In 44 Tagen wird das Vereinigte Königreich von Großbritannien und Nordirland die Europäische Union verlassen. Über ein Austrittsabkommen konnte sich das Vereinigte Königreich und die Europäische Union noch nicht einigen. Ein ungeregelter Brexit hätte schwerwiegende Auswirkungen für viele deutsche Unternehmen, die dort personenbezogene Daten verarbeiten.

Konsequenzen für viele betroffene Unternehmen

Viele Unternehmen mit Mutter- oder Tochtergesellschaften im Vereinigten Königreich haben ihren Sitz in London, Edinburgh oder in anderen britischen Großstädten. Andere Unternehmen übermitteln personenbezogene Daten ihren Auftragsverarbeiter (z.B. IT-Dienstleister) mit Sitz im Vereinigten Königreich. In Deutschland betrifft dies laut einer Bitkom-Umfrage aus dem Jahr 2018, 14 % aller Unternehmen, also jedes siebte Unternehmen hierzulande. Kommt es zu einem ungeregelten Brexit, d.h. das Vereinigte Königreich verlässt am 29. März 2019 23.00 GMT die EU ohne Austrittsabkommen, hat dies zur Konsequenz, erst einmal vom europäischen Datenfluss abgeschnitten zu sein. Für viele Unternehmen, die für ihre Auftragsvergabe (z.B. Buchhaltung oder Personalstelle) kein Notfallplan haben, ist jetzt Eile geboten, dies zu überprüfen.

Wird das Vereinigte Königreich zum unsicheren Drittland?

Bei einem ungeregelten Brexit wird das Vereinigte Königreich zunächst als unsicheres Drittland gelten. Ein Angemessenheitsbeschluss der Europäische Kommission nach Art. 45 DS-GVO kann ein Land auf die Stufe eines sicheren Drittlandes heben. Die Europäische Kommission wird dem Vereinigten Königreich nur dann ein adäquates Datenschutzniveau bescheinigen, wenn sie die geltenden Regeln des Datenschutzes dem europäischen Datenschutzstandard entsprechen.

Dass die Europäische Kommission rechtzeitig zum 30. März 2019 einen Angemessenheitsbeschluss im Sinne von Art. 45 DS-GVO erlassen wird, gilt als recht unwahrscheinlich. Aktuell gibt es einen solchen Angemessenheitsbeschluss für die Schweiz, USA, Kanada und 9 weiteren Ländern.[1]

Wer ist alles betroffen?

Betroffene sind alle öffentliche und nicht-öffentliche Stellen, die in Richtung des Vereinigten Königreich personenbezogene Daten übermitteln. Dazu zählen Behörden, Konzerne, kleine und mittelständische Unternehmen, Universitäten, Vereine etc.

Dies gilt z.B. bei Inanspruchnahme von IT-Dienstleistungen durch britische Unternehmen (z.B. Microsoft Europe mit diversen Cloud-Lösungen) oder im Rahmen von Auftragsverarbeitungsvorgängen durch ein im Vereinigten Königreich ansässiges Unternehmen für einen Verantwortlichen in der Europäischen Union. Hierbei kommt es zu einer Datenübermittlung in ein Drittland im Sinne der europäischen Datenschutz-Grundverordnung.

Zu personenbezogenen Daten gehören: Name, Anschrift, Geburtsdatum, Bankdaten, Religionszugehörigkeit, und zwar sowohl von Kunden, Beschäftigten, Vertragspartnern als auch von Studenten, Vereinsmitgliedern, etc.

Was ist zu tun?

An Vorschriften für die Datenübermittlung in Drittländer sind insbesondere die folgenden zu berücksichtigen, die einen mal mehr und mal weniger großen Umsetzungsaufwand für die betroffenen Stellen bedeuten:

  • Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung in ein Drittland zu informieren.
  • Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO auch über die Datenübermittlung in Drittländer zu beauskunften.
  • Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DS-GVO bzw. Art. 30 Abs. 2 lit. c DS-GVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
  • Ggf. sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das UK als Drittland geht (Art. 35 DS-GVO).
  • Es sind geeignete Garantien zum Schutz personenbezogener Daten bei der Übermittlung in ein Drittland zu schaffen, wenn nicht Ausnahmetatbestände greifen. Kurz gesagt ist Kapitel V DS-GVO (Art. 44 ff. DS-GVO) anzuwenden.

