BREXIT: Datenschutzrechtliche Auswirkungen auf Unternehmen
Brexit: Datenschutzrechtliche Auswirkungen auf Unternehmen
Der BREXIT trifft über Jahrzehnte gewachsenen Geschäftsbeziehungen zwischen Kontinentaleuropa und Großbritannien wie ein Faustschlag. Den datenschutzrechtlichen Auswirkungen widmet sich dieser Artikel.
Hard Facts
Das Abkommen über den Austritt Großbritanniens aus der EU regelt einen Übergangszeitraum, der am 31.12.2020 endet. Gemäß diesem Abkommen gilt das europäische Datenschutzrecht bis zum Ende des Übergangszeitraums im Verhältnis zu Großbritannien fort. Großbritannien wird also datenschutzrechtlich bis dahin wie ein EU-Staat behandelt.
Ab dem 01.01.2021 ist dann Großbritannien auch datenschutzrechtlich NICHT mehr wie ein Mitgliedstaat der Europäischen Union zu behandeln. Es wird dann darauf ankommen, ob Großbritannien bis dahin durch Beschluss der Europäischen Kommission als sicheres Drittland anerkannt wurde (sog. Angemessenheitsbeschluss) oder eben auch gerade nicht.
Bis heute kann nicht abgeschätzt werden, ob es einen Angemessenheitsbeschluss der EU-Kommission geben wird. Europäische Unternehmen werden sich daher auf den „Worst Case“ einstellen müssen: Ein Angemessenheitsbeschluss der Europäischen Kommission liegt bis 31.12.2020 nicht vor, Großbritannien wird datenschutzrechtlich von der EU abgeschnitten und ist wie ein beliebiges Drittland zu behandeln, beispielsweise wie Russland oder Ecuador.
Anders das Best Case-Szenario: Großbritannien wird bis 31.12.2020 durch Beschluss der Europäischen Kommission als sicheres Drittland anerkannt. Solch ein Beschluss liegt bisher lediglich für 12 Nicht-EU-Staaten dieser Welt vor. Die Beschlussfassung hat sich dabei zum Teil über Jahre hinweggezogen. Ob die Europäische Kommission bereits an einem Angemessenheitsbeschluss für Großbritannien arbeitet, ist per heute nicht bekannt. Die Wahrscheinlichkeit, dass ein solcher Beschluss bis 31.12.2020 vorliegt, ist eher niedrig.
Best Case: Datenexport nach Großbritannien MIT Angemessenheitsbeschluss
Bei Vorliegen eines Angemessenheitsbeschluss (Best Case) ändert sich für deutsche Unternehmen kaum etwas:
- Anpassung des Verzeichnisses der Verarbeitungstätigkeiten um die datenexportierende Eigenschaft der Verarbeitung und den Export in ein Drittland
- Hinweise auf den Datentransfer in ein Drittland sind in der Datenschutzerklärung zu ergänzen
- Formulare zur Erfüllung von Auskunftsansprüchen um den Datentransfer in ein Drittland ergänzen
Worst Case: Datenexport nach Großbritannien als Drittland OHNE Angemessenheitsbeschluss
Auch ohne einen Angemessenheitsbeschluss der Europäischen Kommission ist ein Datentransfer nach Großbritannien möglich. Die rechtlichen Anforderungen sind jedoch deutlich komplexer.
Infrage kommen im Wesentlichen folgende Lösungsmöglichkeiten:
- Einbindung von EU-Standarddatenschutzklauseln (Standard Contractual Clauses – SCC) in das Vertragsverhältnis gem. Art. 46 Abs. 2 lit c) DS-GVO,
- Beschränkung auf vertraglich erforderliche Datentransfers gem. Art. 49 Abs. 1 lit. b) DS-GVO
- Einwilligung der Betroffenen gem. Art. 49 Abs. 1 lit. a) DS-GVO
- Abschluss von verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules – BCR) gem. Art. 46 Abs. 2 lit. b) DS-GVO
EU-Standarddatenschutzklauseln (SCC) als Lösung
Daten können auch bei fehlendem Angemessenheitsbeschluss nach Großbritannien transferiert werden, wenn das in der EU ansässige Unternehmen mit seinem britischen Vertragspartner die von der Kommission erlassenen EU-Standarddatenschutzklauseln verwendet. Damit wird dann der britische Vertragspartner zur Einhaltung des europäischen Datenschutzstandards vertraglich verpflichtet.
