Der datenschutzrechtliche (Br)Exit?
Nach mehrjährigen Grabenkämpfen innerhalb der politischen Landschaft Großbritanniens war es am 31.01.2020 um 11 p.m. (GMT) soweit – Großbritannien ist nicht mehr Mitglied der europäischen Union („EU“).
Primär geht es nunmehr darum, die wirtschaftlichen und rechtlichen Rahmenbedingungen für die weitere Zusammenarbeit zwischen dem United Kingdom und der EU zu gestalten. Es steht zu vermuten, dass es keine einfachen Verhandlungen werden – sind die „roten Linien“ doch bereits öffentlichkeitswirksam gezogen worden…
Im Vergleich zu den gesamtwirtschaftlichen Zusammenhängen, fristen die datenschutzrechtlichen Auswirkungen des Brexit in der medialen Berichterstattung eher ein Schattendasein. Gleichwohl sollten Sie sich mit dem Thema auseinandersetzen, wenn
- Sie Dienstleister einsetzen, die in Großbritannien tätig sind,
- Sie für Ihre IT-Infrastruktur oder Ihr Marketing auf Leistungen zurückgreifen, die in Großbritannien gehostet bzw. betrieben werden, oder
- Sie sogar selbst in Großbritannien tätig sind bzw. über eine Niederlassung vor Ort verfügen.
Vorerst bleibt alles so, wie es ist…
Zunächst bleibt alles beim Alten. Mit dem Austritt Großbritanniens begann eine Übergangsphase, die zum Ende des Jahres 2020 endet. In dieser Übergangsphase verhandeln die Parteien die Umstände des Brexit – man darf also davon ausgehen, dass es noch zu einem „Brexit-Deal“ kommt.
Währenddessen hat sich Großbritannien verpflichtet, die Vorgaben der Datenschutzgrundverordnung einzuhalten.
Warum ist das wichtig?
Die Datenschutzgrundverordnung wirkt in allen Mitgliedsstaaten der EU unmittelbar wie ein nationales Gesetz. Tritt ein Mitgliedsstaat aus der EU aus, fällt er nicht mehr in den Regelungsbereich der Verordnung – die Datenschutzgrundverordnung gilt dort nicht mehr.
Das rechtliche Niveau zum Schutz personenbezogener Daten kann sodann von dem in der EU geltenden Niveau abweichen. Deshalb sah der Gesetzgeber vor, dass alle Länder außerhalb der EU als so genannte „Drittländer“ gelten. Die Verarbeitung von Daten in Drittländern ist nur unter besonderen zusätzlichen Voraussetzungen zulässig und Großbritannien ist nun Drittland. Datenverarbeitungen in Drittländern sind zum Beispiel zulässig, wenn
- dem jeweiligen Land durch die EU-Kommission ein vergleichbares Datenschutzniveau attestiert wurde („Angemessenheitsbeschluss“ – bspw. Schweiz), oder
- die Datenverarbeitung nur unter einem von der EU-Kommission vorgegebenen rechtlichen Rahmen erfolgt („Standardvertragsklauseln“), oder
- die Parteien durch anderweitige (von der zuständigen Aufsichtsbehörde genehmigte) Maßnahmen sicherstellen, dass für die Datenverarbeitungen ein mit den Vorgaben der DSGVO vergleichbares Schutzniveau besteht.
Bisher gibt es für Großbritannien noch keine geplante Lösung. Was deshalb ab Ende der Übergangsphase gilt, ist aktuell noch unklar.
Und nun?
Den geringsten Aufwand haben Sie, wenn die EU-Kommission bis zum Ende der Übergangsphase einen Angemessenheitsbeschluss für Großbritannien erlässt. Kommt es zu einem solchen Angemessenheitsbeschluss, gilt Großbritannien als „sicheres Drittland“ und Sie können Datenverarbeitungen auch fortan ohne größere Besonderheiten in Großbritannien durchführen (lassen) – es gelten die üblichen Vorgaben der Datenschutzgrundverordnung.
