Last Minute Tipps zum DSGVO-sicheren Brexit – Praxishinweise und Checkliste

Ab dem 01 Januar 2021 tritt der datenschutzrechtliche Worst Case des Brexit ein. Falls Sie sich noch nicht vorbereitet haben oder sich versichern möchten alles nötige getan zu haben, empfehlen wir Ihnen den folgenden Beitrag zu lesen.

An dessen Ende erhalten Sie zudem eine Zusammenfassung der notwendigen Prüfungsschritte in einer praktischen Checkliste.

Ist der Brexit für mich relevant?

Der Brexit wird für Sie dann relevant, wenn Sie personenbezogene Daten nach Großbritannien übermitteln oder dort ansässigen Unternehmen Zugriff auf diese Daten gewähren.

Dies kommt vor allem in folgenden Fällen in Frage:

  • Sie verfügen über eine Niederlassung in Großbritannien.
  • Sie setzen Dienstleister aus Großbritannien zur Ausführung Ihrer Leistungen ein (z. B., Warenlieferanten).
  • Sie nutzen in Großbritannien basierte Cloud/SaaS-Dienste (z. B., Onlinemarketing-Tools).

Betroffen sein können dabei u.a. die folgenden Personengruppen:

  • Ihre Kund/innen.
  • Nutzer/innen Ihrer Onlinedienste oder Websitebesucher.
  • Mitarbeiter/innen oder Bewerber/innen (z. B. beim Einsatz von Onlinebewerbungsdiensten)

In all diesen Fällen drohen Datenschutzverstöße, wenn Großbritannien zu einem datenschutzrechtlich unsicheren Drittland wird. Allerdings kann dies erst nach der Übergangsphase eintreten.

Keine Anerkennung als sicheres Drittland für Daten

Tipp: Dieses Schaubild von Calligo verdeutlicht die möglichen datenschutzrechtlichen Entwicklungen nach dem Brexit (aus der Sicht von britischen Unternehmen).

Tipp: Dieses Schaubild von Calligo verdeutlicht die möglichen datenschutzrechtlichen Entwicklungen nach dem Brexit (aus der Sicht von britischen Unternehmen).Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) sog. „Drittländer“. Das bedeutet, dass personenbezogene Daten nicht ohne Weiteres in diese Länder transferiert werden dürfen (Art. 44 DSGVO).

Es bestand zwar eine kleine Hoffnung, dass die EU Großbritannien als ein sicheres Drittland akzeptiert (derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Argentinien, Japan, Kanada und Israel ), aber diese Hoffnung hat sich bisher nicht erfüllt.

Zulässigkeit von Datentransfers an ein Drittland

Ohne einen Angemessenheitsbeschluss ist Großbritannien datenschutzrechtlich von der EU abgeschnitten und muss genauso behandelt werden, wie z.B. Russland oder die USA.

Aber auch in solchen Fällen gibt es Möglichkeiten, die Datentransfers und die Zusammenarbeit mit britischen Unternehmen datenschutzrechtlich sicher zu regeln.

  • Abschluss von Standardvertragsklauseln.
  • Vertraglich erforderliche Datentransfers.
  • Einwilligungen der Betroffenen.
  • „Binding-Corporate-Rules“, also interne und genehmigungspflichtige Abreden.
  • Ausnahmen nach Art. 49 DSGVO.

Im Folgenden gehe ich auf die wichtigsten Erlaubnisgrundlagen näher ein.

EU-Standardvertragsklauseln als Lösung

Die britische Datenschutzaufsicht bietet einen Generator an, mit dem Standardvertragsklauseln erstellt werden können.

Ein fehlender Angemessenheitsbeschluss kann vertraglich aufgefangen werden. Dazu muss zwischen den beteiligten Parteien ein Vertrag auf Basis sog.
„Standard-Contractual-Clauses“ abgeschlossen werden (Art. 46 Abs. 2 lit. c) DSGVO). Diese vorgefertigten Standardvertragsklauseln verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzes.

