Manuel Martinez
Als Teil eines vernetzten und sich stark verändernden globalen Marktes ist es wahrscheinlich, dass Ihr Unternehmen Daten ins Ausland senden muss, um viele seiner täglichen Geschäftsaktivitäten durchzuführen. Nach der Umsetzung der britischen Datenschutz-Grundverordnung werden viele dieser Übermittlungen wahrscheinlich als "eingeschränkte Datenübermittlung" gelten. Hier finden Sie alle Informationen, die Sie benötigen, um auch nach der neuen Verordnung Daten ins Ausland zu übermitteln:
Handelt es sich bei der Datenübertragung, die Sie vornehmen, um eine eingeschränkte Übertragung?
Wenn Ihr Unternehmen Daten in ein Empfängerland sendet, das nicht unter die britische Datenschutz-Grundverordnung fällt, die von Ihnen übermittelten Daten jedoch schon, dann handelt es sich um eine eingeschränkte Übermittlung. Wenn es sich bei dem Empfänger um eine juristische Person handelt, die von Ihrem Unternehmen getrennt ist, selbst wenn sie derselben Unternehmensgruppe angehören, fällt dies dennoch unter eine eingeschränkte Übermittlung.
Wenn Sie jedoch personenbezogene Daten an eine Person senden, die bei Ihrem Unternehmen beschäftigt ist, sich aber in einem anderen Land befindet, würde dies nicht als eingeschränkte Datenübermittlung gelten, da Sie keine Daten außerhalb Ihres eigenen Unternehmens senden.
Fällt das Land, in das Sie personenbezogene Daten übermitteln, unter die Angemessenheitsvorschriften?
Ein Angemessenheitsbeschluss bedeutet, dass das Land, in das Sie Daten übermitteln, über den gleichen Datenschutzstandard und Rechtsrahmen verfügt wie das Land, das unter die britische Datenschutz-Grundverordnung fällt. In diesen Fällen müssen Sie sich nicht um die Umsetzung von Schutzmaßnahmen kümmern und können Daten ungehindert zwischen diesen Gebieten übermitteln. Eine Angemessenheitsverordnung legt diese Tatsache einfach gesetzlich fest.
Nachstehend finden Sie eine Liste der Länder und Gebiete, für die das Vereinigte Königreich derzeit Angemessenheitsvorschriften erlassen hat:
Vollständige Angemessenheitsentscheidungen:
- EU-Länder (Österreich, Belgien, Bulgarien, Kroatien, Zypern, Tschechische Republik, Dänemark, Estland, Finnland, Frankreich, Deutschland, Griechenland, Ungarn, Irland, Italien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Schweden)
- EFTA-Länder (Island, Norwegen, Liechtenstein)
- Andorra,
- Argentinien,
- Gibraltar
- Guernsey,
- Isle of Man,
- Israel,
- Jersey,
- Neuseeland,
- Schweiz, und
- Uruguay.
Teilweise Angemessenheitsentscheidungen:
- Japan, und
- Kanada
Was geschieht, wenn das Land, in das ich personenbezogene Daten übermittle, nicht auf dieser Liste steht?
Hier wird von Ihnen erwartet, dass Sie die "angemessenen Sicherheitsvorkehrungen" treffen, die es Ihnen ermöglichen, personenbezogene Daten in ein anderes Gebiet außerhalb der Liste zu übermitteln.
Folgende Schutzmechanismen stehen Ihnen zur Verfügung:
1. Rechtsakte zwischen öffentlichen Einrichtungen, die "angemessene Schutzklauseln" enthalten
Die britische Datenschutz-Grundverordnung definiert zwar nicht, was eine öffentliche Stelle ist, aber sie beschreibt in der Regel staatliche Stellen, die bestimmte Maßnahmen im öffentlichen Interesse ergreifen. Ein "angemessener Schutz" im Sinne dieser Verordnung würde "durchsetzbare Rechte" und "wirksame Rechtsbehelfe für die Person, deren Daten übermittelt werden," ermöglichen.
Profis
Dies kann einfacher sein, wenn das Land, in das Sie personenbezogene Daten übermitteln möchten, bereits über diese rechtlichen und durchsetzbaren Instrumente verfügt.
Nachteile
Nicht in allen Gebieten gibt es diese Vereinbarungen, so dass sie für das von Ihnen gewählte Gebiet möglicherweise nicht in Anspruch genommen werden können.
2. UK Verbindliche Unternehmensregeln (UK BCR)
Sie sind interne Verhaltenskodizes, die für multinationale Konzerne gelten. Bei größeren Unternehmen ist es üblicher, verbindliche unternehmensinterne Regeln (BCR) zu verabschieden, da sie für internationale Übertragungen zwischen getrennten Einheiten innerhalb desselben Unternehmens geeignet sind und sich somit besser für globale Unternehmen eignen.
