In 8 Schritten zum DSGVO-sicheren Brexit – Praxishinweise und Checkliste

Am 31. Januar 2020 tritt Großbritannien um 24 Uhr  aus der EU aus und es beginnt eine Übergangsphase, die am 31. Dezember 2020 endet.

Was Sie in und vor allem nach der Übergangsphase beachten und wie Sie sich auf den datenschutzrechtlichen Worst Case des Brexit vorbereiten müssen, erfahren Sie in diesem Beitrag.

An dessen Ende erhalten Sie zudem eine Zusammenfassung der notwendigen Prüfungsschritte in einer Checkliste mit 8 Prüfungsschritten.

Ist der Brexit für mich relevant?

Der Brexit wird für Sie dann relevant, wenn Sie personenbezogene Daten nach Großbritannien übermitteln oder dort ansässigen Unternehmen Zugriff auf diese Daten gewähren.

Dies kommt vor allem in folgenden Fällen in Frage:

  • Sie verfügen über eine Niederlassung in Großbritannien.
  • Sie setzen Dienstleister aus Großbritannien zur Ausführung Ihrer Leistungen ein (z. B., Warenlieferanten).
  • Sie nutzen in Großbritannien basierte Cloud/SaaS-Dienste (z. B., Onlinemarketing-Tools).

Betroffen sein können dabei u.a. die folgenden Personengruppen sein:

  • Ihre Kund/innen.
  • Nutzer/innen Ihrer Onlinedienste oder Websitebesucher.
  • Mitarbeiter/innen oder Bewerber/innen (z. B. beim Einsatz von Onlinebewerbungsdiensten)

In all diesen Fällen drohen Datenschutzverstöße, wenn Großbritannien zu einem datenschutzrechtlich unsicheren Drittland wird. Allerdings kann dies erst nach der Übergangsphase eintreten.

Übergangsphase bis 31. Dezember 2020

Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) sog. „Drittländer“. Das bedeutet, dass personenbezogene Daten nicht ohne Weiteres in diese Länder transferiert werden dürfen (Art. 44 DSGVO).

Allerdings können wir derzeit von einem geregelten Brexit ausgehen, zumindest, was die Zeit bis Ende Dezember 2020 angeht.

Das bedeutet, Großbritannien wird zwar mit dem Brexit zum Drittland, aber bis dahin ändert sich datenschutzrechtlich in der Praxis erstmal nichts. Großbritannien hat sich verpflichtet neben einer eigenen UK-DSGVO, die EU-DSGVO zu beachten und wird auf Grundlage einer vertraglichen Vereinbarung insoweit wie ein EU-Land behandelt (Art. 46 Abs. 2 lit. a. DSGVO).

Danach bleibt die Rechtslage jedoch ungewiss.

Erste Option ab 2021: Großbritannien wird als ein sicheres Drittland anerkannt

Sobald die Übergangsphase endet, könnte die EU-Kommission Großbritannien zu einem datenschutzrechtlich sicheren Drittland erklären.

Derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Faröer Inseln, Guernsey, Japan, Kanada und Israel (z.T.) sowie die USA, wenn ein dortiges Unternehmen das sog. Privacy-Shield-Zertifikat erhalten hat.

Allerdings müsste der Angemessenheitsbeschluss mit Blick auf zurückliegende Verfahren im Rekordtempo erfolgen. Ansonsten müssen Sie sich um das Datenschutzniveau selbst kümmern.

Zweite Option ab 2021: Großbritannien wird zu einem unsicheren Drittland

Tipp: Dieses Schaubild von Calligo verdeutlicht die möglichen datenschutzrechtlichen Entwicklungen nach dem Brexit (aus der Sicht von britischen Unternehmen).
Tipp: Dieses Schaubild von Calligo verdeutlicht die möglichen datenschutzrechtlichen Entwicklungen nach dem Brexit (aus der Sicht von britischen Unternehmen).

Ohne einen Angemessenheitsbeschluss wird Großbritannien datenschutzrechtlich von der EU abgeschnitten und muss genauso behandelt werden, wie z.B. Russland oder Equador.

Aber auch in solchen Fällen gibt es Möglichkeiten, die Datentransfers und die Zusammenarbeit mit britischen Unternehmen datenschutzrechtlich sicher zu regeln.

  • Abschluss von Standardschutzklauseln
  • Vertraglich erforderliche Datentransfers
  • Einwilligungen der Betroffenen
  • Sonstige Garantien, wie z. B. „Binding-Corporate-Rules“

Im Folgenden gehe ich auf diese Erlaubnisgrundlagen näher ein.