Neben dem Abschluss der Verträge müssen Sie auch prüfen, ob Ihr Vertragspartner in Großbritannien die Datenschutzvorgaben tatsächlich beachtet. Aus diesem Grund sollten Sie nach einem Datenschutzkonzept fragen. Da die DSGVO erst kürzlich wirksam wurde und Unternehmen zu Anpassungen zwang, stehen die Chancen gut, dass auch Ihr Vertragspartner „GDPR-Ready“ ist.

Im Zweifel können Sie die (mit Blick auf die USA erstellten) Vorschläge des Europäischen Datenschutzausschusses zur Anpassung von Standardvertragsklauseln bei Datentransfers in Drittländer umsetzen (wobei dies von einer fachkundigen Person durchgeführt werden sollte):

Erforderliche Datenübermittlung als Lösung

Eine Übermittlung von Daten nach Großbritannien kommt in Frage, wenn Sie z. B. Leistungen anbieten, die in Großbritannien ausgeführt werden Art. 49 Abs. 1 S. 1 lit b) DSGVO. Ferner muss es erforderlich und für die Kunden erkennbar sein, dass zur Leistungsausführung personenbezogene Daten übermittelt werden (z. B. Übermittlung von Namen oder Vorlieben bei Hotelbuchungen, Reisen, etc.)

Einwilligung als Lösung

Letztendlich können Sie Kund/innen oder Nutzer/innen um ihre Einwilligung in die Verarbeitung von Daten in Großbritannien bitten (Art. 49 Abs. 1 S. 1 lit a) DSGVO).

Die Einwilligung darf jedoch nicht „versteckt“, z. B. bloß in einer Datenschutzerklärung stehend, erfolgen. Vielmehr müssten die Betroffenen z. B. vor dem Absenden eines Onlineformulars auf mögliche Risiken des fehlenden Angemessenheitsbeschlusses und die Übermittlung der Daten hingewiesen und ausdrücklich per Checkbox um die Einwilligung gebeten werden (Art. 49 Abs. 1 S. 1 lit a) DSGVO).

Falls Sie derartige Einwilligungen bereits eingeholt haben, müssen Sie die fehlende Belehrung über mögliche Risiken des fehlenden Angemessenheitsbeschlusses nachholen.

Selbstverpflichtungen und sonstige Garantien

Liegen kein Angemessenheitsbeschluss und keine Standardvertragsklauseln vor, kommen vor allem noch Binding Corporate Rules, d. h. unternehmensinterne Selbstverpflichtungen zum Datenschutz, in Frage (Art. 46 Abs. 2 lit b), 47 DSGVO).

Daneben existieren noch weitere, in der Praxis weniger relevante Ausnahmen, die Sie den Art. 46 und 49 DSGVO entnehmen können (wobei die sonstigen Ausnahmen des Art 49 DSGVO nur für beschränkte  und nicht regelmäßige Fälle von Datentransfers vorgesehen sind).

Nachdem Sie sichergestellt haben, dass Sie Daten nach Großbritannien übermitteln müssen, kommen noch weitere Prüfungs- und Hinweispflichten auf Sie zu.

Hinweise in der Datenschutzerklärung

In unserem Generator für Datenschutzerklärungen ist automatisch ein Passus mit Informationen zu Datentransfers in Drittländer enthalten.
In unserem Generator für Datenschutzerklärungen ist automatisch ein Passus mit Informationen zu Datentransfers in Drittländer enthalten.

Wenn Sie mit britischen Unternehmen zusammenarbeiten oder anderweitig Daten in die Drittländer transferieren, müssen Sie Ihre Kund/innen oder Nutzer/innen in der Datenschutzerklärung darüber informieren (Art. 13 Abs. 1 Satz 1 lit. f) und 14 Abs. 1 Satz 1 lit. f) DSGVO).

Hierzu sollten Sie zunächst generell auf die Rechtsgrundlagen und Garantien hinweisen. Anschließend sollten Sie auch bei den einzelnen Verfahren (z. B. Einsatz von Marketingtools) darauf hinweisen, dass diese in Großbritannien sitzen und welche Gewährleistung vorliegt (z. B. Standardvertragsklauseln).

