Nach dem Brexit sollten Unternehmen, die mit Großbritannien in Geschäftsverbindungen stehen ihre Verträge hinsichtlich der Datenschutzbestimmungen überprüfen. Hier lesen Sie, welche das sind. [...]
Bis zum Brexit war Großbritannien ein Mitgliedsstaat in der EU. Bis dahin galt dort – genauso wie in Deutschland – die Datenschutzgrundverordnung (DSGVO) direkt und unmittelbar. Die DSGVO regelt Rechte und Pflichten zum Schutz personenbezogener Daten und sanktioniert Verstöße mit erheblichen Bußgeldern. Das mit der DSGVO geschaffene Schutzniveau in der EU soll nicht dadurch untergraben werden, dass Daten ins Ausland übermittelt werden, wo möglicherweise andere Datenschutzbestimmungen gelten, die dem von der DSGVO geforderten Schutz nicht entsprechen. Innerhalb der EU gelten für den Datentransfer hingegen keine besonderen Voraussetzungen.
Internationaler Datenverkehr
Der internationale Datenfluss ist für den internationalen Handel besonders wichtig. Zu Datenübertragungen kommt es beispielsweise dann, wenn Dienstleister im Ausland als Auftragsverarbeiter eingesetzt werden, aber auch und insbesondere dann, wenn Cloud-Lösungen genutzt werden, bei denen sich die Server in der Regel im Ausland befinden. Laut einer aktuellen Studie im Auftrag von Bitkom lassen 11 Prozent der deutschen Unternehmen personenbezogene Daten in Großbritannien verarbeiten, davon wollen aber nur 2 Prozent die Datenverarbeitung in Großbritannien nach dem Brexit fortführen.
Fraglich ist, wie grenzüberschreitende Daten nach dem Austritt Großbritannien aus der EU geschützt werden können. Auf der einen Seite soll das mit der DSGVO geschaffene Schutzniveau in der EU nicht dadurch untergraben werden, dass Daten ins Ausland übermittelt werden, wo möglicherweise andere Datenschutzbestimmungen gelten, die dem von der DSGVO geforderten Schutz nicht entsprechen. Auf der anderen Seite ist der internationale Datenfluss für den internationalen Handel besonders wichtig. Zu Datenübertragungen kommt es beispielsweise dann, wenn Dienstleister im Ausland als Auftragsverarbeiter eingesetzt werden, aber auch und insbesondere dann, wenn Cloud-Lösungen genutzt werden, bei denen sich die Server in der Regel im Ausland befinden. Laut einer Studie im Auftrag von Bitkom aus dem Herbst 2019 lassen elf Prozent der deutschen Unternehmen personenbezogene Daten in Großbritannien verarbeiten. Davon wollten zum Zeitpunkt der Befragung – sollte kein Handelsabkommen vereinbart werden – aber nur zwei Prozent die Datenverarbeitung in Großbritannien nach dem Brexit fortführen.
Übergangslösung für maximal sechs Monate
Eine Woche vor dem Ende der Übergangszeit und dem Austritt Großbritanniens aus der EU haben sich die Parteien auf ein Handelsabkommen geeignet. In dem „EU-UK Trade and Cooperation Agreement“ vom 24.12.2020 legten sie fest, dass für die grenzüberschreitende Übermittlung der Daten zwischen Großbritannien und der EU zunächst eine Übergangszeit gilt, in der Großbritannien datenschutzrechtlich vorerst nicht als Drittland, sondern weiterhin als EU-Mitgliedsland behandelt wird. Dies gilt bis zu dem Zeitpunkt, in dem die Europäische Kommission einen Angemessenheitsbeschluss für das Königreich erlassen hat oder eine Frist von vier Monaten abgelaufen ist, wobei sich diese Frist automatisch um zwei weitere Monate verlängert, falls keiner der Vertragsparteien der automatischen Fristverlängerung widerspricht.
Für den Zeitraum dieser Übergangslösung müssen Unternehmen keine Vorkehrungen treffen, um Daten zwischen der EU und Großbritannien transferieren zu können. Durch das Abkommen erkennt die EU an, dass das datenschutzrechtliche Niveau Großbritanniens zum Zeitpunkt des Abschlusses der Vereinbarung dem Niveau der DSGVO entspricht, weshalb eine Übermittlung personenbezogener Daten zunächst weiterhin zulässig ist. Für den Fall, dass die Europäische Kommission bis zum Ablauf der Übergangsfrist für Großbritannien einen Angemessenheitsbeschluss erlässt, ändert sich daran auch nach dem Ablauf der Frist nichts.
Angemessenheitsbeschluss absehbar?
