Der Brexit rückt näher. Unternehmen sollten tätig werden, um sicherzustellen, dass mit dem Ende der Übergangsphase die Einhaltung datenschutzrechtlicher Regeln gewährleistet ist.

Folgende 7 To-dos empfehlen wir (nähere Erläuterung weiter unten):

  1. „Know your transfers“: Erstellen einer Übersicht aller Datenverarbeitungen mit Bezug zum Vereinigten Königreich
  2. Festlegen des konkreten Rechtfertigungsmechanismus (häufig Standarddatenschutzklauseln)
  3. Analyse des Datenschutzniveaus im Drittstaat
  4. Falls kein gleichwertiges Datenschutzniveau besteht: Weitere Maßnahmen
  5. Regelmäßige Evaluierung der Maßnahmen
  6. Dokumentation sämtlicher Schritte
  7. Datenschutzerklärungen ergänzen

 

A. Was bedeutet der Brexit in datenschutzrechtlicher Hinsicht?

Das Abkommen für den Austritt des Vereinigten Königreiches aus der Europäischen Union sieht eine Übergangsphase bis zum 31. Dezember 2020 vor. Nach Ablauf dieser Übergangsphase wird das Vereinigte Königreich in datenschutzrechtlicher Hinsicht zum Drittland. Datenübermittlungen in Drittländer sind nach den Art. 44 ff. DSGVO nur unter bestimmten weiteren Voraussetzungen zulässig. Es kommt insbesondere darauf an, ob in dem Drittland ein angemessenes Datenschutzniveau sichergestellt werden kann.

Die EU-Kommission kann beispielsweise durch einen sogenannten Angemessenheitsbeschluss feststellen, dass in dem Drittland ein angemessenes Schutzniveau besteht. Dies ist bisher unter anderem für Japan, Israel, partiell für Kanada und einige weitere Staaten geschehen. Aktuell evaluiert die EU-Kommission das Datenschutzniveau des Vereinigten Königreichs und ob die Möglichkeit besteht, einen Angemessenheitsbeschluss zu erlassen. Zum jetzigen Zeitpunkt kann man aber noch keine eindeutigen Prognosen anstellen, ob und wann ein Angemessenheitsbeschluss für das Vereinigte Königreich erlassen wird. Es existieren aber Indikatoren, die jedenfalls gegen einen kurzfristigen Angemessenheitsbeschluss sprechen. So findet zwischen den USA und dem Vereinigten Königreich im Rahmen der so genannten Five-Eyes-Nachrichtendienstkooperation ein extensiver Datenaustausch statt. Auch eine Entscheidung des EuGH (Urt. v. 6.10.2020, C 623/17) wirft Zweifel hinsichtlich des Datenschutzniveaus im Vereinigten Königreich auf. Laut dem EuGH ist die in Überwachungsgesetzen des Vereinigten Königreichs vorgeschriebene anlasslose Speicherung und Weitergabe von Verbindungsdaten zu präventiven Zwecken unzulässig.

Solange kein Angemessenheitsbeschluss existiert, ist auf alternative Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus zurückzugreifen. Als geeignete Garantien kommen primär der Einsatz von Standarddatenschutzklauseln sowie auch Binding Corporate Rules, genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen und einzeln ausgehandelte Vertragsklauseln in Betracht. Wir gehen davon aus, dass in den meisten Fällen Standarddatenschutzklauseln als Rechtfertigungsinstrument infrage kommen. Bitte beachten Sie aber, dass in bestimmten Fällen, etwa bei Übermittlung an eine unselbstständige Niederlassung im Vereinigten Königreich, der Abschluss von Standarddatenschutzklauseln nicht möglich ist.

B. Genügen Standarddatenschutzklauseln?

Hinsichtlich Datentransfers in die USA hat der EuGH in seinem Schrems 2-Urteil bereits festgestellt, dass  Standarddatenschutzklauseln wegen der erheblichen Zugriffsbefugnisse von Sicherheitsbehörden ohne weitere Maßnahmen in der Regel nicht genügen, um ein angemessenes Datenschutzniveau zu gewährleisten. Es ist nicht auszuschließen, dass dies in ähnlichem Maße auch für das Vereinigte Königreich gilt.

C. 7 To-Dos

Um zu prüfen, ob und in welchem Umfang Sie tätig werden müssen, empfehlen wir sieben konkrete To-Dos. Unabhängig vom Brexit sollten Sie die Prüfschritte in Perspektive für sämtliche Drittlandsverarbeitungen durchführen. Dies ist eine Folge der Schrems 2-Rechtsprechung.

Die To Dos lauten im Detail wie folgt:

1. „Know your transfers“: Erstellen einer Übersicht aller Datenverarbeitungen mit Bezug zum Vereinigten Königreich

Bitte verschaffen Sie sich einen Überblick der relevanten Verarbeitungen personenbezogener Daten mit Bezug zum Vereinigten Königreich.
 

2. Festlegen des konkreten Rechtfertigungsmechanismus:

Anschließend ist der konkrete Rechtfertigungsmechanismus zu definieren. In vielen Fällen ist hier die Verwendung von Standarddatenschutzklauseln empfehlenswert.
 

