BREXIT – Was bedeutet das für den Datenschutz?

– Helfen die bekannten Vereinbarungen zur Auftragsdatenverarbeitung noch weiter? –

Die zwischenzeitliche Aufregung um den BREXIT hat sich zwar in der breiten Öffentlichkeit gelegt, doch die Bewertung der Folgen findet seitdem in den betroffenen Unternehmen statt. Aus rechtlicher Sicht betroffen sind insbesondere das Vertragsrecht, das Steuerrecht, das Bankrecht sowie das Markenrecht. Nicht zuletzt aus Compliance- Gesichtspunkten bleiben hier für Unternehmen noch viele Fragen offen. Auch in Bezug auf den Datenschutz ergeben sich weitreichende Überlegungen und Fragen, die bereits zum jetzigen Zeitpunkt adressiert und konzeptioniert werden müssen.

Für Unternehmen gilt es jetzt nicht nur die weitreichenden Folgen der neuen EU-Daten- schutzgrundverordnung (DSGVO) zu berücksichtigen und Prozesse im Bereich der Dokumentation von Verfahren, den Rechten Betroffener und den Umgang mit Dienstleistern einzuführen. Sie sind zudem gehalten mit einem Auge auch die Entwicklungen in Großbritannien zum EU-Austritt zu beobachten und entsprechende Maßnahmen vorzubereiten.

Es ist davon auszugehen, dass bis zu einem möglichen Austritt die UK- Aufsichtsbehörden alles daran setzen werden, dass die Anforderungen der EU- Datenschutzgrundverordnung entsprechend umgesetzt werden. D.h. Unternehmen, die sowohl in Großbritannien als auch in der EU tätig sind, werden weiterhin einheitlich die Einführung der EU-DSGVO bis zum Jahr 2018 vorantreiben können. Da nicht davon auszugehen ist, dass der BREXIT bis zum Wirksamwerden der DSGVO am 25.05.2018 vollzogen wurde, wird sich der Datenschutz zunächst nach den neuen DSGVO- Vorgaben ausrichten. In einem ersten Schritt sollte daher die Verarbeitung personenbezogener Daten in den Unternehmensprozessen den Regelungen der DSGVO entsprechen.

Dennoch sollten Unternehmen, die bereits mit Bestandsaufnahmen und GAP-Analysen zum Datenschutz in Ihren Abteilungen begonnen haben, darauf achten, dass es sich bei Großbritannien nach einem BREXIT zunächst um ein Drittland, wie die Philippinen oder Indien handelt. Dies hat eine aufwändige rechtliche Prüfung zur Folge, die dazu führt, dass je nach Datenkategorie gesonderte vertragliche oder technische Maßnahmen getroffen werden müssen. Eine Übermittlung auf Basis der Regelungen zur Auftragsdatenverarbeitung wäre zunächst nicht möglich.

Nur für den Fall, dass die EU-Kommission einen sogenannten Angemessenheitsbeschluss trifft, der feststellt, dass ein angemessenes Datenschutzniveau in Großbritannien herrscht, könnten vereinfachte Regeln zur Übermittlung greifen.

Man kann heute davon ausgehen, dass die entsprechende Behandlung Großbritanniens als sicheres Drittland mit angemessenem Datenschutzniveau das Ergebnis sein wird. Der Knackpunkt ist allein, zu welchem Zeitpunkt dies geschieht, da hierfür eine Kommissionsentscheidung herbeigeführt werden muss. Das heißt ein Datenaustausch zwischen EU und Großbritannien wird erst danach weiterhin auf Basis der vereinfachten EU-rechtlichem Vorgaben möglich sein.

Bis dahin ist es jedoch erforderlich, dass der Datenaustausch mit Großbritannien nach einem EU-Austritt wie mit einem Drittland durchzuführen ist.

Jedenfalls sollten Unternehmen bereits jetzt entsprechende Verfahren und Prozesse identifizieren können, die eine besondere Behandlung erforderlich machen. An dieser Stelle ist darauf hinzuweisen, dass von den Aufsichtsbehörden demnächst neue, an die

DSGVO angepasste EU-Standardvertragsklauseln (EU Model-Clauses) konzeptioniert werden. Diese sind dann auch mit Dienstleistern oder konzernverbundenen Unternehmen abzuschließen und es ist zudem auf einen datenschutzkonformen Austausch zu achten. Letztendlich ist jeder Transfer personenbezogener Daten nach Großbritannien daraufhin abzuklopfen, inwiefern es hier Möglichkeiten zur datenschutzkonformen Übermittlung gibt. Diese werden sich maßgeblich daran orientieren, ob es sich bei Großbritannien um ein Drittland mit angemessenem Datenschutzniveau handelt oder nicht.

