Am 29. März 2019 plant das Vereinigte Königreich aus der Europäischen Union auszutreten. Mit dem Brexit wird das Vereinigte Königreich datenschutzrechtlich gesehen zu einem „unsicherem Drittstaat“. Somit hat der Brexit auch Auswirkungen auf die Übertragung personenbezogener Daten in das Vereinigte Königreich.
Anders als zwischen den anderen Ländern der EU, die ein gleichwertiges Datenschutzniveau aufweisen, dürfen nach der DSGVO personenbezogene Daten in ein Nicht-EU-Land nicht ohne weiteres zur Verarbeitung oder Speicherung übermittelt werden. Unter „Übermittlung“ ist dabei nicht nur der aktive Transfer von Daten zu verstehen, sondern auch die Möglichkeit Zugriff auf diese Daten zu nehmen (z.B. durch Auslesen einer Datenbank). Solange die EU-Kommission keinen Angemessenheitsbeschluss erlässt und damit dem Vereinigten Königreich ein der EU vergleichbares, angemessenes Datenschutzniveau ausstellt, sollten sich Unternehmen daher mit anderen datenschutzrechtlichen Maßnahmen vorbereiten, auch um eventuellen Datenschutzverstößen und der Gefahr eines Bußgelds vorzubeugen. Neben einer Rechtsgrundlage für die Datenübermittlung (i.d.R. die Anbahnung oder Durchführung von Vertragsverhältnissen oder eine Einwilligung gemäß Art. 6 Abs. 1 Buchst. a bzw. b DSGVO), müssen zusätzlich Garantien (vgl. Art. 46 Abs. 2 DSGVO) für eine zulässige Datenübermittlung ins Zielland verwendet werden.
Hierfür bieten sich insbes. an:
- Der Abschluss von „EU-Standardvertragsklauseln“. Dies sind Standardverträge zum Datenschutz, die unverändert zu übernehmen sind.
- Unternehmensinterne verbindliche Datenschutzvorschriften (sog. „Corporate Binding Rules”; d.h. konzernweite Regelungen für eine unternehmensinterne Datenübermittlung in Drittländer. Die Einführung solcher Standards ist allerdings ein langfristiger und kostenintensiver Prozess.
- Individuell zwischen den Parteien ausgehandelte Datenschutzklauseln, die allerdings der Zustimmung der zuständigen Aufsichtsbehörde bedürfen.
Da die Corporate Binding Rules und individuelle Datenschutzverträge zeit- und kostenaufwendig sind, ist es in der Regel gerade für kleinere und mittlere Unternehmen praktikabler auf die EU-Standardvertragsklauseln zurückzugreifen.
Ausnahmsweise ist eine Datenübermittlung auch ohne Garantien zulässig, wenn der Betroffene in den Datentransfer in das Drittland eingewilligt hat und über das fehlende angemessene Datenschutzniveau informiert wurde. Eine Übermittlung ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen insbes. alltägliche Fälle in denen der Betroffene die vorvertraglichen oder vertraglichen Maßnahmen veranlasst hat. Bspw. die Reservierung von Hotels und internationaler Beförderungsleistungen, die Abwicklung internationaler Überweisungen durch die Bank, oder der Versand bestellter Ware zur Vertragserfüllung.
Sollte es zu einem geordneten Austritt kommen, dürfte das bislang geltende europäische Datenschutzrecht im Rahmen einer Übergangsphase weiter gelten, bis das Vereinigte Königreich ein nationales Datenschutzrecht verfasst hat und die EU-Kommission ggf. einen Angemessenheitsbeschluss erlässt.
Weitere Vorgehensweise
Grundsätzlich sollten Unternehmen vor dem Brexit die Datenflüsse ins Vereinigte Königreich analysieren und nach der DSGVO erforderliche Dokumentationen anfertigen oder anpassen.
Hier sind insbes. zu berücksichtigen:
- Die Datenübermittlung ins Vereinigte Königreich als Nicht-EU-Land sowie die vorhandenen Garantien, oder Ausnahmen sind im internen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
- In der Datenschutzerklärung ist über die Datenübermittlung ins Vereinigte Königreich und über die vorhandenen Garantien oder Ausnahmen zu informieren.
- Wenn eine betroffene Person ein Auskunftsersuchen stellt, ist sie auch über die Datenübermittlung ins Drittland zu unterrichten.Bestehende Verträge über Auftragsverarbeitungen (z.B. Cloud-Anbieter speichert die Daten innerhalb des Vereinigten Königreichs, oder Personaldatenverwaltung durch die Konzernmutter oder eine Niederlassung im Vereinigten Königreich) sind mit Hilfe der oben genannten Garantien zusätzlich abzusichern. Hier bieten sich die EU-Standardvertragsklauseln an, die auch ein Klausel-Set für Konstellation einer Datenverarbeitung im Auftrag vorhalten.
Quelle: IHK Stuttgart
Link: www.stuttgart.ihk24.de/Fuer-Unternehmen/recht_und_steuern/Datenschutzrecht/was-bedeutet-der-brexit-fuer-den-datenschutz_2/4339000
Photo by James Giddins on Unsplash
14.02.2019