Im Vorfeld der Verhandlungen war lange Zeit fraglich, ob die Kommission einen Angemessenheitsbeschluss für Großbritannien nach dem Brexit erlassen würde. Mit dem britischen „Investigatory Powers Bill“ von 2016 und der damit einhergehenden umfassenden Möglichkeit zur Vorratsdatenspeicherung sowie der fehlenden Geltung des EU-US-Privacy-Shield für Datenübermittlungen im Verhältnis zwischen Großbritannien und USA existieren erhebliche Risiken für personenbezogene Daten, die es in dieser Form in der EU bisher nicht gab. Für einen Angemessenheitsbeschluss spricht mittlerweile, dass Großbritannien im Vorfeld des Austritts bereits damit begonnen hat, die Regelungen der DSGVO weitestgehend ins nationale Recht aufzunehmen, um sein datenschutzrechtliches Schutzniveau dem der EU anpassen zu können. Durch das Abkommen scheint der Erlass einen Angemessenheitsbeschlusses nun wahrscheinlicher. Die EU stellt zumindest klar, dass sie die Umsetzung der Regelungen der DSGVO ins nationale britische Recht grundsätzlich als ausreichend anerkennt, um für einen hinreichenden Schutz der Daten der betroffenen Personen im Rahmen der grenzüberschreitenden Übermittlung der Daten zu sorgen. Das Abkommen besagt allerdings auch, dass dies nur solange der Fall ist, wie Großbritannien nicht von der Umsetzung der Regelungen im nationalen Recht abweicht. In diesem Fall soll Großbritannien doch als Drittland behandelt werden.
Falls kein Angemessenheitsbeschluss ergeht
Erlässt die Europäische Kommission bis zum Ablauf der Übergangsfrist keinen Angemessenheitsbeschluss, müssen Unternehmen auf andere Lösungsansätze ausweichen. In einem solchen Fall bliebe für Unternehmen die Möglichkeit „geeignete Garantien“ nach Artikel 46 DSGVO nachzuweisen:
- Standarddatenschutzklauseln
- Verbindliche unternehmensinterne Regelungen (Binding Corporate Rules, BCR)
- Genehmigte Verhaltensregeln
- Zertifizierungen
Darüber hinaus hätten die Unternehmen nach Artikel 49 der DSGVO auch in einigen Fällen die Möglichkeit, z.B. eine Einwilligung der Betroffenen einzuholen, um die Daten zulässig grenzüberschreitend übermitteln zu können. Diese Bestimmung hat jedoch einen Ausnahmecharakter und kann nur restriktiv und mit hohem Aufwand angewendet werden.
Standarddatenschutzklauseln
Standarddatenschutzklauseln sind von der Europäischen Kommission genehmigte Vertragswerke. Der Verantwortliche kann mit seinem Vertragspartner in Großbritannien deren Geltung vereinbaren, darf aber keine Änderungen vornehmen, sondern muss die Standardvertragsklauseln so übernehmen, wie sie genehmigt wurden. Derzeit stehen drei Zusammenstellungen von Standarddatenschutzklauseln zur Verfügung; diese sollen bald überarbeitet werden.
Binding Corporate Rules
Unter Binding Corporate Rules versteht man unternehmensinterne Regelungen (in einem multinationalen Unternehmen), mit denen sich ein Unternehmen zu Maßnahmen zum Schutz personenbezogener Daten verpflichtet. Bereits genehmigte BCR dürfen weiter genutzt werden, müssen aber angepasst werden. Falls noch keine BCR bestehen, müssen diese von der Aufsichtsbehörde genehmigt werden.
Genehmigte Verhaltensregeln und Zertifizierungen
Genehmigte Verhaltensregeln und Zertifizierungen haben gemeinsam, dass sie verbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland enthalten müssen. Es handelt sich dabei um mit der DSGVO eingeführte neue Instrumente zum Schutz personenbezogener Daten bei der Datenübermittlung, so dass hier Einzelheiten noch nicht feststehen.
Handlungsbedarf
Falls die Europäische Kommission innerhalb der Übergangsfrist des „EU-UK Trade and Cooperation Agreements“ keinen Angemessenheitsbeschluss erlässt, sind die Unternehmen gefordert. Die DSGVO bietet jedoch auch für diesen Fall genügend Möglichkeiten, die Datenübermittlung nach Großbritannien auf ein rechtlich sicheres Fundament zu stellen, ohne die Betroffenen zu verunsichern. Unternehmen müssten jedoch aktiv werden und diese Instrumente nach Ablauf der Übergangsfrist schnellstmöglich umsetzen.
Der erste Schritt wäre in diesem Fall der Blick ins Verarbeitungsverzeichnis. Hieraus sollte sich ergeben, ob und welche Daten nach Großbritannien übermittelt werden. Anschließend müsste für jede Verarbeitung gründlich geprüft werden, ob die Übermittlung weiterhin DSGVO konform ist. Gegebenenfalls müssten Verträge mit Auftragsverarbeitern oder gemeinsamen Verantwortlichen aktualisiert werden. In jedem Fall sollte das Ergebnis der Prüfung schriftlich festgehalten werden, um der Rechenschaftspflicht nach der DSGVO gerecht werden zu können. Schließlich müssten auch Dokumente wie Verarbeitungsverzeichnis, Datenschutzerklärung und Datenschutz-Folgenabschätzung aktualisiert werden.
*Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Be the first to comment