„Brexit“ – Über­gang zum Dritt­land aus Datenschutzsicht

Was war…
Am 23. Juni 2016 stimm­ten die Wähler von Groß­bri­tan­ni­en und Nord­ir­land mehr­heit­lich für den Aus­tritt aus der Eu­ro­päi­schen Union („Brexit“). Gemäß Artikel 50 des EU-Grun­d­la­­gen­­ver­­­tra­­ges über die Eu­ro­päi­sche Union („Vertrag von Lis­sa­bon“) muss der Aus­tritts­pro­zess durch die Mit­tei­lung der bri­ti­schen Re­gie­rung an den Eu­ro­päi­schen Rat recht­lich wirksam in die Wege ge­lei­tet werden. Die bri­ti­sche Pre­mier­mi­nis­te­rin, Theresa May, gab im Oktober 2016 bekannt, dass der Aus­tritts­vor­gang bis Ende März 2017 in Gang gesetzt werden soll.

Was bisher geschah…
Bis zum 31. De­zem­ber 2020 besteht eine Über­gangs­pha­se in der das EU-Recht für das Ver­ei­nig­te Kö­nig­reich grund­sätz­lich wei­ter­hin gilt und das Ver­ei­nig­te Kö­nig­reich Teil des EU-Bin­­nen­­mar­k­­tes und der EU-Zol­l­u­ni­on bleibt. ^[1] Bisher gab es ein ewiges Hin-und-Her bei den Aus­tritts­ge­sprä­chen. Fast täglich be­rich­tet die Presse über neue Ent­wick­lun­gen und Ge­sprä­che. Fakt ist wohl, dass es zu einem „No-Deal“-Austritt kommt. Die Ver­hand­lun­gen bleiben schwie­rig, und es gibt wei­ter­hin deut­li­che Un­ter­schie­de und Vor­stel­lun­gen bei den Verhandlungspartnern.

Was könnte sein… das Optimum
Groß­bri­tan­ni­en war an der Ent­wick­lung der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) als EU-Mit­­glied­s­­staat be­tei­ligt und die bri­ti­schen Un­ter­neh­men müssen das Gesetz auch bis zum 31. De­zem­ber 2020 um­set­zen und ein­hal­ten. An-und-für-sich wäre es das ein­fachs­te, dass die EU-Kom­­mis­­si­on einen An­ge­mes­sen­heits­be­schluss gemäß Art. 45 DS-GVO er­las­sen würde.
————-
Was ist ein An­ge­mes­sen­heits­be­schluss? Die Eu­ro­päi­sche Kom­mis­si­on kann gemäß Art. 45 Abs. 3 DS-GVO so­ge­nann­te An­ge­mes­sen­heits­be­schlüs­se fassen. Hierin stellt sie fest, dass per­so­nen­be­zo­ge­ne Daten in einem be­stimm­ten Dritt­land (oder in einem be­stimm­ten Gebiet oder Sektor) einen mit dem Eu­ro­päi­schen Da­ten­schutz­recht ver­gleich­ba­ren ad­äqua­ten Schutz ge­nie­ßen. Hat die Eu­ro­päi­sche Kom­mis­si­on einen ent­spre­chen­den An­ge­mes­sen­heits­be­schluss gefasst, so dürfen per­so­nen­be­zo­ge­ne Daten, sofern die sons­ti­gen Be­stim­mun­gen der DS-GVO ein­ge­hal­ten werden, ohne weitere Ge­neh­mi­gung an das je­wei­li­ge Land über­mit­telt werden. Da­ten­trans­fers auf der Grund­la­ge eines An­ge­mes­sen­heits­be­schlus­ses sind folg­lich pri­vi­le­giert: Sie werden solchen in­ner­halb der EU gleich­ge­stellt. ^[2]
———–
Warum einfach, wenn es auch kom­pli­ziert geht. Diese Mög­lich­keit will/wollte Groß­bri­tan­ni­en nicht nutzen.

