Aktuelles zum Brexit aus datenschutzrechtlicher Sicht

Seit der Brexit-Hardliner Boris Johnson am 24.07.19 zum britischen Premierminister ernannt worden ist, wird der ungeregelte Brexit immer wahrscheinlicher. Er hat bereits verkündet, Großbritannien mit oder ohne Deal spätestens am 31.10.19 aus der EU führen zu wollen. Insofern möchten wir an unseren letzten Beitrag anknüpfen und nochmals auf die datenschutzrechtlichen Pflichten bei einem harten Brexit hinweisen.

^{Bildrechte: littlewolf1989 – fotolia.com}

Nach einem harten Brexit wird Großbritannien in jedem Fall zum Drittland, in welches personenbezogene Daten nicht mehr ohne weiteres übermittelt werden dürfen. Zudem ist die Übermittlung von personenbezogenen Daten in ein Drittland bei den Hinweispflichten nach Art. 13 DSGVO, dem Auskunftsrecht der betroffenen Person, der Erstellung von Verarbeitungsverzeichnissen oder der Prüfung der Notwendigkeit der Durchführung einer Datenschutzfolgenabschätzung zu berücksichtigen. Unter dem Begriff „Übermittlung“ ist dabei nicht nur der aktive Transfer von Daten zu verstehen, sondern auch die Möglichkeit Zugriff auf diese Daten zu nehmen (zum Beispiel durch Auslesen einer Datenbank) ist ausreichend.

Solange die EU-Kommission keinen Angemessenheitsbeschluss erlässt und damit Großbritannien ein der EU vergleichbares, angemessenes Datenschutzniveau ausstellt, müssen Unternehmen bei der Datenübermittlung andere datenschutzrechtliche Maßnahmen ergreifen, um eventuellen Datenschutzverstößen und der Gefahr eines Bußgelds vorzubeugen. Die Übermittlung in ein Drittland ist nach der DSGVO grundsätzlich zulässig, wenn neben einer Rechtsgrundlage für die Datenübermittlung (in der Regel die Anbahnung oder Durchführung von Vertragsverhältnissen oder eine Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a beziehungsweise b DSGVO), zusätzlich Garantien für eine zulässige Datenübermittlung ins Zielland bestehen. Hierfür können genutzt werden:

1. Abschluss von EU-Standardvertragsklauseln: Dies sind Standardverträge zum Datenschutz, welche unverändert zu übernehmen sind.
2. Schaffung von konzernweiten Regelungen für eine unternehmensinterne Datenübermittlung in Drittländer, sogenannte unternehmensinterne verbindliche Datenschutzvorschriften: Die Einführung solcher Standards ist allerdings ein langfristiger und kostenintensiver Prozess.
3. Individuell zwischen den Parteien ausgehandelte Datenschutzklauseln: Diese bedürfen allerdings in jedem Einzelfall der Zustimmung der zuständigen Aufsichtsbehörde.

Da die Corporate Binding Rules und individuelle Datenschutzverträge zeit- und kostenaufwendig sind, ist es in der Regel gerade für kleinere und mittlere Unternehmen praktikabler auf die EU-Standardvertragsklauseln zurückzugreifen.

Ausnahmsweise ist eine Datenübermittlung auch ohne Garantien zulässig, wenn die betroffene Person ausdrücklich in den Datentransfer in das Drittland eingewilligt hat und über das fehlende angemessene Datenschutzniveau angemessen informiert wurde. Eine Übermittlung ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen insbesondere alltägliche Fälle in denen die betroffene Person die vorvertraglichen oder vertraglichen Maßnahmen selbst veranlasst hat, z.B. Reservierung von Hotels und internationaler Beförderungsleistungen, Abwicklung internationaler Überweisungen/Orders durch die Bank, oder Versand bestellter Ware zur Vertragserfüllung.

Neben der Sicherstellung einer datenschutzkonformen Übermittlung von personenbezogenen Daten nach Großbritannien, sollten Unternehmen die bereits oben genannten nach der DSGVO erforderlichen Dokumentationen anfertigen oder anpassen. Insbesondere sind hier zu berücksichtigen:

• Dokumentation der Drittlandübermittlung (und deren Rechtmäßigkeit) im Verzeichnis der Verarbeitungstätigkeiten
• Information zur Datenübermittlung in ein Drittland sowie über die vorhandenen Garantien oder einschlägigen Ausnahmen in der Datenschutzerklärung
• Unterrichtung über die Datenübermittlung in ein Drittland im Rahmen eines Auskunftsersuchens
• Prüfung der Erforderlichkeit einer Datenschutzfolgenabschätzung aufgrund der Datenübermittlung in ein Drittland
• Anpassung bestehender Verträge über Auftragsverarbeitungen (z.B. Personaldatenverarbeitung durch ein Konzernunternehmen in Großbritannien)

Einen guten Überblick zu der Thematik sowie weiterführende Hinweise bieten die Webseite des Landesdatenschutzbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg sowie der Bayerische Landesdatenschutzbeauftragte.

Für datenschutzrechtliche Fragen oder Fragen aus anderen Rechtsgebieten rund um den Brexit stehen wir Ihnen gerne zur Verfügung.