Fit für den Brexit - Update für den Datenschutz

Für den Fall eines Austritts Großbritanniens aus der EU ohne Abkommen (auch No Deal oder Hard Brexit genannt), hat dies erhebliche Auswirkungen auf die Zulässigkeit der Verarbeitung personenbezogener Daten in bzw. die Übermittlung solcher Daten nach Großbritannien.

Mit dem Austritt wird das Vereinigte Königreich unter der Geltung der Datenschutzgrundverordnung datenschutzrechtlich nämlich zu einem (unsicheren) Drittland, in dem kein angemessenes Datenschutzniveau mehr angenommen werden kann.

Damit müssen verantwortliche Stellen in der EU, die Regelungen für Datenübermittlungen in Drittländer berücksichtigen und ihre Dokumente entsprechend überarbeiten. Nach aktuellen Aussagen ist derzeit auch nicht davon auszugehen, dass die Europäische Union einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen werden wird, der die datenschutzrechtlichen Probleme geringer halten würde.

Da nach einer Umfrage der BITKOM jedes siebte deutsche Unternehmen Daten konzernintern oder an Dritte in das Vereinigte Königreich übermittelt, befürchtet deren Hauptgeschäftsführer ohne weitere Vereinbarung mit der EU bereits ein „Datenchaos“.

1. Handlungsbedarf für betroffene Unternehmen

Nachdem die Annahme des aktuell vorliegenden „Deal“ seitens Großbritanniens weiter unsicher ist, sollten betroffene Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, die notwendigen Maßnahmen zur Einhaltung der strengen Vorgaben der DSGVO nun unverzüglich treffen. Da eine Datenübermittlung schon bei der Inanspruchnahme von IT-Dienstleistungen britischer Unternehmen (z.B. Cloud-Lösungen) oder im Rahmen von Auftragsverarbeitung mit britischen Unternehmen angenommen wird, sollte die eigene Datenverarbeitung zunächst geprüft werden.

2. Anforderungen an die Datenübermittlung in das Vereinigte Königreich

Bezüglich der betroffenen Verarbeitungsvorgänge hat das Unternehmen dann zunächst über geeignete Garantien im Sinne der Art. 46 ff. DSGVO für ein angemessenes Datenschutzniveau im Empfängerland zu sorgen. Bei fortgesetzter Übermittlung in ein (unsicheres) Drittland können Bußgelder ansonsten nicht ausgeschlossen werden.

Zur Gewährleistung eines angemessenen Datenschutzniveaus bieten sich konzernintern sog. Binding Corporate Rules oder genehmigte Verhaltensregeln an. Mit Dritten sollten hingegen die Standardvertragsklauseln der EU-Kommission oder einzeln ausgehandelte Vertragsklauseln oder Verwaltungsvereinbarungen getroffen werden.

Ohne entsprechende Garantien ist eine Datenübermittlung nach Großbritannien nur noch in den in Art. 49 DSGVO aufgeführten Ausnahmefällen zulässig.

Soweit nicht eine Einwilligung vorliegt, die ausdrücklich auch die Übermittlung in ein Drittland umfasst ist die Übermittlung nach dem Brexit nur erlaubt, wenn diese Übermittlung

  • zur Vertragserfüllung,
  • aus wichtigen Gründen des öffentlichen Interesses,
  • zur Verfolgung von Rechtsansprüchen oder
  • zur Wahrung zwingender berechtigter Interessen

auch unbedingt erforderlich ist.

Unternehmen die bezüglich der (zwingenden) Erforderlichkeit der Datenübermittlung zu einem der genannten Zwecke unsicher sind, sollten sicherheitshalber den oben beschriebenen Weg der Garantien verfolgen oder eine Einwilligung einholen.

3. Gewährleistung der Informations- und Dokumentationspflichten

Neben der Prüfung der Zulässigkeit der Datenübermittlung sind aufgrund der in der DSGVO zwingend vorgeschriebenen Transparenz- und Dokumentationspflichten dann noch einige konkrete Änderungen vorzunehmen.

Um die Betroffenen bei Erhebung der Daten dem Art. 13 Abs.1 DSGVO entsprechend über die Datenverarbeitung zu informieren, sind die bereitgestellten Informationen (z.B. in der Datenschutzerklärung) bezüglich der Datenübermittlung in ein Drittland zu ergänzen.

Nach Art. 30 DSGVO ist die Prüfung der Zulässigkeit der Übermittlung in Drittländer auch zu dokumentieren. Damit sind auch die Verarbeitungsverzeichnisse, in denen die Verarbeitungsvorgänge dokumentiert sind, entsprechend anzupassen.

Je nach Umfang und Sensibilität mit dem Brexit aufgrund der Übermittlung in ein Drittland eventuell auch Datenschutz-Folgenabschätzungen im Sinne des Art. 35 DSGVO durchzuführen oder zu überprüfen.

4. Die Zeit drängt …

Erste Stellungnahmen der Landesdatenschutzbehörden zeigen, dass die Datenschutzaufsicht die Konsequenzen des Brexit bereits „auf der Agenda haben“. Durch die Mitteilung der notwendigen Maßnahmen werden sich Unternehmen auch kaum auf Unkenntnis berufen können.

Unternehmen, die Kunden und/oder Mitarbeiterdaten im Vereinigten Königreich verarbeiten oder dorthin übermitteln sind im Hinblick auf die seit Geltung der DSGVO erheblich gestiegenen Bußgelder gut beraten, die dargestellten Maßnahmen zeitnah in die Wege zu leiten.

Da der Abschluss des Brexit-Deal zum 31.Januar 2020 weiter unsicher ist und die Schaffung geeigneter Garantien bzw. die Umstellung der Information und Dokumentation doch auch einige Zeit Anspruch nehmen, sollten betroffene Unternehmen nun unverzüglich tätig werden

Weitere relevante Bereiche zum Thema