Was be­deu­tet das für das Datenschutzrecht?
Aus Sicht des Da­ten­schutz­rechts, d.h. der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO), wird Groß­bri­tan­ni­en zu einem Dritt­land. Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter, die Daten in dieses Dritt­land wei­ter­hin über­mit­teln wollen, müssen selbst ge­eig­ne­te Ga­ran­tien zur Ge­währ­leis­tung eines an­ge­mes­se­nen Schutz­ni­veaus vor­se­hen, damit diese zu­läs­sig sind bzw. bleiben. Als ge­eig­ne­te Ga­ran­tien kommen Binding Cor­po­ra­te Rules (BCR), die Ver­wen­dung von Stan­dard­ver­trags­klau­seln der EU-Kom­­mis­­si­on (SCC), ge­neh­mig­te Ver­hal­tens­re­geln und ge­neh­mig­te Zer­ti­fi­zie­rungs­me­cha­nis­men sowie einzeln aus­ge­han­del­te Ver­trags­klau­seln in Be­tracht. Die Regel wird sein, dass die Un­ter­neh­men sog. Stan­dard­ver­trags­klau­seln (SCC) abschließen.

Dass das Ver­ei­nig­te Kö­nig­reich zu einem Dritt­land wird hat damit zur Folge, dass sämt­li­che mit bri­ti­schen Un­ter­neh­men oder Un­ter­neh­men mit Stand­or­ten in Groß­bri­tan­ni­en be­stehen­de Ver­trags­ver­hält­nis­se, bei denen per­so­nen­be­zo­ge­ne Daten über­mit­telt werden, geprüft werden und neue Ver­trä­ge ab­ge­schlos­sen werden müssen. Eine Ver­ein­ba­rung über die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten gemäß Artt. 28, 29 DS-GVO (Auf­trags­ver­ar­bei­tungs­ver­ein­ba­run­gen) ist nicht mehr gültig, d.h. es sind grund­sätz­li­che neue Ver­trä­ge, die Stan­dard­ver­trags­klau­seln (SCC), ab­zu­schlie­ßen. ^[3]

Un­ge­ach­tet dessen ist zu be­rück­sich­ti­gen, dass die Daten von Bürgern aus Groß­bri­tan­ni­en nicht mehr unter die DS-GVO fallen. Die Daten aller EU-Bürger al­ler­dings schon. Für bri­ti­schen Un­ter­neh­men hat dies in Ab­hän­gig­keit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten von EU-Bürgern zur Kon­se­quenz, dass sie sich wei­ter­hin an die DS-GVO halten und die An­for­de­run­gen er­fül­len müssen (Markt­ort­prin­zip Art. 3 Abs. 2 DS-GVO).

Was ist zu tun – aus Datenschutzsicht?
Der Über­gangs­zeit­raum endet am 31. De­zem­ber 2020. Die Vor­ge­hens­wei­se ist ver­gleich­bar mit dem Vor­ge­hen auf­grund des EuGH-Urteil im Juli 2020 (Schrems II). Alle Ver­ar­bei­tun­gen – ein gut ge­führ­tes Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten ist sehr hilf­reich – und die be­stehen­den Ver­trä­ge sind zu prüfen.

Hand­lungs­emp­feh­lun­gen – Checkliste: 

