Die Abstimmung im britischen Unterhaus am 27.03.2019 hat weiterhin keine Klarheit darüber gebracht, ob und wenn ja, wie der Brexit am 12.04.2019 oder ggf. zu einem späteren Zeitpunkt erfolgt.
Ein „harter“ Brexit, d.h. ohne entsprechendes Austrittsabkommen mit der EU, würde das Vereinigte Königreich (UK) daher automatisch zu einem Drittstaat i.S.v. § 1 Abs. 6 BDSG, Art. 44 ff. DSGVO machen. Einen Angemessenheitsbeschluss der EU-Kommission, dass UK ein Drittstaat mit einem angemessenen Datenschutzniveau sei, gibt es jedoch derzeit nicht.
Unternehmen, welche Auftragsverarbeiter in UK beauftragen, personenbezogene Daten mit dort ansässigen Konzerngesellschaften austauschen oder an sonstige Stellen übermitteln, sollten daher Vorkehrungen für den Fall eines ungeregelten Austritts treffen: Denn sie müssen dann zusätzlich die Art. 44 ff DSGVO beachten und die Datenübermittlungen in Drittstaaten absichern.
Einige Aufsichtsbehörden (z.B. Bayern und Sachsen-Anhalt), der Europäische Datenschutzausschuss sowie die Datenschutzkonferenz (DSK, ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) haben hierzu Mitteilungen herausgegeben, welche Instrumente hierfür zur Verfügung stehen:
- Insbesondere wird der Abschluss von EU-Standardvertragsklauseln mit dem britischen Datenimporteur empfohlen (Art. 46 Abs. 2 lit. c), d) DSGVO). Welche Standardvertragsklauseln abzuschließen sind, bestimmt sich danach, ob der britische Datenimporteur Verantwortlicher oder Auftragsverarbeiter ist.
- Unternehmen können sich auch auf die Ausnahmeregelungen in Art. 49 Abs. 1 a), b), c), e) DSGVO stützen, bspw. die Einwilligung der betroffenen Personen einholen; dies setzt jedoch voraus, dass solche Datenübermittlungen nur gelegentlich und nicht regelmäßig erfolgen.
Verbindliche, unternehmensinterne Datenschutzvorschriften („BCRs“) oder Verhaltenskodizes & Zertifizierungsmechanismen sind keine sehr praktikablen Instrumente, angesichts der Kürze der Zeit.
Sollte es zu einem "harten" Brexit kommen, gilt es daher Einiges in Sachen Datenschutz zu beachten.
Wir halten Sie auf dem Laufenden.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Einleitung
Wer international agiert, muss beim Transfer der Daten besondere Vorkehrungen gem. Art. 44 ff. DSGVO beachten. Die Kommission unterstützt die Unternehmen hierbei: Bestimmte Länder dürfen sich mit einem sog. Angemessenheitsbeschluss schmücken, d.h. der Transfer in diese Länder wird ebenso behandelt, wie wenn die Daten innerhalb der Union ausgetauscht werden.
Aus aktuellem Anlass wollen wir auf drei Länder besonders verweisen.
Japan
Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss erlassen, wonach Japan ein angemessenes Datenschutzniveau bescheinigt wird. Aufgrund eines neuen Abkommens wurden in Japan zusätzliche Garantien eingeführt, die nun gewährleisten, dass sämtliche personenbezogene Daten einem Schutz unterliegen, der den europäischen Standards entspricht. Ein Datentransfer nach Japan ist nunmehr ohne weitere zusätzliche vertragliche Absicherung hinsichtlich der Datenübermittlung in Drittstaaten möglich.
Groß-Britannien
Ganz anders sieht es mit Groß-Britannien und dem bevorstehenden Brexit aus. Ein No-Deal-Brexit würde auch für den Datenschutz einen „no-Deal“ bedeuten, mit der Konsequenz, dass der Datentransfer ins Königreich nicht mehr ohne zusätzliche Absicherung möglich wäre. Da nicht damit zu rechnen ist, dass die Kommission im Falle eines No-Deal-Brexits umgehend einen entsprechenden Angemessenheitsbeschluss erlässt, sollten sich die Unternehmen vorsorglich darauf einstellen, mit ihren Vertragspartnern sicherheitshalber einen Vertrag aufgrund der Standardvertragsklauseln abzuschließen. Ansonsten wäre eine Datenübermittlung nach Groß-Britannien unrechtmäßig.
Schweiz
Unklar ist derzeit noch, wie es hinsichtlich des Schweizer Datenschutzrechts aussieht. Zwar existiert (noch) ein Angemessenheitsbeschluss der Kommission. Allerdings bleiben die Schweizer Regelungen in vielen Fällen noch hinter den Regelungen der EU zurück. Die entsprechend geplante Änderung des DSG (Datenschutzgesetz Schweiz) lassen derweil jedoch noch auf sich warten. Wenn die Schweizer Gesetzgebung sich nicht beeilt, droht der Widerruf des Angemessenheitsbeschlusses der Kommission mit der Folge, dass auch hinsichtlich des Datentransfers mit Schweizer Unternehmen die Standard-Vertragsklauseln abzuschließen wären, um einen rechtswidrigen Datentransfer zu vermeiden.
Wir halten Sie auf dem Laufenden.
Céline Lürmann
Rechtsanwältin
Consultant für Datenschutz
Der Austritt von Großbritannien ist beschlossen. Neben zahlreichen Unklarheiten, blieb ebenso fraglich, in welcher Form das Land mit dem Datenschutz umgehen wird. Bis zum endgültigen Austritt besteht zwar auch für Großbritannien die Umsetzungspflicht der Datenschutzgrundverordnung (DSGVO), nicht aber danach.
In einer offiziellen Absichtserklärung vom 7. August dieses Jahres hat die Regierung des Landes erklärt, dass es die Bestimmungen der DSGVO in nationales Recht umsetzen will. Dabei erklärte die Regierung, dass mit der Reform des Datenschutzrechts der einzelnen Person mehr Kontrolle über seine Daten gegeben werden soll. Auch sollen die Bußgelder in gleicher Weise bemessen werden, wie es die DSGVO vorsieht, also in den schwerwiegendsten Fällen einer Datenschutzverletzung bis zu 20 Millionen Euro (oder hier bis zu 17 Millionen Pfund) oder bis zu 4% vom gesamten Jahresumsatz.
Weitere grundlegende Ziele und Pflichten aus der DSGVO sollen ebenfalls in britisches Recht umgesetzt werden (z.B. das Recht auf Vergessenwerden).
Oberster Zweck der Reform wird es wohl sein, dass sich Großbritannien als Drittland mit angemessenem Datenschutzniveau etablieren kann. um auch nach dem Brexit einen ungehinderten Fluss der personenbezogenen Daten zwischen dem Land und den EU-Staaten garantieren zu können.
Bisher konnte die Regierung noch keinen konkreten Gesetzesentwurf vorlegen, allerdings gibt es bereits Pläne, welche Reformen sich vollziehen sollen. Die Regierung hat hierzu ein PDF-Dokument veröffentlicht.
Ob und in welcher Form die Regierung garantieren kann, dass auch noch nach dem Austritt des Landes die neuen Regelungen in Kraft bleiben, ist abzuwarten.
Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz