Brexit: Konsequenzen für den Datenschutz

Brexit

Das Vereinigte Königreich hat die Europäische Union am 31. Januar 2020 verlassen und ist seitdem nicht mehr Mitglied der EU. Das Vereinigte Königreich akzeptierte das EU-Rückzugsabkommen, das eine Übergangsfrist bis Ende 2020 vorsieht, so dass das Vereinigte Königreich bis dahin noch am Binnenmarkt und der Zollunion teilhaben kann.

Im „Extremfall“ kann es zu einem „harten Brexit“ kommen, was Auswirkungen auf den grenzüberschreitenden Datenverkehr und somit auf den Datenschutz hat: Nach dem Ende der Übergangsphase gilt die DSGVO nicht mehr unmittelbar innerhalb des Vereinigten Königreichs (UK; hierzu gehören England, Wales, Schottland, Nordirland, Kanalinseln). Die DSGVO wird jedoch weiterhin Auswirkungen auf den Datenverkehr zwischen UK und der EU haben.

Von der veränderten Lage sind Unternehmen u. a. in folgenden Situationen betroffen:

Unternehmen mit Sitz in der EU

A1. Auftragsverarbeitung / Dienstleistung (Controller to Processor / C2P)

  • Nutzung von Shared Services (wie IT- oder Personal-Services) bei einer Mutter- oder Tochtergesellschaft mit Sitz in UK
  • Externe Dienstleister mit Sitz in UK 
  • Sub-Dienstleister eines Dienstleisters mit Sitz in UK

A2. Datenübermittlung an eine andere Konzerngesellschaft (Controller to Controller / C2C)

  • bitte beachten Sie: Es existiert kein Konzernprivileg.
  • Beispiel: Unternehmensübergreifende Organisationsstrukturen (Matrix-Organisation, Divisionsstrukturen mit unterschiedlichen fachlichen und disziplinarischen Vorgesetzten und Berichts-/Reporting-Wegen in verschiedenen Konzern-Gesellschaften)

A3. Datenübermittlung an eine andere Gesellschaft (Controller to Controller / C2C)

  • Beispiel: Im Rahmen von Versicherungsleistungen werden personenbezogene Daten an ein Unternehmen in UK übermittelt.

Unternehmen mit Sitz in UK

B1. Personenbezogene Datenverarbeitung von in der EU befindlichen Betroffenen

B2. Auftragsverarbeitung für Auftraggeber innerhalb der EU

Um den Übergang bzw. Austritt möglichst fließend zu gestalten und den grenzüberschreitenden Datenfluss von und zu britischen Unternehmen innerhalb Europas sowie um den Handel nicht über Gebühr zu beeinträchtigen, wurde in UK der Data Protection Act 2018 beschlossen.

Das Vereinigte Königreich hat ein Rückzugsabkommen mit der EU abgeschlossen. Dieses enthält u. a. Übergangsregeln zum Datenschutz. Näheres können Sie der Anlage (Punkt 8.1; „Entwurf des Austrittsabkommens zwischen der EU und UK “) entnehmen. Während dieser Übergangsphase verhandeln die EU und das Vereinigte Königreich weiter über die Modalitäten nach Ablauf der Übergangsfrist. Im Falle eines hartes Brexits ist Folgendes zu bedenken:

Besonderheiten des „Drittland-Transfers“

Das Vereinigte Königreich wurde mit dem Austritt zum sog. Drittland (Land außerhalb der EU/EWR). Dies bedeutet für Unternehmen, die Daten nach UK übermitteln oder mit dort ansässigen Dienstleistern zusammenarbeiten (Auftragsverarbeitung), dass neben der Rechtmäßigkeit der Übermittlung bzw. Ordnungsmäßigkeit der Auftragserteilung zusätzlich Folgendes zu prüfen ist:

In dem Drittland muss ein angemessenes Datenschutzniveau bestehen. Zu den Ländern, die als sichere Drittländer seitens der EU-Kommission anerkannt wurden, zählen u. a. die Isle of Man, Guernsey und Jersey, die zu UK gehören. Obschon UK eine Anerkennung anstrebt und im Zuge der Brexit-Vorbereitungen bereits den Data Protection Act 2018 erlassen hat, so ist dennoch damit zu rechnen, dass UK bis zum 31. Dezember 2020 noch nicht als sicheres Drittland anerkannt wird (falls dies überhaupt geschieht). Näheres kann der Anlage (Punkt 8.2: „Verhandlungen über den Angemessenheitsbeschluss “) entnommen werden; aktuell liegt kein Anerkennungsbeschluss vor.

Möglichkeiten zur Gewährleistung eines angemessenen Datenschutzniveaus

Bis zur Anerkennung eines angemessenen Datenschutzniveaus in UK muss die Einhaltung eines angemessenen Datenschutzniveaus beim Datenexport auf andere Weise sichergestellt werden. Andernfalls müssten zum Stichtag (31. Dezember 2020) alle Datentransfers nach UK beendet werden.
Ein angemessenes Datenschutzniveau kann durch folgende geeignete Garantien, die in Art. 46 DSGVO genannt sind, gewährleistet werden:

  • Standarddatenschutzklauseln der EU-Kommission [EU-Standardvertragsklauseln / Standard Contractual Clauses / SCC] (Art. 46 Abs. 2 lit. c, 93 Abs. 2 DSGVO)
  • Standarddatenschutzklauseln der Aufsichtsbehörden (Art. 46 Abs. 2 lit. d, 93 Abs. 2 DSGVO)
  • Verbindliche interne Datenschutzvorschriften [Binding Corporate Rules / BCR] (Art. 46 Abs. 2 lit. b, Art. 47 DSGVO)

Ebenfalls möglich, aktuell aber weniger geläufig:

  • Genehmigte Verhaltensregeln zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland (Art. 46 Abs. 2 lit. e, 40 DSGVO)
  • Abschluss eines genehmigten Zertifizierungsmechanismus zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland (Art. 46 Abs. 2 lit. f, 42 DSGVO)
  • Rechtlich bindende und durchsetzbare Dokumente zwischen öffentlichen Stellen (Art. 46 Abs. 2 lit. a DSGVO)

"Harter Brexit": Notwendige Schritte im Falle von "no deal"

Folgende Aktivitäten sollten Sie – sofern noch nicht geschehen – Ihrerseits zeitnah umsetzen und uns idealerweise eine Rückmeldung geben:

  1. Identifizieren Sie alle Datenflüsse von und nach Großbritannien, inklusive alle ihrer Softwareanbieter (z. B. den Anbieter Ihres Konferenzsystems, Dienstleister für HR, Marketingtools).
  2. Stellen Sie fest, ob es sich dabei um personenbezogene Daten handelt.
  3. Schließen Sie bitte Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO oder, wo angebracht, eine Vereinbarung zur gemeinsamen Verantwortung gemäß Art. 26 DSGVO ab (Muster-Verträge finden Sie im Online-Formular-Center)
  4. Schließen Sie zusätzlich die EU-Standardvertragsklauseln (SCC) ab.