Ab dem 01 Januar 2021 tritt der datenschutzrechtliche Worst Case des Brexit ein. Falls Sie sich noch nicht vorbereitet haben oder sich versichern möchten alles nötige getan zu haben, empfehlen wir Ihnen den folgenden Beitrag zu lesen.
An dessen Ende erhalten Sie zudem eine Zusammenfassung der notwendigen Prüfungsschritte in einer praktischen Checkliste.
Update 25.12.2020 zum Brexit-Deal: Kurz vor Knapp hat die EU mit Großbritannien einen Vertrag geschlossen, der die Übergangsphase zumindest bis zum 30 April, mit Verlängerungsoption bis zum Juni 2020 verlängert. Damit wird Großbritannien solange zumindest datenschutzrechtlich noch als Teil der EU behandelt. Ob Großbritannien nach dem Ende der Übergangsphase als ein datenschutzrechtlich sicheres Land anerkannt wird oder doch die in diesem Beitrag vorgeschlagenen Standardvertragsklauseln notwendig werden, lässt sich derzeit schwer abschätzen. Allerdings haben die Standardvertragsklauseln den Vorteil, dass Sie dann dem Ende der Übergangsphase entspannter entgegenblicken können und keine Last-Minute-Tipps benötigen werden.
Inhalt des Beitrags:
Ist der Brexit für mich relevant?
Der Brexit wird für Sie dann relevant, wenn Sie personenbezogene Daten nach Großbritannien übermitteln oder dort ansässigen Unternehmen Zugriff auf diese Daten gewähren.
Dies kommt vor allem in folgenden Fällen in Frage:
- Sie verfügen über eine Niederlassung in Großbritannien.
- Sie setzen Dienstleister aus Großbritannien zur Ausführung Ihrer Leistungen ein (z. B., Warenlieferanten).
- Sie nutzen in Großbritannien basierte Cloud/SaaS-Dienste (z. B., Onlinemarketing-Tools).
Betroffen sein können dabei u.a. die folgenden Personengruppen:
- Ihre Kund/innen.
- Nutzer/innen Ihrer Onlinedienste oder Websitebesucher.
- Mitarbeiter/innen oder Bewerber/innen (z. B. beim Einsatz von Onlinebewerbungsdiensten)
In all diesen Fällen drohen Datenschutzverstöße, wenn Großbritannien zu einem datenschutzrechtlich unsicheren Drittland wird. Allerdings kann dies erst nach der Übergangsphase eintreten.
Verarbeitung von personenbezogenen Daten aus Großbritannien in der EU: Zumindest nach derzeitigem Stand, steht die britische Regierung der Verarbeitung der personenbezogenen Daten von britischen Bürgern in der EU positiv gegenüber und will hierfür künftig auf verbindliche Regelungen setzen.
Keine Anerkennung als sicheres Drittland für Daten
Tipp: Dieses Schaubild von Calligo verdeutlicht die möglichen datenschutzrechtlichen Entwicklungen nach dem Brexit (aus der Sicht von britischen Unternehmen).Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) sog. „Drittländer“. Das bedeutet, dass personenbezogene Daten nicht ohne Weiteres in diese Länder transferiert werden dürfen (Art. 44 DSGVO).
Es bestand zwar eine kleine Hoffnung, dass die EU Großbritannien als ein sicheres Drittland akzeptiert (derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Argentinien, Japan, Kanada und Israel ), aber diese Hoffnung hat sich bisher nicht erfüllt.
Pro und Contra angemessenes Datenschutzniveau: In Großbritannien wurde die DSGVO mit dem Data Protection Act 2018 in das nationale Recht übernommen. Damit herrscht zumindest zum Beginn und dem Gesetz nach eine gleiche Rechtslage. Allerdings darf nicht vergessen werden, dass Großbritannien nicht mehr der Kontrolle derepresentative r EU (bzw. des EuGH) unterliegen wird. So ist z.B. anhand der Regelungen nur Vorratsdatenspeicherung oder geheimdienstlicher Berechtigungen zu befürchten, dass Großbritannien für genauso unsicher wie die USA gehalten werden könnte.
Zulässigkeit von Datentransfers an ein Drittland
Ohne einen Angemessenheitsbeschluss ist Großbritannien datenschutzrechtlich von der EU abgeschnitten und muss genauso behandelt werden, wie z.B. Russland oder die USA.
Aber auch in solchen Fällen gibt es Möglichkeiten, die Datentransfers und die Zusammenarbeit mit britischen Unternehmen datenschutzrechtlich sicher zu regeln.
- Abschluss von Standardvertragsklauseln.
- Vertraglich erforderliche Datentransfers.
- Einwilligungen der Betroffenen.
- „Binding-Corporate-Rules“, also interne und genehmigungspflichtige Abreden.
