Die französische Datenschutzbehörde CNIL hat am 10. September Informationen zu den Auswirkungen eines No-Deal-Brexits auf den Datentransfer von der EU nach Großbritannien veröffentlicht.
Nach aktuellem Stand wird das Vereinigte Königreich die Europäische Union am 1. November 2019 verlassen und ab diesem Zeitpunkt nach der DSGVO als so genanntes Drittland für die Datenübermittlung betrachtet. Das macht nach dem Brexit besondere Maßnahmen für die Datenübertragung erforderlich.
Die CNIL empfiehlt Unternehmen, die nach dem Brexit personenbezogene Daten in das Vereinigte Königreich übermitteln wollen, fünf folgende Schritte für die Einhaltung der DSGVO zu befolgen:
- Identifizierung von betroffenen Verarbeitungstätigkeiten
- Bestimmung des geeigneten Transfermechanismus (zum Beispiel Standardvertragsklauseln)
- Implementierung des Mechanismus für die Datenübertragung bis zum 1. November 2019
- Ergänzung der internen Dokumentation von Datenübertragungen in das Vereinigte Königreich
- Aktualisierung der Datenschutzerklärung, um auf Datenübertragungen außerhalb der EU hinzuweisen
Die FAQ der CNIL diskutieren DSGVO-konforme Datentransfermechanismen wie Standardvertragsklauseln, Ad-hoc-Vertragsklauseln, verbindliche Unternehmensregeln, Verhaltenskodexe und Zertifizierungsmechanismen. Die CNIL betont dabei, dass der gewählte Mechanismus bis zum 1. November 2019 wirksam sein muss – im Regelfall wird man daher auf Standardvertragsklauseln zurückgreifen.