Hinweis zum Verzeichnis von Verarbeitungstätigkeiten: Bitte denken Sie auch daran, in der Aufstellung Ihrer Verarbeitungsprozesse die jeweils einschlägigen Erlaubnisgrundlagen für die Datentransfers in Großbritannien aufzuführen, um Ihren Rechenschaftspflichten zu genügen (Art. 30 DSGVO).

EU-Standard-Vertragsklauseln als Lösung

Ein fehlender Angemessenheitsbeschluss kann vertraglich aufgefangen werden. Dazu muss zwischen den beteiligten Parteien ein Vertrag auf Basis sog.
„EU Model Contract Clauses“ abgeschlossen werden (Art. 46 Abs. 2 lit. c) DSGVO). Diese vorgefertigten Standardschutzklauseln verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzes.

Neben dem Abschluss der Verträge müssen Sie auch prüfen, ob Ihr Vertragspartner in Großbritannien die Datenschutzvorgaben tatsächlich beachtet. Aus diesem Grund sollten Sie nach einem Datenschutzkonzept fragen. Da die DSGVO erst kürzlich wirksam wurde und Unternehmen zu Anpassungen zwang, stehen die Chancen gut, dass auch Ihr Vertragspartner „GDPR-Ready“ ist.

Hinweis zu internen Datentransfers: Die EU-Standard-Vertragsklauseln sind grundsätzlich auf Verträge zwischen zwei selbständigen Unternehmen ausgerichtet, können jedoch auch für interne Datentransfers, z. B. zwischen Zweigstellen, verwendet werden.

Erforderliche Datenübermittlung als Lösung

Eine Übermittlung von Daten nach Großbritannien kommt in Frage, wenn Sie z. B. Leistungen anbieten, die in Großbritannien ausgeführt werden Art. 49 Abs. 1 S. 1 lit b) DSGVO. Ferner muss es erforderlich und für die Kunden erkennbar sein, dass zur Leistungsausführung personenbezogene Daten übermittelt werden (z. B. Übermittlung von Namen oder Vorlieben bei Hotelbuchungen, Reisen, etc.)

Einwilligung als Lösung

Letztendlich können Sie Kund/innen oder Nutzer/innen um ihre Einwilligung in die Verarbeitung von Daten in Großbritannien bitten (Art. 49 Abs. 1 S. 1 lit a) DSGVO).

Die Einwilligung darf jedoch nicht „versteckt“, z. B. bloß in einer Datenschutzerklärung stehend, erfolgen. Vielmehr müssten die Betroffenen z. B. vor dem Absenden eines Onlineformulars auf mögliche Risiken des fehlenden Angemessenheitsbeschlusses und die Übermittlung der Daten hingewiesen und ausdrücklich per Checkbox um die Einwilligung gebeten werden (Art. 49 Abs. 1 S. 1 lit a) DSGVO).

Falls Sie derartige Einwilligungen bereits eingeholt haben, müssen Sie die fehlende Belehrung über mögliche Risiken des fehlenden Angemessenheitsbeschlusses nachholen.

Selbstverpflichtungen und sonstige Garantien

Liegen kein Angemessenheitsbeschluss und keine Standardschutzklauseln vor, kommen vor allem noch Binding Corporate Rules, d. h. unternehmensinterne Selbstverpflichtungen zum Datenschutz, in Frage (Art. 46 Abs. 2 lit b), 47 DSGVO).

Daneben existieren noch weitere, in der Praxis weniger relevante Ausnahmen, die Sie den Art. 46 und 49 DSGVO entnehmen können.

Nachdem Sie sichergestellt haben, dass Sie Daten nach Großbritannien übermitteln müssen, kommen noch weitere Prüfungs- und Hinweispflichten auf Sie zu.

Hinweise in der Datenschutzerklärung

In unserem Generator für Datenschutzerklärungen ist automatisch ein Passus mit Informationen zu Datentransfers in Drittländer enthalten.
In unserem Generator für Datenschutzerklärungen ist automatisch ein Passus mit Informationen zu Datentransfers in Drittländer enthalten.

Wenn Sie mit britischen Unternehmen zusammenarbeiten oder anderweitig Daten in die Drittländer transferieren, müssen Sie Ihre Kund/innen oder Nutzer/innen in der Datenschutzerklärung darüber informieren (Art. 13 Abs. 1 Satz 1 lit. f) und 14 Abs. 1 Satz 1 lit. f) DSGVO).

Hierzu sollten Sie zunächst generell auf die Rechtsgrundlagen und Garantien hinweisen. Anschließend sollten Sie auch bei den einzelnen Verfahren (z. B. Einsatz von Marketingtools) darauf hinweisen, dass diese in Großbritannien sitzen und welche Gewährleistung vorliegt (z. B. Standardschutzklauseln).