Profis
Es wird weltweit als hoher Standard für die Einhaltung von Vorschriften anerkannt und ist nützlich für die Anpassung an die sich ändernden Bedürfnisse Ihres Unternehmens. Es ist eine gute Möglichkeit, Rechenschaftspflicht nachzuweisen und ein gutes Modell, das für viele Zwecke genutzt werden kann.
Nachteile
Es gibt ein anspruchsvolles Genehmigungsverfahren und der Mangel an Ressourcen seitens der Regulierungsbehörden kann das Genehmigungsverfahren beeinträchtigen und zu Verzögerungen führen. Sie ist auch technischer als die Standardvertragsklauseln und erfordert daher ausreichende interne Ressourcen in Ihrer Organisation.
3. Standardvertragsklauseln (SCCs)
Für KMU sind Standardvertragsklauseln (SCC) am gebräuchlichsten. Dabei handelt es sich um von der EU vorab genehmigte Verträge, die es einem Unternehmen ermöglichen, auch nach dem Austritt des Vereinigten Königreichs aus der Europäischen Union weiterhin Daten innerhalb des EWR zu übermitteln.
Profis
Weitgehend standardisierte Klauseln verfügbar, ohne dass wesentliche Änderungen erforderlich sind. Sie ist bereits genehmigt, kann relativ einfach eingereicht werden und ist auch für einmalige Übertragungen geeignet.
Nachteile
Standardisierte Formulierungen bringen Probleme bei der Anpassung der Klauseln an spezifische Übermittlungen und die sich entwickelnden Bedürfnisse des Unternehmens mit sich. Außerdem besteht die Gefahr der Nichteinhaltung durch Datenimporteure, und in den meisten EU-Ländern sind weitere administrative Anforderungen zu erfüllen.
4. Vertrag
Ein Vertrag zwischen Ihrer Organisation und der empfangenden Stelle, der speziell für eingeschränkte Übermittlungen erstellt wurde und der ebenfalls von der ICO genehmigt werden muss.
Profis
Erlaubt die Übermittlung bestimmter eingeschränkter Daten, die auf die Bedürfnisse Ihrer Organisation zugeschnitten sind.
Nachteile
Ein Vertrag wird weitere Ressourcen erfordern, um sicherzustellen, dass er rechtlich durchsetzbar ist und alle von der ICO festgelegten Kriterien erfüllt.
Ausführliche Informationen über die Vor- und Nachteile der einzelnen Schutzmaßnahmen finden Sie hier
Führen Sie eine Folgenabschätzung durch, bevor Sie eingeschränkte Datenübertragungen vornehmen
Das ICO empfiehlt die Durchführung einer Folgenabschätzung für die Übermittlung, bei der Sie sich vergewissern müssen, dass die von Ihnen gewählte Schutzmaßnahme die personenbezogenen Daten der betroffenen Personen angemessen schützt und mit dem Rechtsrahmen des Ziellandes vereinbar ist.
Wenn Sie am Ende der Bewertung weitere Schutzmaßnahmen benötigen, weil die von Ihnen ausgewählte Maßnahme allein nicht ausreicht, können Sie weitere Maßnahmen vorsehen.
Wie Privasee helfen kann
Die Privasee-Plattform kann Ihnen dabei helfen, die Daten Ihres Unternehmens zu speichern und abzubilden, so dass Sie genau wissen, welche Daten Sie haben, wie lange Sie sie schon haben und auf wen sie sich beziehen. Auf diese Weise können Sie besser verstehen, wo sich Ihre Daten befinden und auf welche Schwachstellen in Ihrer Datenspeicherung Sie achten sollten. Auch internationale Datenübertragungen werden dadurch viel einfacher: Wenn Sie wissen, welche Daten Sie besitzen und wo sie sich befinden, können Sie feststellen, welche Daten anderswo übertragen werden müssen, sei es im Vereinigten Königreich oder international. Unsere Plattform kann Ihnen auch dabei helfen, den Überblick über die Sicherheitsvorkehrungen zu behalten, die Sie für diese Übertragungen verwenden, und sie wird Ihnen dabei helfen, herauszufinden, welche davon am besten geeignet sind.
Gibt es irgendwelche Ausnahmen?
