge hier.
GDPR - Einhaltung der Vorschriften und Rechenschaftspflicht
Die Einhaltung der DSGVO erfordert eine eindeutige Identifizierung aller gespeicherten personenbezogenen Daten, die Gewissheit, wie und warum diese Daten erhoben werden, und die Fähigkeit, genau anzugeben, wo die erhobenen Daten gespeichert werden. Damit eine Organisation, die für die Datenverarbeitung verantwortlich ist, die DSGVO einhalten kann, muss sie zunächst eine Bewertung ihrer aktuellen Situation vornehmen, um Lücken bei der Einhaltung der Vorschriften zu ermitteln. Durch die Festlegung von Prioritäten für Abhilfemaßnahmen kann eine Organisation dann einen Weg zur Einhaltung der DSGVO einschlagen.
Die für die Verarbeitung Verantwortlichen sollten auch bedenken, dass sie letztlich für die Einhaltung der Vorschriften verantwortlich sind und daher für die Verarbeitungstätigkeiten der von ihnen beauftragten Datenverarbeiter (z. B. Cloud-Dienstleister) haftbar gemacht werden können. Dies muss sorgfältig bedacht werden, wenn Verträge abgeschlossen oder überprüft werden, die über den 25. Mai 2018 hinausgehen.
Ein immer wiederkehrendes Thema der Datenschutzgrundverordnung ist die Rechenschaftspflicht. Organisationen müssen in der Lage sein, sowohl den betroffenen Personen als auch den Aufsichtsbehörden nachzuweisen, dass sie den richtigen Weg eingeschlagen haben, oft noch Jahre nach der ursprünglichen Entscheidung. Datenschutzbeauftragte (DSB) sind für einige Kategorien von Organisationen vorgeschrieben, z. B. für Behörden und Organisationen, die Daten mit hohem Risiko verarbeiten. Der behördliche Datenschutzbeauftragte muss über "Expertenwissen" im Bereich des Datenschutzrechts verfügen, und es ist seine Aufgabe, über die Einhaltung der Vorschriften zu informieren und zu beraten. Die Datenschutz-Grundverordnung schreibt auch einen "Data Protection by Design and by Default"-Ansatz für die Verarbeitung von personenbezogenen Daten vor. Dies erfordert von den Unternehmen eine proaktive statt reaktive und eine präventive statt abhelfende Denkweise. Die Verwendung von Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, PIAs) wird empfohlen und in einigen Fällen vorgeschrieben, um in dieser Hinsicht zu helfen.
Brexit rein, Big Business raus?
Wir leben in einer Zeit, in der Daten ganz selbstverständlich grenzüberschreitend übermittelt werden. Sollte das Vereinigte Königreich kein angemessenes Schutzniveau bieten, müssten alle Übermittlungen in das Vereinigte Königreich rechtlich gesehen über EU-Musterklauseln erfolgen, was sehr verwaltungsaufwändig ist.
Modellklauseln werden verwendet, um die Übermittlung von Daten in Nicht-EU-Länder zu ermöglichen, und werden von den Aufsichtsbehörden geregelt. Möglicherweise sind auch verbindliche Unternehmensregeln (Binding Corporate Rules, BCR) erforderlich. Diese sind im Grunde dasselbe Instrument wie die Modellklauseln, werden aber vom Unternehmen selbst für unternehmensinterne Übermittlungen aufgestellt. Dies wird zusätzliche Kosten verursachen und könnte dazu führen, dass einige Unternehmen einen Teil ihrer Tätigkeiten in die EU verlagern, zumindest bis die Dinge klarer werden. Andere britische Firmen werden wahrscheinlich EU-Schattenfirmen gründen, um Daten der Einfachheit halber abzugrenzen - eine komplizierte und teure Lösung, die den Umgang mit Daten erleichtern soll. Unternehmen aus Ländern außerhalb der EU werden es vielleicht einfach vermeiden, sich überhaupt im Vereinigten Königreich niederzulassen.
GDPR - Wo stehen wir jetzt?
Die Staatssekretärin Karen Bradley MP bestätigte in der Sitzung des Ausschusses für Kultur, Medien und Sport am24. Oktober 2016: "Wir werden 2018 Mitglied der EU sein, und daher wäre es zu erwarten und ganz normal, dass wir uns für die DSGVO entscheiden und dann später prüfen, wie wir britische Unternehmen am besten beim Datenschutz unterstützen und gleichzeitig ein hohes Schutzniveau für die Bürgerinnen und Bürger aufrechterhalten können."
Seit mehreren Jahren haben das ICO und die britische Regierung auf eine Reform des EU-Rechts gedrängt, um eine kontinuierliche Entwicklung der digitalen Wirtschaft des Vereinigten Königreichs zu ermöglichen. Die Informationsbeauftragte Elizabeth Denham kommentierte:
"Das Wachstum der digitalen Wirtschaft erfordert das Vertrauen der Öffentlichkeit in den Schutz (personenbezogener Daten) ... Das ICO ist bestrebt, Unternehmen und öffentliche Einrichtungen bei der Vorbereitung auf die Anforderungen der DSGVO vor Mai 2018 und darüber hinaus zu unterstützen."
Frau Denham räumt auch ein, dass noch Fragen dazu gestellt werden, wie die Datenschutz-Grundverordnung (DSGVO) nach dem Austritt des Vereinigten Königreichs aus der EU funktionieren wird, aber dies sollte nicht von der Aufgabe ablenken, die DSGVO bis Mai 2018 einzuhalten.
Um sicherzustellen, dass Ihre Mitarbeiter mit der DSGVO vertraut sind und wissen, wie sie auf Ihr Unternehmen anzuwenden ist, kontaktieren Sie uns für weitere Informationen oder fordern Sie eine Demo zu unserem eLearning-Kurs zur DSGVO an.