Beantwortung von Auskünften

Neben der Datenschutzerklärung müssen Sie auch im Fall von individuellen Auskunftsanfragen von sich aus auf die Datenverarbeitung in Großbritannien hinweisen (Art. 15 Abs. 1 lit. c. Abs. 2 DSGVO).

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung kommt nur in Ausnahmefällen bei risikoreichen Datenverarbeitungen vor (z. B., wenn Gesundheitsdaten im großen Umfang verarbeitet werden, Art. 45 DSGVO).

Im Fall des Brexits müssten Sie vorliegende Datenschutz-Folgenabschätzungen neu evaluieren. Wenn allerdings eine der o. g. Garantien vorliegt, dürfte das Ergebnis nicht anders als zuvor ausfallen.

Was zu unternehmen ist – Checkliste mit 8 Prüfungsschritten

Sie sollten jetzt schon Maßnahmen treffen, um im Fall des fehlenden Angemessenheitsbeschlusses vorbereitet zu sein. Sofern noch nicht geschehen, schlage ich das folgende Vorgehen vor:

  1. Übersicht Verarbeitungsprozesse: Stellen Sie die Verarbeitungsprozesse zusammen, bei denen Sie personenbezogene Daten (Kund/innen, Nutzer/innen, Mitarbeiter/innen) nach Großbritannien übermitteln oder anderweitig mit britischen Verarbeitern zusammenarbeiten, die Zugriff auf diese Daten erhalten.
  2. Erlaubnisgrundlagen: Prüfen Sie, ob Sie für diese Verarbeitungsprozesse über entsprechende gesetzliche Erlaubnissee verfügen (z. B. Standardschutzklauseln, Einwilligung, etc.).
  3. Informationen einholen: Falls Sie noch über keine Erlaubnisse verfügen, Fragen Sie bei den Unternehmen nach, welche Garantien sie anbieten (vor allem Standardschutzklauseln + Datenschutzkonzept) und generell, ob und wie sie sich auf einen fehlenden Angemessenheitsbeschluss vorbereitet haben.
  4. Verarbeitungsprozesse ergänzen: Ergänzen Sie ggf. Ihre Verarbeitungsprozesse um die o.g. gesetzlichen Erlaubnisse.
  5. Datenschutzerklärung ergänzen: Sofern nicht schon vorhanden, ergänzen Sie Ihre Datenschutzerklärung um die Hinweise auf Drittländer und Datenverarbeitungen in Großbritannien.
  6. Einwilligungen prüfen: Prüfen Sie, ob bei vorliegenden Einwilligungen Hinweise auf die Verarbeitung von Daten in Großbritannien nachgereicht oder ggf. neue Einwilligungen eingeholt werden müssen.
  7. Auskunftsverfahren ergänzen: Stellen Sie sicher, dass bei Auskünften mitgeteilt wird, wenn personenbezogene Daten in Großbritannien verarbeitet werden.
  8. Prüfung von Datenschutz-Folgenabschätzungen: Prüfen Sie, ob Sie vorhandene Datenschutz-Folgenabschätzungen ergänzen oder ggf. neue durchführen müssen.

Fazit und Praxishinweis

Die Übergangsphase nach dem Brexit beträgt 11 Monate. Sie sollten darauf vorbereit sein, dass Großbritannien danach ein datenschutzrechtlich unsicheres Drittland wird.

Auch, wenn 11 Monate zunächst als eine lange Zeit erscheinen mögen. Aus Erfahrung in der Begleitung von Brexit-Vorbereitungen weiß ich, dass die oben dargestellten Prüfungsschritte und die benötigten Auskünfte sich über Monate ziehen können.

Das birgt natürlich die Gefahr, dass Teile der Arbeit umsonst sein werden, falls es doch einen Angemessenheitsbeschluss geben wird. Das ist jedoch als Option allemal besser, als zum Stichpunkt entweder Datentransfers einzustellen, Dienstleister zu kündigen oder alternativ bußgeldträchtige Datenschutzverstöße begehen zu müssen.

Linktipps

 

Tipp für mehr Rechtssicherheit

Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung: mit aktuellen 500 Modulen, u.a. mit Angaben zu Drittländern, Google, Facebook, Cookies und Onlinemarketing testen ohne Anmeldung kein Abo nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privat.
DSGVO-Datenschutz-Generator - Datenschutzerklärung, Impressum, Fotohinweis

Workshop Mit Dr. Schwenke in München am 17. März: Bußgelder, Abmahnungen und Haftung im Digitalmarketing vermeiden – Basics und Expertentipps für das Jahr 2020

Mit allem, was Sie für die Praxis benötigen, z.B. Standards wie das Urheberrecht, Aktuelles wie Rechtslage bei Cookies sowie viel Raum für Fragen und individuelle Tipps. Zur Beschreibung und Anmeldung (AFBMC)


Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.