Angesichts des begrenzten Zeitrahmens und der hohen politischen Motivation hinter den Austrittsverhandlungen bedarf der Erlass eines Angemessenheitsbeschlusses einer „sportlichen“ Herangehensweise.
Ergeht kein Angemessenheitsbeschluss, gilt Großbritannien ab Anfang 2021 als „unsicheres Drittland“ im Sinne der Datenschutzgrundverordnung.
Ist das der datenschutzrechtliche Exit?
Nein, aber es bedeutet mehr organisatorischen Aufwand für Sie.
Wie bereits oben dargestellt, können Datenverarbeitungen in (unsicheren) Drittländern auch zulässig sein, wenn die involvierten Parteien (in diesem Fall Sie) ein angemessenes Schutzniveau sicherstellen (Wortlaut Datenschutzgrundverordnung: „geeignete Garantien vorsehen“).
Dies kann durch verschiedene Maßnahmen erfolgen.
Pragmatisch sinnvoll ist zumeist die Vereinbarung von „EU-Standard-Vertragsklauseln“ ein Vertrag mit von der EU-Kommission vorgegebenem Inhalt zwischen dem datenschutzrechtlich Verantwortlichen und dem in einem Drittland ansässigen „Datenverarbeiter“. Der Vertrag enthält eine Vielzahl von Regelungen (mit Anhängen üblicherweise ca. 12-15 Din A4 Seiten), die ein angemessenes Schutzniveau sicherstellen sollen (bspw. durch Vereinbarung der Durchsetzbarkeit von Betroffenenrechten, Haftungsfolgen etc.).
Daneben können im Einzelfall auch andere Gestaltungsvarianten in Frage kommen (z.B. Einwilligung der Betroffenen, Binding Corporate Rules, etc). Eines haben die Varianten allerdings alle gemeinsam: Sie müssen sich unmittelbar darum kümmern – und damit beginnen Sie am besten zu früh als zu spät.
… und die interne Dimension?
Neben dieser externen Dimension hat der Brexit natürlich auch unmittelbare Auswirkungen auf Ihre „interne“ Datenschutz-Compliance. Ihre Datenschutz-Dokumente bedürfen unter Umständen einer Anpassung, wenn Sie personenbezogene Daten in Großbritannien verarbeiten (lassen). Denn Drittlandübermittlungen müssen in Verarbeitungsverzeichnissen und Datenschutzerklärungen angegeben werden, können zu Datenschutzfolgeabschätzungen führen und sich auf Interessenabwägungen niederschlagen.
Es führt also kein Weg daran vorbei. Sie müssen sich mit den datenschutzrechtlichen Folgen des Brexit auseinandersetzen. Um einen ersten Überblick zu erlangen, anhand dessen Sie sodann die weiteren To-Do’s erarbeiten können, empfehlen wir die folgenden Maßnahmen. Intern:
- Identifizieren Sie alle Datenverarbeitungen, die von dem Brexit betroffen sein können.
- Überarbeiten Sie Ihre internen Datenschutz-Dokumente im Hinblick auf die Drittlandübermittlungen, z.B.:
- Verarbeitungsverzeichnis
- Datenschutzerklärungen
- Auftragsverarbeitungsverträge
- dokumentierte Datenschutzfolgeabschätzungen
- Prüfen Sie, ob für betroffene Datenverarbeitungen die „zusätzlichen Voraussetzungen“ für eine zulässige Verarbeitung in einem (unsicheren) Drittland vorliegen.
Extern:
- Sind Sie zur Schaffung der zusätzlichen Voraussetzungen auf die Mitwirkung von Geschäftspartnern angewiesen, sollten Sie diese frühzeitig einbinden .Fragen Sie bspw. direkt an, ob und wie die jeweiligen Unternehmen auf den Fall eingestellt sind, dass bis Ende 2020 kein Angemessenheitsbeschluss vorliegt.
Author