RB aktu­ell

RB Aktu­ell: Daten­schutz und Brexit

I. Der Sta­tus quo

Am 01.02.2020 ist das Ver­ei­nig­te König­reich von Groß­bri­tan­ni­en und Nord­ir­land aus der Euro­päi­schen Uni­on (EU) aus­ge­tre­ten. In der im Aus­tritts­ab­kom­men vom 12.11.2019 (Aus­tritts­ab­kom­men) fest­ge­leg­ten Über­gangs­pha­se bis zum 31.12.2020 soll zwi­schen dem Ver­ei­nig­ten König­reich und der EU über die zukünf­ti­gen Bezie­hun­gen ver­han­delt wer­den und ein ent­spre­chen­des Abkom­men abge­schlos­sen wer­den. Da in der Über­gangs­pha­se das Recht der EU im Ver­ei­nig­te König­reich wei­ter­hin gilt, wird das Ver­ei­nig­te König­reich letzt­lich erst am 01.01.2021 kein Teil des Bin­nen­markts und der Zoll­uni­on mehr sein. Die poli­ti­sche Erklä­rung der EU und des Ver­ei­nig­ten König­reichs vom 12.11.2019 sieht für das künf­ti­ge Abkom­men im Kern eine Wirt­schafts- und Sicher­heits­part­ner­schaft vor. Nach vie­len Ver­hand­lun­gen gibt es aber nach wie vor sub­stan­zi­el­le Dif­fe­ren­zen in zen­tra­len Berei­chen. Die Uhr tickt also, denn ein womög­lich noch im Dezem­ber geschlos­se­nes Abkom­men müss­te auch noch durch das Euro­päi­sche Par­la­ment rati­fi­ziert werden.

Zu den jüngs­ten Fort­schrit­ten der EU zählt die am 25.05.2018 in Kraft getre­te­ne Daten­schutz-Grund­ver­ord­nung (DSGVO). Sie bil­det den gemein­sa­men Daten­schutz­rah­men der EU. Sobald die Über­gangs­frist am 31.12.2020 endet, gilt die DSGVO im Ver­ei­nig­ten König­reich aller­dings nicht mehr. Fällt der gemein­sa­me Daten­schutz­rah­men also aus­ein­an­der? Und wel­che Hand­lungs­pflich­ten erge­ben sich für Ver­ant­wort­li­che inner­halb der EU?

II. Schutz von bis zum 31.12.2020 in das Ver­ei­nig­te König­reich über­mit­tel­ten Daten

Art. 71 Abs. 1 lit. a des Aus­tritts­ab­kom­mens sieht vor, dass das Ver­ei­nig­te König­reich für sol­che per­so­nen­be­zo­ge­nen Daten, die aus der EU vor dem 31.12.2020 in das Ver­ei­nig­te König­reich über­mit­telt wur­den, wei­ter­hin das Min­dest­schutz­ni­veau der DSGVO gewähr­leis­ten muss.

III. Schutz von ab dem 01.01.2021 in das Ver­ei­nig­te König­reich über­mit­tel­ten Daten

Bestimmt ein noch bis zum 31.12.2020 zu schlie­ßen­des und zu rati­fi­zie­ren­des Abkom­men nichts ande­res, wird das Ver­ei­nig­te König­reich ab dem 01.01.2021 zum Dritt­staat im Sin­ne des Kap. V der DSGVO. Ver­ant­wort­li­che haben dann fol­gen­de Schrit­te zu ergreifen:

1. Fest­stel­lung, wel­che Ver­ar­bei­tun­gen eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in das Dritt­land Ver­ei­nig­te König­reich mit sich bringt

In Vor­be­rei­tung auf den Bre­x­it soll­te zunächst geprüft wer­den, ob per­so­nen­be­zo­ge­ne Daten in das Ver­ei­nig­te König­reich über­mit­telt wer­den (müs­sen). Wird die­se Fra­ge bejaht, ist sodann genau zu iden­ti­fi­zie­ren, wel­che per­so­nen­be­zo­ge­nen Daten auch ab dem 01.01.2021 in das Ver­ei­nig­te König­reich über­mit­telt wer­den sollen.

