Was war…
Am 23. Juni 2016 stimmten die Wähler von Großbritannien und Nordirland mehrheitlich für den Austritt aus der Europäischen Union („Brexit“). Gemäß Artikel 50 des EU-Grundlagenvertrages über die Europäische Union („Vertrag von Lissabon“) muss der Austrittsprozess durch die Mitteilung der britischen Regierung an den Europäischen Rat rechtlich wirksam in die Wege geleitet werden. Die britische Premierministerin, Theresa May, gab im Oktober 2016 bekannt, dass der Austrittsvorgang bis Ende März 2017 in Gang gesetzt werden soll.
Was bisher geschah…
Bis zum 31. Dezember 2020 besteht eine Übergangsphase in der das EU-Recht für das Vereinigte Königreich grundsätzlich weiterhin gilt und das Vereinigte Königreich Teil des EU-Binnenmarktes und der EU-Zollunion bleibt. [1] Bisher gab es ein ewiges Hin-und-Her bei den Austrittsgesprächen. Fast täglich berichtet die Presse über neue Entwicklungen und Gespräche. Fakt ist wohl, dass es zu einem „No-Deal“-Austritt kommt. Die Verhandlungen bleiben schwierig, und es gibt weiterhin deutliche Unterschiede und Vorstellungen bei den Verhandlungspartnern.
Was könnte sein… das Optimum
Großbritannien war an der Entwicklung der Datenschutz-Grundverordnung (DS-GVO) als EU-Mitgliedsstaat beteiligt und die britischen Unternehmen müssen das Gesetz auch bis zum 31. Dezember 2020 umsetzen und einhalten. An-und-für-sich wäre es das einfachste, dass die EU-Kommission einen Angemessenheitsbeschluss gemäß Art. 45 DS-GVO erlassen würde.
————-
Was ist ein Angemessenheitsbeschluss? Die Europäische Kommission kann gemäß Art. 45 Abs. 3 DS-GVO sogenannte Angemessenheitsbeschlüsse fassen. Hierin stellt sie fest, dass personenbezogene Daten in einem bestimmten Drittland (oder in einem bestimmten Gebiet oder Sektor) einen mit dem Europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen. Hat die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst, so dürfen personenbezogene Daten, sofern die sonstigen Bestimmungen der DS-GVO eingehalten werden, ohne weitere Genehmigung an das jeweilige Land übermittelt werden. Datentransfers auf der Grundlage eines Angemessenheitsbeschlusses sind folglich privilegiert: Sie werden solchen innerhalb der EU gleichgestellt. [2]
———–
Warum einfach, wenn es auch kompliziert geht. Diese Möglichkeit will/wollte Großbritannien nicht nutzen.
Was bedeutet das für das Datenschutzrecht?
Aus Sicht des Datenschutzrechts, d.h. der Datenschutz-Grundverordnung (DS-GVO), wird Großbritannien zu einem Drittland. Verantwortliche und Auftragsverarbeiter, die Daten in dieses Drittland weiterhin übermitteln wollen, müssen selbst geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorsehen, damit diese zulässig sind bzw. bleiben. Als geeignete Garantien kommen Binding Corporate Rules (BCR), die Verwendung von Standardvertragsklauseln der EU-Kommission (SCC), genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen sowie einzeln ausgehandelte Vertragsklauseln in Betracht. Die Regel wird sein, dass die Unternehmen sog. Standardvertragsklauseln (SCC) abschließen.
Dass das Vereinigte Königreich zu einem Drittland wird hat damit zur Folge, dass sämtliche mit britischen Unternehmen oder Unternehmen mit Standorten in Großbritannien bestehende Vertragsverhältnisse, bei denen personenbezogene Daten übermittelt werden, geprüft werden und neue Verträge abgeschlossen werden müssen. Eine Vereinbarung über die Verarbeitung von personenbezogenen Daten gemäß Artt. 28, 29 DS-GVO (Auftragsverarbeitungsvereinbarungen) ist nicht mehr gültig, d.h. es sind grundsätzliche neue Verträge, die Standardvertragsklauseln (SCC), abzuschließen. [3]
Ungeachtet dessen ist zu berücksichtigen, dass die Daten von Bürgern aus Großbritannien nicht mehr unter die DS-GVO fallen. Die Daten aller EU-Bürger allerdings schon. Für britischen Unternehmen hat dies in Abhängigkeit der Verarbeitung von personenbezogenen Daten von EU-Bürgern zur Konsequenz, dass sie sich weiterhin an die DS-GVO halten und die Anforderungen erfüllen müssen (Marktortprinzip Art. 3 Abs. 2 DS-GVO).
