RB aktuell
RB Aktuell: Datenschutz und Brexit
I. Der Status quo
Am 01.02.2020 ist das Vereinigte Königreich von Großbritannien und Nordirland aus der Europäischen Union (EU) ausgetreten. In der im Austrittsabkommen vom 12.11.2019 (Austrittsabkommen) festgelegten Übergangsphase bis zum 31.12.2020 soll zwischen dem Vereinigten Königreich und der EU über die zukünftigen Beziehungen verhandelt werden und ein entsprechendes Abkommen abgeschlossen werden. Da in der Übergangsphase das Recht der EU im Vereinigte Königreich weiterhin gilt, wird das Vereinigte Königreich letztlich erst am 01.01.2021 kein Teil des Binnenmarkts und der Zollunion mehr sein. Die politische Erklärung der EU und des Vereinigten Königreichs vom 12.11.2019 sieht für das künftige Abkommen im Kern eine Wirtschafts- und Sicherheitspartnerschaft vor. Nach vielen Verhandlungen gibt es aber nach wie vor substanzielle Differenzen in zentralen Bereichen. Die Uhr tickt also, denn ein womöglich noch im Dezember geschlossenes Abkommen müsste auch noch durch das Europäische Parlament ratifiziert werden.
Zu den jüngsten Fortschritten der EU zählt die am 25.05.2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO). Sie bildet den gemeinsamen Datenschutzrahmen der EU. Sobald die Übergangsfrist am 31.12.2020 endet, gilt die DSGVO im Vereinigten Königreich allerdings nicht mehr. Fällt der gemeinsame Datenschutzrahmen also auseinander? Und welche Handlungspflichten ergeben sich für Verantwortliche innerhalb der EU?
II. Schutz von bis zum 31.12.2020 in das Vereinigte Königreich übermittelten Daten
Art. 71 Abs. 1 lit. a des Austrittsabkommens sieht vor, dass das Vereinigte Königreich für solche personenbezogenen Daten, die aus der EU vor dem 31.12.2020 in das Vereinigte Königreich übermittelt wurden, weiterhin das Mindestschutzniveau der DSGVO gewährleisten muss.
III. Schutz von ab dem 01.01.2021 in das Vereinigte Königreich übermittelten Daten
Bestimmt ein noch bis zum 31.12.2020 zu schließendes und zu ratifizierendes Abkommen nichts anderes, wird das Vereinigte Königreich ab dem 01.01.2021 zum Drittstaat im Sinne des Kap. V der DSGVO. Verantwortliche haben dann folgende Schritte zu ergreifen:
1. Feststellung, welche Verarbeitungen eine Übermittlung personenbezogener Daten in das Drittland Vereinigte Königreich mit sich bringt
In Vorbereitung auf den Brexit sollte zunächst geprüft werden, ob personenbezogene Daten in das Vereinigte Königreich übermittelt werden (müssen). Wird diese Frage bejaht, ist sodann genau zu identifizieren, welche personenbezogenen Daten auch ab dem 01.01.2021 in das Vereinigte Königreich übermittelt werden sollen.
2. Beurteilung der Zulässigkeit der jeweiligen Verarbeitungstätigkeit
Im Anschluss ist die Zulässigkeit der Übermittlung von personenbezogenen Daten in das Drittland Vereinigte Königreich zu prüfen. Als Rechtsgrundlagen kommen in Betracht:
a) Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 Abs. 3 DSGVO
Kommt die EU-Kommission bei der Beurteilung des Datenschutzniveaus eines Drittstaats zu dem Ergebnis, dass dieses im Sinne des Art. 45 Abs. 2 DSGVO angemessen ist, kann sie einen sogenannten Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DSGVO erlassen. Ein solcher Angemessenheitsbeschluss bietet eine umfassende Legitimation für Datenübermittlungen, da er sich auf ein ganzes Land oder Gebiet beziehen kann, zudem entfaltet er unmittelbare Wirkung. Angemessenheitsbeschlüsse bestehen etwa für die Schweiz, für Neuseeland, für Kanada oder seit letztem Jahr auch für Japan. Der Angemessenheitsbeschluss für die USA, der sogenannte EU-US-Privacy-Shield-Beschluss vom 12.07.2016 wurde durch den EuGH mit Urteil vom 16.07.2020 in der Rechtssache „Schrems II“ (Az. C-311/18) für ungültig erklärt.
Die EU-Kommission stellt einen solchen Angemessenheitsbeschluss zwar grundsätzlich in Aussicht. Die Vorbereitung eines solchen Beschlusses kann allerdings mehrere Jahre dauern und wird bis zum 31.12.2020 nicht herbeizuführen sein. Auch wenn ein Angemessenheitsbeschluss für das Vereinigte Königreich in den nächsten Jahren angestrebt wird, ist sein Erlass nicht sicher.