2. Beur­tei­lung der Zuläs­sig­keit der jewei­li­gen Verarbeitungstätigkeit

Im Anschluss ist die Zuläs­sig­keit der Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in das Dritt­land Ver­ei­nig­te König­reich zu prü­fen. Als Rechts­grund­la­gen kom­men in Betracht:

a) Ange­mes­sen­heits­be­schluss der EU-Kom­mis­si­on gemäß Art. 45 Abs. 3 DSGVO

Kommt die EU-Kom­mis­si­on bei der Beur­tei­lung des Daten­schutz­ni­veaus eines Dritt­staats zu dem Ergeb­nis, dass die­ses im Sin­ne des Art. 45 Abs. 2 DSGVO ange­mes­sen ist, kann sie einen soge­nann­ten Ange­mes­sen­heits­be­schluss gem. Art. 45 Abs. 3 DSGVO erlas­sen. Ein sol­cher Ange­mes­sen­heits­be­schluss bie­tet eine umfas­sen­de Legi­ti­ma­ti­on für Daten­über­mitt­lun­gen, da er sich auf ein gan­zes Land oder Gebiet bezie­hen kann, zudem ent­fal­tet er unmit­tel­ba­re Wir­kung. Ange­mes­sen­heits­be­schlüs­se bestehen etwa für die Schweiz, für Neu­see­land, für Kana­da oder seit letz­tem Jahr auch für Japan. Der Ange­mes­sen­heits­be­schluss für die USA, der soge­nann­te EU-US-Pri­va­cy-Shield-Beschluss vom 12.07.2016 wur­de durch den EuGH mit Urteil vom 16.07.2020 in der Rechts­sa­che „Schrems II“ (Az. C-311/18) für ungül­tig erklärt.

Die EU-Kom­mis­si­on stellt einen sol­chen Ange­mes­sen­heits­be­schluss zwar grund­sätz­lich in Aus­sicht. Die Vor­be­rei­tung eines sol­chen Beschlus­ses kann aller­dings meh­re­re Jah­re dau­ern und wird bis zum 31.12.2020 nicht her­bei­zu­füh­ren sein. Auch wenn ein Ange­mes­sen­heits­be­schluss für das Ver­ei­nig­te König­reich in den nächs­ten Jah­ren ange­strebt wird, ist sein Erlass nicht sicher.

Die EU-Kom­mis­si­on hat gem. Art. 45 Abs. 2 DSGVO ins­be­son­de­re die Ach­tung der Men­schen­rech­te und Grund­frei­hei­ten vor dem Erlass eines Ange­mes­sen­heits­be­schlus­ses zu über­prü­fen. Hier­bei könn­ten sich Beden­ken im Hin­blick auf die inner­staat­li­che Rechts­la­ge im Ver­ei­nig­ten König­reich erge­ben, die es dem Sicher­heits- und Nach­rich­ten­diens­ten des Ver­ei­nig­te König­reichs ermög­licht, anfal­len­de Mas­sen­te­le­kom­mu­ni­ka­ti­ons­da­ten zu nut­zen, wie etwa Ver­kehrs- und Stand­ort­da­ten. Dies ent­spricht nicht den Anfor­de­run­gen des EuGHs an ein ord­nungs­ge­mä­ßes Datenschutzniveau.

b) EU-Stan­dard­ver­trags­klau­seln

Nach Art. 46 Abs. 1 DSGVO dür­fen Daten in ein Dritt­land über­mit­telt wer­den, sofern der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter geeig­ne­te Garan­tien im Sin­ne des Art. 46 Abs. 2 DSGVO vor­sieht. Prak­tisch wich­tigs­ter Fall sol­cher Garan­tien sind die EU-Stan­dard­ver­trags­klau­seln gem. Art. 46 Abs. 2 lit. c DSGVO, die mit dem Ver­trags­part­ner im Ver­ei­nig­ten König­reich ver­ein­bart wer­den und die­sem gewis­se Schutz­pflich­ten zuguns­ten Betrof­fe­ner auf­er­le­gen. Die Euro­päi­sche Kom­mis­si­on hat drei Sets von EU-Stan­dard­ver­trags­klau­seln geneh­migt (2001/497/EG, 2004/915/EG und 2010/87/EG), die in die­ser Form vom Ver­trags­part­ner im Ver­ei­nig­ten König­reich unter­zeich­net wer­den müss­ten. Trotz ver­ein­bar­ter EU-Stan­dard­ver­trags­klau­seln ist ein aus­rei­chen­des Schutz­ni­veau im Ein­zel­fall zu prüfen.