Beantwortung von Auskünften

Neben der Datenschutzerklärung müssen Sie auch im Fall von individuellen Auskunftsanfragen von sich aus auf die Datenverarbeitung in Großbritannien hinweisen (Art. 15 Abs. 1 lit. c. Abs. 2 DSGVO).

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung kommt nur in Ausnahmefällen bei risikoreichen Datenverarbeitungen vor (z. B., wenn Gesundheitsdaten im großen Umfang verarbeitet werden, Art. 45 DSGVO).

Im Fall des Brexits müssten Sie vorliegende Datenschutz-Folgenabschätzungen neu evaluieren. Wenn allerdings eine der o. g. Garantien vorliegt, dürfte das Ergebnis nicht anders als zuvor ausfallen.

Was zu unternehmen ist – Checkliste mit 8 Prüfungsschritten

Sie sollten jetzt schon Maßnahmen treffen, um im Fall des fehlenden Angemessenheitsbeschlusses vorbereitet zu sein. Sofern noch nicht geschehen, schlage ich das folgende Vorgehen vor:

  1. Übersicht Verarbeitungsprozesse: Stellen Sie die Verarbeitungsprozesse zusammen, bei denen Sie personenbezogene Daten (Kund/innen, Nutzer/innen, Mitarbeiter/innen) nach Großbritannien übermitteln oder anderweitig mit britischen Verarbeitern zusammenarbeiten, die Zugriff auf diese Daten erhalten.
  2. Erlaubnisgrundlagen: Prüfen Sie, ob Sie für diese Verarbeitungsprozesse über entsprechende gesetzliche Erlaubnisse verfügen (z. B. Standardvertragsklauseln, Einwilligung, etc.).
  3. Informationen einholen: Falls Sie noch über keine Erlaubnisse verfügen, Fragen Sie bei den Unternehmen nach, welche Garantien sie anbieten (vor allem Standardvertragsklauseln + Datenschutzkonzept) und generell, ob und wie sie sich auf einen fehlenden Angemessenheitsbeschluss vorbereitet haben.
  4. Verarbeitungsprozesse ergänzen: Ergänzen Sie ggf. Ihre Verarbeitungsprozesse um die o.g. gesetzlichen Erlaubnisse.
  5. Datenschutzerklärung ergänzen: Sofern nicht schon vorhanden, ergänzen Sie Ihre Datenschutzerklärung um die Hinweise auf Drittländer und Datenverarbeitungen in Großbritannien.
  6. Einwilligungen prüfen: Prüfen Sie, ob bei vorliegenden Einwilligungen Hinweise auf die Verarbeitung von Daten in Großbritannien nachgereicht oder ggf. neue Einwilligungen eingeholt werden müssen.
  7. Auskunftsverfahren ergänzen: Stellen Sie sicher, dass bei Auskünften mitgeteilt wird, wenn personenbezogene Daten in Großbritannien verarbeitet werden.
  8. Prüfung von Datenschutz-Folgenabschätzungen: Prüfen Sie, ob Sie vorhandene Datenschutz-Folgenabschätzungen ergänzen oder ggf. neue durchführen müssen.

Fazit und Praxishinweis

Nach dem trotz langer Vorlaufzeit keine politische Einigung erzielt werden konnte, muss auf der alltäglichen Ebene eine Lösung gefunden werden. Wie so häufig besteht sie vor allem darin, viele Vereinbarungen zu treffen. Es ist nicht von der Hand zu weisen, dass die Vorzüge eines datenschutzrechtlichen Formalismus kritisiert werden.

Allerdings ist der Brexit in bester Gesellschaft. Denn nach Ende des Privacy Shield, ist die Rechtslage beim Einsatz von US-Dienstleistern nicht einfacher.

 

Tipp für mehr Rechtssicherheit

Rechtssichere DSGVO-Datenschutzerklärung:  vom Anwalt  mit Siegel  über 500 aktuelle Module  kein Abo  Dokument ohne zeitliches Limit nutzbar  Download als Word/Office & PDF  Speichern & Laden von Eingaben
DSGVO-Datenschutz-Generator - Datenschutzerklärung, Impressum, Fotohinweis

 


Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.