Die EU-Kommission hat gem. Art. 45 Abs. 2 DSGVO insbesondere die Achtung der Menschenrechte und Grundfreiheiten vor dem Erlass eines Angemessenheitsbeschlusses zu überprüfen. Hierbei könnten sich Bedenken im Hinblick auf die innerstaatliche Rechtslage im Vereinigten Königreich ergeben, die es dem Sicherheits- und Nachrichtendiensten des Vereinigte Königreichs ermöglicht, anfallende Massentelekommunikationsdaten zu nutzen, wie etwa Verkehrs- und Standortdaten. Dies entspricht nicht den Anforderungen des EuGHs an ein ordnungsgemäßes Datenschutzniveau.
b) EU-Standardvertragsklauseln
Nach Art. 46 Abs. 1 DSGVO dürfen Daten in ein Drittland übermittelt werden, sofern der Verantwortliche oder Auftragsverarbeiter geeignete Garantien im Sinne des Art. 46 Abs. 2 DSGVO vorsieht. Praktisch wichtigster Fall solcher Garantien sind die EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO, die mit dem Vertragspartner im Vereinigten Königreich vereinbart werden und diesem gewisse Schutzpflichten zugunsten Betroffener auferlegen. Die Europäische Kommission hat drei Sets von EU-Standardvertragsklauseln genehmigt (2001/497/EG, 2004/915/EG und 2010/87/EG), die in dieser Form vom Vertragspartner im Vereinigten Königreich unterzeichnet werden müssten. Trotz vereinbarter EU-Standardvertragsklauseln ist ein ausreichendes Schutzniveau im Einzelfall zu prüfen.
Angesicht der Entscheidungen „Schrems I“ und „Schrems II“ des EuGHs werden allerdings auch die EU-Standardvertragsklauseln kritisch gesehen. Zwar können die EU-Standardvertragsklauseln mit individuellen Regelungen ergänzt werden. Jedoch kann damit nicht in jedem Fall das Risiko staatlichen Zugriffs vermieden werden. Aktuell werden neue EU-Standardvertragsklauseln erarbeitet.
c) Binding Corporate Rules
Bei Datenübermittlungen innerhalb einer Unternehmensgruppe kommen gem. Art. 46 Abs. 2 lit. b DSGVO auch verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) im Sinne des Art. 47 DSGVO in Betracht. Bestehen im Konzern bereits Binding Corporate Rules, die unter der früheren RL 95/46/EG genehmigt wurden, bleiben diese auch unter der DSGVO gültig und müssen lediglich aktualisiert werden. Werden Binding Corporate Rules erst noch ausgearbeitet, müssen sie zunächst von der zuständigen nationalen Aufsichtsbehörde genehmigt werden.
d) Greift ein Ausnahmetatbestand des Art. 49 DSGVO?
Alternativ kommen gem. Art. 49 DSGVO außerdem unter anderem folgende Ausnahmetatbestände in Betracht:
- Der Betroffene willigt gem. Art. 49 Abs. 1 lit. a DSGVO in die Verarbeitung ein.
- Die Datenverarbeitung ist gem. Art. 49 Abs. 1 lit. b oder c DSGVO für die Erfüllung des Vertrags mit dem Betroffenen erforderlich.
- Die Datenverarbeitung ist gem. Art. 49 Abs. 1 lit. e DSGVO zur Durchsetzung oder zur Abwehr von Rechtsansprüchen erforderlich.
3. Vermerk der Übermittlung von Daten in das Drittland Vereinigte Königreich in der internen Dokumentation
Im Verarbeitungsverzeichnis sind Datenübermittlungen in das Drittland Vereinigte Königreich als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen (Art. 30 Abs. 1 lit. d, e, Art. 30 Abs. 2 lit. c DSGVO).
4. Information der betroffenen Personen
Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung ist über die Datenübermittlung in das Vereinigte Königreich und über die verwendeten Datenschutzgarantien zur informieren (Art. 13 Abs. 1 lit. f, Art. 14 Abs. 1 lit. f DSGVO).
Sofern eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie auch über die Datenübermittlung in das Vereinigte Königreich und die verwendeten geeigneten Datenschutzgarantien zu informieren (Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO).
IV. Fazit
Eine grenzüberschreitende Übermittlung personenbezogener Daten ist in vielen Bereichen längst üblich geworden, sei es im B2B-Bereich oder im B2C-Bereich. Auch im Konzern-Verbunden findet häufig ein Austausch personenbezogener Daten von Kunden und/oder Mitarbeitern statt. Innerhalb der EU sind solche grenzüberschreitenden Übermittlungen grundsätzlich zulässig, wenn für die zugrundeliegende Verarbeitung eine Rechtsgrundlage besteht.
Ab dem 01.01.2021 ist die Übermittlung personenbezogener Daten in das Vereinigte Königreich nur noch unter besonderen Voraussetzungen zulässig, sofern keine Last-Minute-Regelung erfolgt. Es ist daher dringend zu empfehlen, die Übermittlung personenbezogener Daten in das Vereinigte Königreich sorgfältig zu hinterfragen, zu überprüfen und ggf. (vorerst) zu stoppen.
Für RB haben beraten:
RAin Madelaine Isabelle Baade, RAin Christa Hagen