3. Analyse des Datenschutzniveaus im Drittstaat

Bei der Analyse des Datenschutzniveaus können wir Sie gerne unterstützen. Wir haben bereits Erfahrung gesammelt in der Bewertung des Datenschutzniveaus von Nicht-EU-Staaten. Ein kooperatives Zusammenwirken mit dem Vertragspartner im Vereinigten Königreich ist trotzdem essenziell. Wesentliche Aspekte, die unter anderem im Rahmen der Prüfung des Datenschutzniveaus einzubeziehen sind:

  • Existenz behördlicher Zugriffsbefugnisse
  • Umfang behördlicher Zugriffsbefugnisse
  • Umfang der Datenübermittlung
  • Sensitivität und Kategorien der personenbezogenen Daten im Drittland
  • Bereits vorhandene technische, vertragliche und organisatorische Sicherheitsmaßnahmen
     

4. Falls kein gleichwertiges Datenschutzniveau: Weitere Maßnahmen

Falls kein gleichwertiges Datenschutzniveau festgestellt wird, dann bedarf es weiterer vertraglicher, technischer und/oder organisatorischer Maßnahmen. Hierzu hat der Europäische Datenschutzausschuss kürzlich als Entwurf umfassende Empfehlungen veröffentlicht (Siehe Link).

Ergänzende Maßnahmen können unter anderem darin liegen, zusätzliche Vertragsbedingungen aufzunehmen und darin etwa die Zugriffsrechte des Empfängers im Vereinigten Königreich einzuschränken. Als technische Maßnahme kommt beispielsweise die Implementierung einer Ende-zu-Ende-Verschlüsselung infrage.
 

5. Regelmäßige Evaluierung der Maßnahmen

Die Maßnahmen sind regelmäßig zu evaluieren.
 

6. Dokumentation sämtlicher Schritte

Sämtliche Schritte sind zu dokumentieren.
 

7. Datenschutzerklärungen ergänzen

Sofern nicht schon geschehen, ergänzen Sie bitte Ihre Datenschutzerklärung (sowohl für die Website wie auch für Beschäftigte) um die entsprechenden Hinweise auf Drittländer, konkret also bzgl. Datenverarbeitungen im Vereinigten Königreich.
 

D. Wie können EU-Unternehmen übermäßigen Aufwand vermeiden?

Zum jetzigen Zeitpunkt ist die Rechtslage in vielen Aspekten noch nicht geklärt. Anders als hinsichtlich der USA mit Schrems 2 existiert kein Urteil des EuGH, das vergleichbar detaillierte und kritische Aussagen zum Datenschutzniveau im Vereinigten Königreich trifft. Dieses bedeutet natürlich auch, dass man als EU-Unternehmen mehr Argumentationsspielraum hat. Mit den oben beschriebenen Prüfschritten können mögliche datenschutzrechtliche Risiken deutlich reduziert werden. Allerdings ist auch der entstehende Zeitaufwand nicht zu unterschätzen. Die weiter oben vorgeschlagene Lösung würde sowohl für EU-Unternehmen wie auch für deren interne oder externe Berater einige Ressourcen binden.

Wir möchten Ihnen daher gerne weitere mögliche Lösungsvarianten an die Hand geben, die mit deutlich weniger Aufwand, aber voraussichtlich auch etwas höheren datenschutzrechtlichen Risiken, verbunden sind. Der Ausschluss sämtlicher datenschutzrechtlicher Risiken in Bezug auf den Brexit würde erfordern, sämtliche Datenverarbeitungen mit UK-Bezug zu stoppen. Dies halten wir aber für keinen pragmatischen Ansatz.

 

Alternative 1: Fokus auf Abschluss von Standard­datenschutz­klauseln

Als alternativen pragmatischen Ansatz schlagen wir vor, ohne Beachtung der weiteren Prüfschritte zumindest Standarddatenschutzklauseln mit Ihren Vertragspartnern aus dem Vereinigten Königreich abzuschließen. Diese Variante wäre deutlich zeitsparender. Sollte aber eine Datenschutzaufsichtsbehörde eine Überprüfung durchführen und feststellen, dass für die relevante Datenverarbeitung im Vereinigten Königreich kein angemessenes Datenschutzniveau existiert, sehen wir trotz Abschlusses der Standarddatenschutzklauseln ein Risiko behördlicher Sanktionen. Natürlich ist es durchaus fraglich, ob Behörden in den ersten Monaten nach Ablauf der Übergangsphase tatsächlich eigenständig Ermittlungen einleiten würden.

 

Alternative 2: Warten auf einen Angemessen­heitsbeschluss

Es ist auch möglich, zunächst einmal abzuwarten und darauf zu spekulieren, dass in Kürze ein Angemessenheitsbeschluss erlassen wird. Dieses Vorgehen hätte jedoch nochmals höhere datenschutzrechtliche Risiken zur Folge. Ohne Angemessenheitsbeschluss und Abschluss von Standarddatenschutzklauseln sind die entsprechenden Verarbeitungsvorgänge aufgrund des Fehlens eines Rechtfertigungsmechanismus i. S. v. Art. 44 ff. DSGVO eindeutig als rechtswidrig zu qualifizieren. Sollte eine Behörde davon Kenntnis erlangen, dann hätte dies möglicherweise Sanktionen zur Folge.

 

 

Haben Sie Fragen zu den Irrungen und Wirrungen des Brexit? Wir unterstützen Sie gerne.

 

Die secjur GmbH ist ein modernes und schnell wachsendes Legal-Tech-Unternehmen. An unseren vier Standorten in Regensburg, Düsseldorf, Berlin und Hamburg arbeiten Teams aus Juristen, Betriebswirten und Informatikern an ganzheitlichen Lösungen rund um das Thema Datenschutz und Datensicherheit.

17.12.2020

Top 7 der datenschutz­rechtlichen Brexit To-dos

schließen

Haben Sie Fragen zu diesem Thema?

Bitte füllen Sie dieses Feld aus!
Bitte füllen Sie dieses Feld aus!
Bitte füllen Sie dieses Feld aus!
Bitte füllen Sie dieses Feld aus!
Bitte füllen Sie dieses Feld aus!

* Pflichtfeld

 

Weitere Informationen finden Sie in unserer Datenschutzerklärung.