• Erfolgt eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten nach UK?
• Zu­läs­sig­keits­prü­fung gemäß Artt. 44 ff. DS-GVO
• An­pas­sung der Da­ten­schutz­hin­wei­se – In­for­ma­ti­ons­pflich­ten zur Da­ten­über­mitt­lung in ein Dritt­land nach Art. 13 Abs. 1 lit. f, Art. 14 Abs. 1 lit. f DS-GVO.
  (Diese sind nicht nur im Rahmen der Da­ten­schutz­er­klä­rung der Web­sei­te ggf. an­zu­pas­sen, sondern auch die für Ihre Beschäftigten.)
• An­pas­sung der Ein­wil­li­gungs­er­klä­run­gen (Artt. 7, 8 DS-GVO). Sofern eine Ein­wil­li­gung der be­trof­fe­nen Person zur Da­ten­ver­ar­bei­tung not­wen­dig ist, muss diese die Da­ten­über­mitt­lung in das UK um­fas­sen und es muss über das be­stehen­de Risiken auf­ge­klärt werden.
• An­pas­sung der Aus­kunfts­er­tei­lung (Da­ten­über­mitt­lung in ein Dritt­land Art. 15. Abs. 1 lit. c, Abs. 2 DS-GVO)
• Prüfung, ob Durch­füh­rung einer Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zu­n­­gen er­for­der­lich ist bzw. Über­prü­fung bereits durch­ge­führ­ter DSFA.

Nach­trag 25.12.2020:
Die Eu­ro­päi­sche Union und Groß­bri­tan­ni­en haben sich im Rahmen des „Brexit-Deals“ am 24.12.2020 auf eine ge­stuf­te Über­gangs­lö­sung zum Da­ten­aus­tausch geeinigt.
Der Da­ten­trans­fer zwi­schen den EU-/EWR-Mit­­glied­s­­staa­­ten und Groß­bri­tan­ni­en kann bis maximal 30.06.2021 weiter wie bisher er­fol­gen. Diese Über­gangs­frist von maximal sechs Monaten (4 Monate + 2 Monate op­tio­na­le Ver­län­ge­rung) endet au­to­ma­tisch oder mit einem An­ge­mes­sen­heits­be­schluß. Der „Brexit-Deal“ be­inhal­tet keinen Au­to­ma­tis­mus und/oder Ga­ran­tie für die Zeit danach; einen hohen Stan­dard wollen beide Parteien. 
Es bleibt also ab­zu­war­ten, ob die EU-Kom­­mis­­si­on auch für Groß­bri­tan­ni­en eine An­ge­mes­sen­heits­ent­schei­dung treffen wird oder nicht.

Daten­schutz ist eines der großen Themen unserer Zeit, dem di­gi­ta­len Zeit­al­ter. Das eu­ro­päi­sche Da­ten­schutz­recht ge­währ­leis­tet ein ein­heit­li­ches Da­ten­schutz­ni­veau. Da­ten­über­mitt­lun­gen sind möglich, sofern sich alle Be­tei­lig­ten an be­stimm­te Regeln halten – dies hat nicht nur für das Da­ten­schutz­recht Gül­tig­keit. Daten­schutz be­trifft uns alle, jeden Bürger und Verbraucher.

Die Lösung ist pro­ak­ti­ve ge­set­zes­kon­for­me Ge­stal­tung Ihres Da­te­m­­schutz-Ma­­na­ge­­men­t­­sys­­tes. Wir un­ter­stüt­zen Sie als Da­ten­schutz­ex­per­ten und be­trieb­li­che Datenschutz­beauftragte mit unserem Know-how – pro­ak­tiv, prag­ma­tisch, ri­si­ko­ori­en­tiert, lösungsorientiert.

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

Autorin: Regina Mühlich, Ge­schäfts­füh­re­rin der AdOrga Solutions GmbH, Da­ten­schutz­ex­per­tin, Au­di­to­rin für Daten­schutz & Qualitäts­management, Sach­ver­stän­di­ge für IT und Daten­schutz, Com­pli­ance Officer.

^[1] https://www.bundesregierung.de/breg-de/themen/brexit/brexit-wichtigste-infos-1712620 (zuletzt ab­ge­ru­fen am 23.12.2020)
^[2] https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschlüsse (zuletzt ab­ge­ru­fen am 23.12.2020)
^[3] https://www.datenschutz.rlp.de/de/themenfelder-themen/standarddatenschutzklauseln-der-eu-kommission-oder-einer-aufsichtsbehoerde/ (zuletzt ab­ge­ru­fen 23.12.2020)