Geeignete Garantien bei der Datenübermittlung in Drittländer

Für einen legitimen Datentransfer müssen zusätzliche Voraussetzungen erfüllt werden, wenn ohne die Feststellung des angemessenen Datenschutzniveaus der Europäischen Kommission Daten übermittelt werden müssen. Als geeignete Garantien bei der Datenübermittlung in Drittländer kommen Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit c DS-GVO[2], genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. e und f DS-GVO) für einen Vertragsabschluss in Betracht. Ein Verweis auf diese Regelung reicht jedoch nicht aus. Für Unternehmensgruppen von Konzernen (Art. 4 Nr. 19 DS-GVO findet sich eine Definition des Begriffs des Konzerns „Unternehmensgruppe“) mit Sitz in einem unsicherem Drittland, können für die Datenverarbeitung und Datenübermittlung verbindliche interne Datenschutzvorschriften als Grundlage für einen Rechtsrahmen nach Binding Coporate Rules[3] Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO bilden. Einzeln ausgehandelte Vertragsklauseln nach Art. 46 Abs. 3 DS-GVO können ebenso in Betracht gezogen werden.

Gemäß Art. 46 Abs. 1 a. E. DS-GVO ist es bei allen in Betracht kommenden geeigneten Garantien im Sinne von Art. 46 zusätzlich erforderlich, den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe einzuräumen.

Welche Ausnahmen gibt es?

In bestimmten Fällen darf ausnahmsweise ein Datentransfer auch ohne Vorliegen geeigneter Garantien erfolgen. Zum Schutz der Daten müssen folgen Voraussetzungen nach Art. 49 DS-GVO (Ausnahmen für bestimmte Fälle) erfüllt sein.[4]

  • ausdrückliche Einwilligung zur Datenübermittlung ins Drittland von der betroffenen Person (Art. 49 Abs. 1 lit. a)
  • Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 lit. b und c)
  • wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 lit. d)
  • Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 lit. e)
  • Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 lit. e)
  • Wahrung zwingender berechtigter Interessen (Art. 49 Abs. 1 Unterabs. 2 S. 1)

Gemäß ihrem Ausnahmecharakter sind diese Ausnahmetatbestände eng auszulegen.

Die DS-GVO lässt keinen Raum für Übergangsregelungen für den Zeitraum zwischen dem Austritt des UK und einem möglichen Angemessenheitsbeschluss durch die EU-Kommission zu. Auch eine „Stillhalte-Zusage“ durch die Aufsichtsbehörden wie bei Save Harbour ist unter der DS-GVO nicht möglich.

Europäische Datenschutzbeauftragte diskutieren über Brexit

Im Rahmen der Februar-Sitzung einigten sich die Mitglieder des Europäischen Datenschutzausschusses (EDSA) am 12.02.2019 auf datenschutzrechtliche Informationen im Zusammenhang eines No-Deal-Brexit. Damit bei dem Datentransfer nach dem Vereinigten Königreich die Vorgaben der DS-GVO eingehalten werden, werden in den nächsten Tagen Informationen zur Treffung von Vorkehrungen für betroffene Behörden und Unternehmen auf der Webseite des EDSA veröffentlicht.[5] [6]

Fazit

Für einen Datentransfer mit dem Vereinigten Königreich von Großbritannien und Nordirland muss jede Stelle, die personenbezogene Daten übermittelt sich jetzt darauf vorbereiten, dass die Einhaltung des Datenschutzrechts auch nach dem Austritt am 29. März 2019 aus der Europäischen Union gewährleitet ist. Die Anpassung des Informationsblatts zur Datenverarbeitung, des Musters für eine Auskunftserteilung und des Verzeichnisses von Verarbeitungstätigkeiten dürfte das kleinere Problem sein.

Einen sehr viel größeren Aufwand ist in der Regel die Schaffung von geeigneten Garantien. Um einen Nichtverstoß gegen Art. 5 Abs. 1 lit. a in Verbindung mit Art. 44 DS-GVO zu gewährleisten, müssen die geeigneten Garantien bis zum 30. März 2019 geschaffen sein.

Da für die Einrichtung geeigneter Garantien gemäß Art 46 ff. DS-GVO regelmäßig Einigungen mit Geschäftspartnern, mit anderen Konzernmitgliedern oder mit anderen nicht-öffentlichen oder öffentlichen Stellen erzielt werden müssen und ggf. ein Genehmigungsverfahren bei der Datenschutzaufsichtsbehörde durchlaufen werden muss, sind diese – sofern noch nicht geschehen – umgehend in die Wege zu leiten.


[1] https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_de (Abruf 13.02.2019)

[2] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=EN (Abruf 13.02.2019)

[3] Liste der Unternehmen deren BCRs anerkannt worden sind https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-  eu/binding-corporate-rules_en (Abruf 13.02.2019)

[4] https://www.datenschutz.rlp.de/de/themenfelder-themen/ausnahmetatbestaende-nach-art-49-ds-gvo/ Abruf 13.02.2019

[5] https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/07_EDSASitzungFebruar.html (Abruf 13.02.2019)

[6] https://edpb.europa.eu/sites/edpb/files/files/file1/20190212plen-1.2agenda_publicversion.pdf (Abruf 13.02.2019)

Bildquelle: © Shutterstock/Tumisu