- Ausnahmen nach Art. 49 DSGVO.
Im Folgenden gehe ich auf die wichtigsten Erlaubnisgrundlagen näher ein.
Hinweis zum Verzeichnis von Verarbeitungstätigkeiten: Bitte denken Sie auch daran, in der Aufstellung Ihrer Verarbeitungsprozesse die jeweils einschlägigen Erlaubnisgrundlagen für die Datentransfers in Großbritannien aufzuführen, um Ihren Rechenschaftspflichten zu genügen (Art. 30 DSGVO).
EU-Standardvertragsklauseln als Lösung
Ein fehlender Angemessenheitsbeschluss kann vertraglich aufgefangen werden. Dazu muss zwischen den beteiligten Parteien ein Vertrag auf Basis sog.
„Standard-Contractual-Clauses“ abgeschlossen werden (Art. 46 Abs. 2 lit. c) DSGVO). Diese vorgefertigten Standardvertragsklauseln verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzes.
Neben dem Abschluss der Verträge müssen Sie auch prüfen, ob Ihr Vertragspartner in Großbritannien die Datenschutzvorgaben tatsächlich beachtet. Aus diesem Grund sollten Sie nach einem Datenschutzkonzept fragen. Da die DSGVO erst kürzlich wirksam wurde und Unternehmen zu Anpassungen zwang, stehen die Chancen gut, dass auch Ihr Vertragspartner „GDPR-Ready“ ist.
Im Zweifel können Sie die (mit Blick auf die USA erstellten) Vorschläge des Europäischen Datenschutzausschusses zur Anpassung von Standardvertragsklauseln bei Datentransfers in Drittländer umsetzen (wobei dies von einer fachkundigen Person durchgeführt werden sollte):
- Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data.
- Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.
Hinweise zu Standardvertragsklauseln: Einen Generator für Standardvertragsklauseln finden Sie bei der britischen Datenschutzbehörde. Bitte beachten Sie, dass die Standardvertragsklauseln im Jahr 2021 angepasst werden und deshalb auch bestehende Verträge nach einer einjährigen Übergangsphase angepasst werden müssen.
Erforderliche Datenübermittlung als Lösung
Eine Übermittlung von Daten nach Großbritannien kommt in Frage, wenn Sie z. B. Leistungen anbieten, die in Großbritannien ausgeführt werden Art. 49 Abs. 1 S. 1 lit b) DSGVO. Ferner muss es erforderlich und für die Kunden erkennbar sein, dass zur Leistungsausführung personenbezogene Daten übermittelt werden (z. B. Übermittlung von Namen oder Vorlieben bei Hotelbuchungen, Reisen, etc.)
Einwilligung als Lösung
Letztendlich können Sie Kund/innen oder Nutzer/innen um ihre Einwilligung in die Verarbeitung von Daten in Großbritannien bitten (Art. 49 Abs. 1 S. 1 lit a) DSGVO).
Die Einwilligung darf jedoch nicht „versteckt“, z. B. bloß in einer Datenschutzerklärung stehend, erfolgen. Vielmehr müssten die Betroffenen z. B. vor dem Absenden eines Onlineformulars auf mögliche Risiken des fehlenden Angemessenheitsbeschlusses und die Übermittlung der Daten hingewiesen und ausdrücklich per Checkbox um die Einwilligung gebeten werden (Art. 49 Abs. 1 S. 1 lit a) DSGVO).
Falls Sie derartige Einwilligungen bereits eingeholt haben, müssen Sie die fehlende Belehrung über mögliche Risiken des fehlenden Angemessenheitsbeschlusses nachholen.
Selbstverpflichtungen und sonstige Garantien
Liegen kein Angemessenheitsbeschluss und keine Standardvertragsklauseln vor, kommen vor allem noch Binding Corporate Rules, d. h. unternehmensinterne Selbstverpflichtungen zum Datenschutz, in Frage (Art. 46 Abs. 2 lit b), 47 DSGVO).
Daneben existieren noch weitere, in der Praxis weniger relevante Ausnahmen, die Sie den Art. 46 und 49 DSGVO entnehmen können (wobei die sonstigen Ausnahmen des Art 49 DSGVO nur für beschränkte und nicht regelmäßige Fälle von Datentransfers vorgesehen sind).
Nachdem Sie sichergestellt haben, dass Sie Daten nach Großbritannien übermitteln müssen, kommen noch weitere Prüfungs- und Hinweispflichten auf Sie zu.
Hinweise in der Datenschutzerklärung
Wenn Sie mit britischen Unternehmen zusammenarbeiten oder anderweitig Daten in die Drittländer transferieren, müssen Sie Ihre Kund/innen oder Nutzer/innen in der Datenschutzerklärung darüber informieren (Art. 13 Abs. 1 Satz 1 lit. f) und 14 Abs. 1 Satz 1 lit. f) DSGVO).