Unberücksichtigt bleiben darf auch nicht der Umstand, dass zukünftige Beschlüsse zur Angemessenheit des Datenschutzniveaus und der daraus resultierenden Stellung eines Landes kritischer geprüft werden müssen, wie die Safe Harbor – Entscheidung des EUGH festgestellt hat. Diese hatte insbesondere die Aktivitäten der NSA und weiterer Geheimdienste in den USA kritisiert. Ähnliches könnte auch im Falle der britischen Geheimdienste eine Entscheidung verzögern.

Für Unternehmen, die Daten nach Großbritannien übermitteln oder dort speichern, ist es nicht empfehlenswert, abzuwarten bis Großbritannien zu einem Drittland mit angemessenem Datenschutzniveau erklärt wird. Zwischenzeitliche Übermittlungen wären dann nicht datenschutzkonform und können empfindliche Bußgelder nach DSGVO zur Folge haben.

Die starren EU-Standardvertragsklauseln werden daher für die Unternehmen nach einem BREXIT und vor einem Angemessenheitsbeschluss zum Datenschutz in UK das Mittel der Wahl sein. Um den Einsatz dieser Vereinbarungen so effektiv wie möglich zu gestalten, ist eine gute Kenntnis der Verfahren mit personenbezogenen Daten im Unternehmen erforderlich. So werden Unternehmen in die Lage versetzt, die Prozesse herauszufiltern, die einen Bezug zu Großbritannien haben und entsprechende Alternativen zu suchen oder frühzeitig in die Verhandlungen zu den neuen Vertragsbedingungen einzusteigen.

(Philipp Frenz, Creditreform Compliance Services GmbH)

Für die Verstärkung des Teams im Bereich Compliance & AML suchen wir zum nächstmöglichen Termin eine(n)

Experte Compliance & AML (m/w/d)

in Vollzeit.

Ihre Herausforderungen:

  • Eigenverantwortliche fachliche Unterstützung von Mandanten und Ansprechpartner für Compliance- und geldwäscherelevante Fragestellungen
  • Übernahme der Funktion des Compliance-Beauftragten (MaRisk – und Wertpapier-Compliance) sowie des Geldwäschebeauftragten /„Zentrale Stelle“ gemäß § 25h KWG bei Mandanten im Rahmen eines Outsourcings
  • Umfassende Beratung bei der Implementierung von Compliance Management Systemen (CMS)
  • Durchführung von Risikoanalysen
  • Durchführung von Kontroll- und Überwachungshandlungen
  • Pflege und Weiterentwicklung von relevanten Dokumenten (z. B. schriftlich fixierte Ordnung, Arbeitsanweisungen)
  • Organisation von Schulungsmaßnahmen und deren Durchführung bei Mandanten
  • Unterstützung in Projekten 

Was zeichnet Sie aus:

  • Erfolgreich abgeschlossenes Studium der Rechts- oder Wirtschaftswissenschaften, Bankausbildung mit fachbezogener Weiterbildung oder vergleichbare Ausbildung  
  • Einschlägige praktische Erfahrung in den Bereichen MaRisk-Compliance, Wertpapier-Compliance und Geldwäscheprävention 
  • Unternehmerisches Denken und Handeln
  • Interesse an europäischen aufsichtsrechtlichen Entwicklungen in Bezug auf Compliance und Geldwäscheprävention
  • Kenntnisse des Banken- und Finanzdienstleistungsgeschäfts sind von Vorteil
  • Gute Englischkenntnisse (vertragssicher)
  • Sie sind Teamplayer mit starker Serviceorientierung und hohem Verantwortungsbewusstsein
  • Fähigkeit zur perfekten Kommunikation auf Geschäftsführungsebene, sicheres Auftreten sowie eigenverantwortliches Arbeiten
  • Bundesweite Reisebereitschaft (teilweise Projekteinsatz bei unseren Mandanten vor Ort) 

Wir bieten:

  • Arbeit in einem wachsenden, kompetenten Team
  • Einen zukunftsorientierten Arbeitsplatz
  • Ein anspruchsvolles und abwechslungsreiches Aufgabengebiet
  • Ein attraktives Vergütungspaket
  • Work-Life-Balance 

Wenn Sie diese verantwortungsvolle Aufgabe in einem spannenden und dynamischen Markt reizt, freuen wir uns auf Ihre aussagefähige Bewerbung unter Angabe Ihres frühestmöglichen Eintrittstermins und Ihrer Gehaltsvorstellung, vorzugsweise als PDF per E-Mail.

Creditreform Compliance Services GmbH
Silvia Rohe
Hammfelddamm 13
41460 Neuss
bewerbung@creditreform-compliance.de

Unvollständige Bewerbungsunterlagen können leider nicht berücksichtigt werden.