Wenn die eingeschränkte Datenübermittlung nicht durch angemessene Garantien abgedeckt ist, müssen Sie die nachstehenden "Ausnahmen" gemäß Artikel 49 der Datenschutz-Grundverordnung des Vereinigten Königreichs in Betracht ziehen, die Ihnen dennoch eine eingeschränkte Übermittlung ermöglichen:
Zustimmung
- Muss spezifisch und informiert sein
- muss der betreffenden Person Einzelheiten über die eingeschränkte Übertragung mitteilen
- Es ist nicht möglich, eine allgemeine Zustimmung für alle eingeschränkten Datenübermittlungen einzuholen
- Zu den Informationen, die der Person gegeben werden sollten, gehören:
- Die Identität des Empfängers
- Land des Empfängers
- Grund für die eingeschränkte Übertragung
- Der Bereich der übertragenen Daten
- Wie eine Person ihre Zustimmung zu solchen eingeschränkten Übermittlungen zurückziehen kann
- Die möglichen Risiken, die mit der Zustimmung zu solchen eingeschränkten Übermittlungen ohne angemessene Garantien und einen Angemessenheitsbeschluss verbunden sind.
Vertrag
- Muss nur für begrenzte Überweisungen sein, die nicht regelmäßig stattfinden
- Die eingeschränkte Übermittlung muss zur Erfüllung der Vertragsbedingungen erforderlich sein.
Öffentliches Interesse
- Es muss ein bestehendes britisches Gesetz vorliegen, das eine eingeschränkte Übermittlung auf der Grundlage des öffentlichen Interesses erlaubt.
- Dies geschieht in der Regel auch in Form eines internationalen Abkommens
- Sowohl öffentliche als auch private Einrichtungen können sich darauf verlassen.
- Muss für gelegentliche begrenzte Überweisungen verwendet werden und sollte nicht für systematische Überweisungen verwendet werden
Rechtsanspruch
- Muss für gelegentliche, nicht regelmäßige Überweisungen gelten
- Es muss sich um einen notwendigen Zweck handeln, der einen engen Zusammenhang zwischen der Übertragung und dem Rechtsanspruch erfordert
- Ein Rechtsanspruch kann so ausgelegt werden, dass er alle gerichtlichen Ansprüche und Verwaltungs- oder Regulierungsverfahren umfasst
- Darf sich nicht auf diese Ausnahme berufen, wenn die Forderung noch nicht entstanden ist und es eine Möglichkeit in der Zukunft bleibt
Schutz lebenswichtiger Interessen
- Anwendbar in medizinischen Notfällen, in denen Daten zwischen Ländern übermittelt werden müssen, um die richtige medizinische Versorgung zu gewährleisten
- Sie können nicht für die Durchführung medizinischer Forschung herangezogen werden.
- Sie können sich nicht darauf berufen, wenn die Person, um deren Daten es geht, ihre Zustimmung geben kann.
Öffentliche Verzeichnisse
- Das Register wurde nach britischem Recht erstellt und steht entweder der allgemeinen Öffentlichkeit oder allen Personen offen, die ein berechtigtes Interesse nachweisen können.
- Eingeschränkte Übermittlungen müssen mit dem allgemeinen Recht der Offenlegung übereinstimmen und müssen anhand der Datenschutzrechte der Personen, deren Daten übermittelt werden sollen, bewertet werden
Einmalige berechtigte Interessen
- Muss für gelegentliche, nicht regelmäßige Überweisungen gelten
- Beschränkte Übermittlung nur von Daten einer begrenzten Anzahl von Personen
- Das berechtigte Interesse muss "zwingend" sein, was eine höhere Hürde darstellt. Weitere Informationen finden Sie auf der ICO-Website
- Das zwingende legitime Interesse muss die Rechte und Freiheiten des Einzelnen überwiegen, was bei der Befragung nachgewiesen werden muss.
- Es wird eine vollständige Bewertung des legitimen Interesses durchgeführt und die Gründe werden ermittelt.
- Die ICO muss über die Übermittlung informiert werden, was die Angabe aller Einzelheiten zu den Schritten beinhaltet, die unternommen wurden, um die oben genannten Punkte zu gewährleisten.
- Die Person, deren Daten Gegenstand der eingeschränkten Übermittlung sind, muss informiert werden und ihr muss das berechtigte Interesse erläutert werden.
Weitere Informationen zu den oben genannten Ausnahmen können auf der ICO-Website eingesehen werden.
Wir hoffen, dass dieser Artikel Ihnen helfen kann, besser zu verstehen, was von Ihrer Organisation erwartet wird, wenn Sie eine internationale Übermittlung durchführen, und einige der von der ICO genannten Konzepte zu vereinfachen. Weitere Informationen über die Durchführung internationaler Überweisungen finden Sie auf der ICO-Website, und die vollständigen Einzelheiten finden Sie hier.
Haftungsausschluss
Privasee hält den obigen Artikel nicht für eine Rechtsberatung in irgendeiner Form.
Quellen und weitere Ressourcen
Mehr erfahren
.png)