Was ist zu tun – aus Datenschutzsicht?
Der Übergangszeitraum endet am 31. Dezember 2020. Die Vorgehensweise ist vergleichbar mit dem Vorgehen aufgrund des EuGH-Urteil im Juli 2020 (Schrems II). Alle Verarbeitungen – ein gut geführtes Verzeichnis der Verarbeitungstätigkeiten ist sehr hilfreich – und die bestehenden Verträge sind zu prüfen.
Handlungsempfehlungen – Checkliste:
- Erfolgt eine Übermittlung personenbezogener Daten nach UK?
- Zulässigkeitsprüfung gemäß Artt. 44 ff. DS-GVO
- Anpassung der Datenschutzhinweise – Informationspflichten zur Datenübermittlung in ein Drittland nach Art. 13 Abs. 1 lit. f, Art. 14 Abs. 1 lit. f DS-GVO.
(Diese sind nicht nur im Rahmen der Datenschutzerklärung der Webseite ggf. anzupassen, sondern auch die für Ihre Beschäftigten.) - Anpassung der Einwilligungserklärungen (Artt. 7, 8 DS-GVO). Sofern eine Einwilligung der betroffenen Person zur Datenverarbeitung notwendig ist, muss diese die Datenübermittlung in das UK umfassen und es muss über das bestehende Risiken aufgeklärt werden.
- Anpassung der Auskunftserteilung (Datenübermittlung in ein Drittland Art. 15. Abs. 1 lit. c, Abs. 2 DS-GVO)
- Prüfung, ob Durchführung einer Datenschutz-Folgenabschätzungen erforderlich ist bzw. Überprüfung bereits durchgeführter DSFA.
Nachtrag 25.12.2020:
Die Europäische Union und Großbritannien haben sich im Rahmen des „Brexit-Deals“ am 24.12.2020 auf eine gestufte Übergangslösung zum Datenaustausch geeinigt.
Der Datentransfer zwischen den EU-/EWR-Mitgliedsstaaten und Großbritannien kann bis maximal 30.06.2021 weiter wie bisher erfolgen. Diese Übergangsfrist von maximal sechs Monaten (4 Monate + 2 Monate optionale Verlängerung) endet automatisch oder mit einem Angemessenheitsbeschluß. Der „Brexit-Deal“ beinhaltet keinen Automatismus und/oder Garantie für die Zeit danach; einen hohen Standard wollen beide Parteien.
Es bleibt also abzuwarten, ob die EU-Kommission auch für Großbritannien eine Angemessenheitsentscheidung treffen wird oder nicht.
Datenschutz ist eines der großen Themen unserer Zeit, dem digitalen Zeitalter. Das europäische Datenschutzrecht gewährleistet ein einheitliches Datenschutzniveau. Datenübermittlungen sind möglich, sofern sich alle Beteiligten an bestimmte Regeln halten – dies hat nicht nur für das Datenschutzrecht Gültigkeit. Datenschutz betrifft uns alle, jeden Bürger und Verbraucher.
Die Lösung ist proaktive gesetzeskonforme Gestaltung Ihres Datemschutz-Managementsystes. Wir unterstützen Sie als Datenschutzexperten und betriebliche Datenschutzbeauftragte mit unserem Know-how – proaktiv, pragmatisch, risikoorientiert, lösungsorientiert.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Autorin: Regina Mühlich, Geschäftsführerin der AdOrga Solutions GmbH, Datenschutzexpertin, Auditorin für Datenschutz & Qualitätsmanagement, Sachverständige für IT und Datenschutz, Compliance Officer.
[1] https://www.bundesregierung.de/breg-de/themen/brexit/brexit-wichtigste-infos-1712620 (zuletzt abgerufen am 23.12.2020)
[2] https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschlüsse (zuletzt abgerufen am 23.12.2020)
[3] https://www.datenschutz.rlp.de/de/themenfelder-themen/standarddatenschutzklauseln-der-eu-kommission-oder-einer-aufsichtsbehoerde/ (zuletzt abgerufen 23.12.2020)