Hierzu sollten Sie zunächst generell auf die Rechtsgrundlagen und Garantien hinweisen. Anschließend sollten Sie auch bei den einzelnen Verfahren (z. B. Einsatz von Marketingtools) darauf hinweisen, dass diese in Großbritannien sitzen und welche Gewährleistung vorliegt (z. B. Standardvertragsklauseln).
Beantwortung von Auskünften
Neben der Datenschutzerklärung müssen Sie auch im Fall von individuellen Auskunftsanfragen von sich aus auf die Datenverarbeitung in Großbritannien hinweisen (Art. 15 Abs. 1 lit. c. Abs. 2 DSGVO).
Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung kommt nur in Ausnahmefällen bei risikoreichen Datenverarbeitungen vor (z. B., wenn Gesundheitsdaten im großen Umfang verarbeitet werden, Art. 45 DSGVO).
Im Fall des Brexits müssten Sie vorliegende Datenschutz-Folgenabschätzungen neu evaluieren. Wenn allerdings eine der o. g. Garantien vorliegt, dürfte das Ergebnis nicht anders als zuvor ausfallen.
Bestellung eines Vertreters: Wenn Sie Niederlassungen und Unternehmen in Großbritannien betreiben, die dort personenbezogene Daten verarbeiten, müssen Sie in Großbritannien einen UK-Representative bestellen (sowie gegebenenfalls auch einen Datenschutzbeauftragten bestellen und der britischen Aufsichtsbehörde anmelden).
Was zu unternehmen ist – Checkliste mit 8 Prüfungsschritten
Sie sollten jetzt schon Maßnahmen treffen, um im Fall des fehlenden Angemessenheitsbeschlusses vorbereitet zu sein. Sofern noch nicht geschehen, schlage ich das folgende Vorgehen vor:
- Übersicht Verarbeitungsprozesse: Stellen Sie die Verarbeitungsprozesse zusammen, bei denen Sie personenbezogene Daten (Kund/innen, Nutzer/innen, Mitarbeiter/innen) nach Großbritannien übermitteln oder anderweitig mit britischen Verarbeitern zusammenarbeiten, die Zugriff auf diese Daten erhalten.
- Erlaubnisgrundlagen: Prüfen Sie, ob Sie für diese Verarbeitungsprozesse über entsprechende gesetzliche Erlaubnisse verfügen (z. B. Standardvertragsklauseln, Einwilligung, etc.).
- Informationen einholen: Falls Sie noch über keine Erlaubnisse verfügen, Fragen Sie bei den Unternehmen nach, welche Garantien sie anbieten (vor allem Standardvertragsklauseln + Datenschutzkonzept) und generell, ob und wie sie sich auf einen fehlenden Angemessenheitsbeschluss vorbereitet haben.
- Verarbeitungsprozesse ergänzen: Ergänzen Sie ggf. Ihre Verarbeitungsprozesse um die o.g. gesetzlichen Erlaubnisse.
- Datenschutzerklärung ergänzen: Sofern nicht schon vorhanden, ergänzen Sie Ihre Datenschutzerklärung um die Hinweise auf Drittländer und Datenverarbeitungen in Großbritannien.
- Einwilligungen prüfen: Prüfen Sie, ob bei vorliegenden Einwilligungen Hinweise auf die Verarbeitung von Daten in Großbritannien nachgereicht oder ggf. neue Einwilligungen eingeholt werden müssen.
- Auskunftsverfahren ergänzen: Stellen Sie sicher, dass bei Auskünften mitgeteilt wird, wenn personenbezogene Daten in Großbritannien verarbeitet werden.
- Prüfung von Datenschutz-Folgenabschätzungen: Prüfen Sie, ob Sie vorhandene Datenschutz-Folgenabschätzungen ergänzen oder ggf. neue durchführen müssen.
Fazit und Praxishinweis
Nach dem trotz langer Vorlaufzeit keine politische Einigung erzielt werden konnte, muss auf der alltäglichen Ebene eine Lösung gefunden werden. Wie so häufig besteht sie vor allem darin, viele Vereinbarungen zu treffen. Es ist nicht von der Hand zu weisen, dass die Vorzüge eines datenschutzrechtlichen Formalismus kritisiert werden.
Allerdings ist der Brexit in bester Gesellschaft. Denn nach Ende des Privacy Shield, ist die Rechtslage beim Einsatz von US-Dienstleistern nicht einfacher.
Tipp für mehr Rechtssicherheit
Rechtssichere DSGVO-Datenschutzerklärung: vom Anwalt mit Siegel über 500 aktuelle Module kein Abo Dokument ohne zeitliches Limit nutzbar Download als Word/Office & PDF Speichern & Laden von Eingaben