Nach Abschluss eines Vertrags, der die EU-Standarddatenschutzklauseln beinhaltet, muss das europäische Unternehmen prüfen, ob der britische Vertragspartner die vertraglichen Datenschutzvorgaben auch wirklich einhält. Dabei kommt insbesondere in Betracht, sich das Datenschutzkonzept des britischen Vertragspartners übergeben und natürlich prüfen zu lassen.
Die EU-Standarddatenschutzklauseln können auch für Datentransfers innerhalb eines Unternehmens und somit beispielsweise zwischen einer Zweigstelle innerhalb der EU und einer Zweigstelle in Großbritannien verwendet werden.
Der Nachteil von EU-Standarddatenschutzklauseln für bestehende Vertragsverhältnisse liegt darin, dass diese bestehenden Vertragstexte angepasst und dazu gegebenenfalls neu verhandelt werden müssen.
Die Beschränkung auf vertraglich erforderliche Datentransfers als Lösung
Ein Transfer von Daten nach Großbritannien ist zulässig, wenn das EU-Unternehmen Leistungen anbietet, die in Großbritannien ausgeführt werden; bedeutender Anwendungsfall ist die gesamte Reisebranche.
Voraussetzung für die Erlaubnis, Daten nach Großbritannien zu transferieren, ist zum einen die Erforderlichkeit für die Erfüllung der Vertragspflichten sowie zum anderen die Erkennbarkeit für den Kunden, dass zur Leistungsausführung personenbezogene Daten nach Großbritannien übermittelt werden.
Einwilligung der Betroffenen als Lösung
Ein Datentransfer nach Großbritannien ist zulässig, wenn die betroffene Person ausdrücklich in den Datentransfer eingewilligt hat, nachdem sie über die bestehenden Risiken unterrichtet wurde.
Genauso wie die Einwilligung für die grundsätzliche Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DS-GVO ist auch die Einwilligung in den Datentransfer in ein Drittland regelmäßig die am wenigsten sichere Lösung für den Verantwortlichen: Eine erteilte Einwilligung kann jederzeit und grundlos widerrufen werden, woraufhin dann das EU-Unternehmen für die Löschung der Daten des Betroffenen bei seinem britischen Vertragspartner verantwortlich ist.
Verbindliche interne Datenschutzvorschriften (BCR) als Lösung
Der Abschluss von verbindlichen internen Datenschutzvorschriften wird am ehesten für größere Mittelständler und Industriekonzerne infrage kommen, die ein Interesse daran haben, personenbezogene Daten (z.B. Personal-, Kunden- oder Lieferantendaten) gruppenweit und unabhängig vom Standort innerhalb und außerhalb der EU verfügbar zu machen. Von großer Relevanz in der Praxis ist beispielsweise die Weitergabe von Beschäftigtendaten im Rahmen zentraler Personalverwaltung oder von Kundendaten zum Zwecke der Einführung einer globalen Kundendatenbank.
Verbindliche interne Datenschutzvorschriften müssen von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden und eine Reihe gesetzlich vorgeschriebener Inhalte haben, Art. 47 DS-GVO.
Es gibt derzeit EU-weit etwa 200 Unternehmen, die verbindliche interne Datenschutzvorschriften genehmigt erhalten haben und verwenden.
Fazit
EU-Unternehmen, die grenzüberschreitende Geschäfte mit Großbritannien tätigen, werden sich detailliert mit dem Thema Datenschutz beschäftigen müssen; beispielsweise falls eine der folgenden Voraussetzungen erfüllt ist:
- Neben EU-Standorten bestehen Standorte in Großbritannien (Verwaltung, Produktion oder auch Tochtergesellschaften) oder ein Kooperationspartner hat einen Standort in Großbritannien.
- Reihengeschäfte erfolgen durch Versand eines britischen Zwischenhändlers an den EU-Endkunden.
- Einsatz von britischen Marketingdienstleistern oder Cloud-Anbietern
- Britische Dienstleister greifen remote auf Livedaten europäischer Server zu, insbesondere zur Softwareherstellung oder -pflege.
- Alle weiteren Konstellationen, bei denen personenbezogene Daten nach Großbritannien exportiert werden oder aus Großbritannien auf Datenbanken in der EU zugegriffen werden kann.
Autor: Alexander Starke
Der Autor ist Fachanwalt für Bank- und Kapitalmarktrecht, TÜV-zertifizierter Datenschutzbeauftragter (DSB-TÜV) und Datenschutzauditor (DSA-TÜV). Er ist externer Datenschutzbeauftragter mehrerer Kliniken, Systemhäuser und mittelständischer Betriebe verschiedener Branchen. Bei Fragen erreichen Sie RA Alexander Starke unter alexander.starke@starke-recht.de und +49 9133 606 55 11 oder einfach unter www.starke-recht.de
