Was bedeutet der Brexit für den Datenschutz?
18. Februar 2019. Am 29. März 2019 plant das Vereinigte Königreich (VK) aus der Europäischen Union (EU) auszutreten. Mit dem Brexit wird das VK datenschutzrechtlich gesehen zu einem „unsicherem Drittstaat“. Somit hat der Brexit auch Auswirkungen auf die Übertragung personenbezogener Daten in das VK. Anders als zwischen den anderen Ländern der EU, die ein gleichwertiges Datenschutzniveau aufweisen, dürfen nach der DSGVO personenbezogene Daten in ein Nicht-EU-Land nicht ohne weiteres zur Verarbeitung oder Speicherung übermittelt werden. Unter „Übermittlung“ ist dabei nicht nur der aktive Transfer von Daten zu verstehen, sondern auch die Möglichkeit Zugriff auf diese Daten zu nehmen (zum Beispiel durch Auslesen einer Datenbank). Solange die EU-Kommission keinen Angemessenheitsbeschluss erlässt und damit VK ein der EU vergleichbares, angemessenes Datenschutzniveau ausstellt, sollten sich Unternehmen daher mit anderen datenschutzrechtlichen Maßnahmen vorbereiten, auch um eventuellen Datenschutzverstößen und der Gefahr eines Bußgelds vorzubeugen. Neben einer Rechtsgrundlage für die Datenübermittlung (in der Regel die Anbahnung oder Durchführung von Vertragsverhältnissen oder eine Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a beziehungsweise b DSGVO), müssen zusätzlich Garantien (vergleiche Artikel 46 Absatz 2 DSGVO) für eine zulässige Datenübermittlung ins Zielland verwendet werden.
Hierfür bieten sich insbesondere an:
- Der Abschluss von EU-Standardvertragsklauseln (diese sind auf der Webseite der EU hinterlegt). Dies sind Standardverträge zum Datenschutz, die unverändert zu übernehmen sind.
- Unternehmensinterne verbindliche Datenschutzvorschriften (sogenannte “Corporate Binding Rules”, das heißt konzernweite Regelungen für eine unternehmensinterne Datenübermittlung in Drittländer; die Einführung solcher Standards ist allerdings ein langfristiger und kostenintensiver Prozess).
- Individuell zwischen den Parteien ausgehandelte Datenschutzklauseln, die allerdings der Zustimmung der zuständigen Aufsichtsbehörde bedürfen.
Da die Corporate Binding Rules und individuelle Datenschutzverträge zeit- und kostenaufwendig sind, ist es in der Regel gerade für kleinere und mittlere Unternehmen praktikabler auf die EU-Standardvertragsklauseln zurückzugreifen.
Ausnahmsweise ist eine Datenübermittlung auch ohne Garantien zulässig, wenn der Betroffene in den Datentransfer in das Drittland eingewilligt hat und über das fehlende angemessene
Datenschutzniveau informiert wurde. Eine Übermittlung ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen
insbesondere alltägliche Fälle in denen der Betroffene die vorvertraglichen oder vertraglichen Maßnahmen veranlasst hat. Beispielsweise die Reservierung von Hotels und internationaler Beförderungsleistungen, die Abwicklung internationaler Überweisungen durch die Bank, oder der Versand bestellter Ware zur Vertragserfüllung.
Datenschutzniveau informiert wurde. Eine Übermittlung ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen
insbesondere alltägliche Fälle in denen der Betroffene die vorvertraglichen oder vertraglichen Maßnahmen veranlasst hat. Beispielsweise die Reservierung von Hotels und internationaler Beförderungsleistungen, die Abwicklung internationaler Überweisungen durch die Bank, oder der Versand bestellter Ware zur Vertragserfüllung.
Sollte es zu einem geordneten Austritt kommen, dürfte das bislang geltende europäische Datenschutzrecht im Rahmen einer Übergangsphase weiter im VK gelten, bis das VK ein nationales Datenschutzrecht verfasst hat und die EU-Kommission gegebenenfalls einen Angemessenheitsbeschluss erlässt.
Weitere Vorgehensweise:
Grundsätzlich sollten Unternehmen vor dem Brexit die Datenflüsse ins VK analysieren und nach der DSGVO erforderliche Dokumentationen anfertigen oder anpassen.
Insbesondere sind hier zu berücksichtigen:
- Die Datenübermittlung nach VK als Nicht-EU-Land sowie die vorhandenen Garantien, oder Ausnahmen sind im internen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
- In der Datenschutzerklärung ist über die Datenübermittlung nach VK und über die vorhandenen Garantien oder Ausnahmen zu informieren.
- Wenn eine betroffene Person ein Auskunftsersuchen stellt, ist sie auch über die Datenübermittlung ins Drittland zu unterrichten.
- Bestehende Verträge über Auftragsverarbeitungen (beispielsweise: Cloud-Anbieter speichert die Daten innerhalb VKs, oder Personaldatenverwaltung durch die Konzernmutter oder eine Niederlassung im VK) sind mit Hilfe der oben genannten Garantien zusätzlich abzusichern. Hier bieten sich die EU-Standardvertragsklauseln an, die auch ein Klausel-Set für Konstellation einer Datenverarbeitung im Auftrag vorhalten.
Einen Überblick zu der Thematik bietet auch die Webseite des Landesdatenschutzbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg mit weiterführenden Hinweisen.
Quelle: IHK Stuttgart, Dok.-Nr. 4339000