Ange­sicht der Ent­schei­dun­gen „Schrems I“ und „Schrems II“ des EuGHs wer­den aller­dings auch die EU-Stan­dard­ver­trags­klau­seln kri­tisch gese­hen. Zwar kön­nen die EU-Stan­dard­ver­trags­klau­seln mit indi­vi­du­el­len Rege­lun­gen ergänzt wer­den. Jedoch kann damit nicht in jedem Fall das Risi­ko staat­li­chen Zugriffs ver­mie­den wer­den. Aktu­ell wer­den neue EU-Stan­dard­ver­trags­klau­seln erarbeitet.

c) Bin­ding Cor­po­ra­te Rules

Bei Daten­über­mitt­lun­gen inner­halb einer Unter­neh­mens­grup­pe kom­men gem. Art. 46 Abs. 2 lit. b DSGVO auch ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten (Bin­ding Cor­po­ra­te Rules) im Sin­ne des Art. 47 DSGVO in Betracht. Bestehen im Kon­zern bereits Bin­ding Cor­po­ra­te Rules, die unter der frü­he­ren RL 95/46/EG geneh­migt wur­den, blei­ben die­se auch unter der DSGVO gül­tig und müs­sen ledig­lich aktua­li­siert wer­den. Wer­den Bin­ding Cor­po­ra­te Rules erst noch aus­ge­ar­bei­tet, müs­sen sie zunächst von der zustän­di­gen natio­na­len Auf­sichts­be­hör­de geneh­migt werden.

d) Greift ein Aus­nah­me­tat­be­stand des Art. 49 DSGVO?

Alter­na­tiv kom­men gem. Art. 49 DSGVO außer­dem unter ande­rem fol­gen­de Aus­nah­me­tat­be­stän­de in Betracht:

  • Der Betrof­fe­ne wil­ligt gem. Art. 49 Abs. 1 lit. a DSGVO in die Ver­ar­bei­tung ein.
  • Die Daten­ver­ar­bei­tung ist gem. Art. 49 Abs. 1 lit. b oder c DSGVO für die Erfül­lung des Ver­trags mit dem Betrof­fe­nen erforderlich.
  • Die Daten­ver­ar­bei­tung ist gem. Art. 49 Abs. 1 lit. e DSGVO zur Durch­set­zung oder zur Abwehr von Rechts­an­sprü­chen erfor­der­lich. 

3. Ver­merk der Über­mitt­lung von Daten in das Dritt­land Ver­ei­nig­te König­reich in der inter­nen Dokumentation

Im Ver­ar­bei­tungs­ver­zeich­nis sind Daten­über­mitt­lun­gen in das Dritt­land Ver­ei­nig­te König­reich als sol­che zu bezeich­nen und die wei­te­ren in die­sem Zusam­men­hang gefor­der­ten Anga­ben zu machen (Art. 30 Abs. 1 lit. d, e, Art. 30 Abs. 2 lit. c DSGVO).

4. Infor­ma­ti­on der betrof­fe­nen Personen

Im Infor­ma­ti­ons­blatt zur Daten­ver­ar­bei­tung und in der Daten­schutz­er­klä­rung ist über die Daten­über­mitt­lung in das Ver­ei­nig­te König­reich und über die ver­wen­de­ten Daten­schutz­ga­ran­tien zur infor­mie­ren (Art. 13 Abs. 1 lit. f, Art. 14 Abs. 1 lit. f DSGVO).

Sofern eine betrof­fe­ne Per­son von ihrem Aus­kunfts­recht Gebrauch macht, ist sie auch über die Daten­über­mitt­lung in das Ver­ei­nig­te König­reich und die ver­wen­de­ten geeig­ne­ten Daten­schutz­ga­ran­tien zu infor­mie­ren (Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO).

IV. Fazit

Eine grenz­über­schrei­ten­de Über­mitt­lung per­so­nen­be­zo­ge­ner Daten ist in vie­len Berei­chen längst üblich gewor­den, sei es im B2B-Bereich oder im B2C-Bereich. Auch im Kon­zern-Ver­bun­den fin­det häu­fig ein Aus­tausch per­so­nen­be­zo­ge­ner Daten von Kun­den und/​oder Mit­ar­bei­tern statt. Inner­halb der EU sind sol­che grenz­über­schrei­ten­den Über­mitt­lun­gen grund­sätz­lich zuläs­sig, wenn für die zugrun­de­lie­gen­de Ver­ar­bei­tung eine Rechts­grund­la­ge besteht.

Ab dem 01.01.2021 ist die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in das Ver­ei­nig­te König­reich nur noch unter beson­de­ren Vor­aus­set­zun­gen zuläs­sig, sofern kei­ne Last-Minu­te-Rege­lung erfolgt. Es ist daher drin­gend zu emp­feh­len, die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in das Ver­ei­nig­te König­reich sorg­fäl­tig zu hin­ter­fra­gen, zu über­prü­fen und ggf. (vor­erst) zu stoppen.