Europäischer Datenschutzausschuss informiert zu Datentransfer nach Großbritannien im Falle eines ungeordneten Brexit

19.02.2019

In wenigen Tagen wird Großbritannien aus der EU austreten und die Wahrscheinlichkeit eines ungeordneten Brexit steigt mit jedem weiteren Tag, welcher ohne einen „Deal“ vergeht. Gerade erst ist Theresa May im Parlament mit einer Beschlussvorlage gescheitert, die sowohl ein Mandat für Nachverhandlungen am Brexit Deal als auch eine Absage an den EU-Austritt ohne Abkommen bestätigen sollte.

Bildrechte: 7razer – fotolia.com

Unternehmen sind somit gut beraten, sich schnellstmöglich auf das Szenario eines ungeregelten Brexit vorzubereiten. In diesem Falle wird Großbritannien datenschutzrechtlich gesehen zu einem Drittland, in welches Datentransfers nur unter bestimmten Voraussetzungen möglich sind. Eine Hilfestellung, um Datentransfers zukünftig rechtmäßig durchführen zu können, bietet die „Information note on data transfers under the GDPR in the event of a no-deal Brexit“ des Europäischen Datenschutzausschusses. Danach sind im Bereich des Datenschutzes verschiedene Anpassungen vorzunehmen, um auch künftig Daten rechtmäßig nach Großbritannien übermitteln zu können. Dies gilt sowohl für Datentransfers innerhalb eines Unternehmens, im Konzern als auch an dritte Unternehmen.

1. Prüfung der betroffenen Daten und Personen

Zunächst sollte im Unternehmen geprüft werden, ob und welche Daten nach Großbritannien übermittelt werden. Dabei sind auch „exotische“ Themen, wie z.B. Reisebuchungen für Mitarbeiter, nicht zu vergessen. Da diese wichtige Vorarbeit aus unserer Erfahrung einige Zeit in Anspruch nimmt, sollten Unternehmen unverzüglich mit dieser Prüfung beginnen.

Erst wenn bekannt ist, welche Daten zu welchem Zweck nach Großbritannien übermittelt werden, können die weiteren notwendigen Maßnahmen ergriffen werden.

2. Geeignete Garantien für den Transfer

Das Problem im Hinblick auf den Austritt von Großbritannien ist die knapp verbleibende Zeit, um angemessene Maßnahmen zu ergreifen. Aus diesem Grund wird zum Beispiel ein viele Vorteile bringender Angemessenheitsbeschluss der Europäischen Kommission vor dem 30. März 2019 nicht mehr herbeizuführen sein. Auch wenn ein solcher wohl in der Zukunft ergehen wird, müssen sich Unternehmen bis zum Beschluss mit anderen Mitteln behelfen.

Diese Mittel ergeben sich aus der DSGVO direkt. Entweder ist eine der in Art. 49 DSGVO genannten Ausnahmen einschlägig oder der Empfänger gewährleistet durch geeignete Garantien ein angemessenes Datenschutzniveau. Die Ausnahmevorschriften der DSGVO sind allerdings eng auszulegen und nur in den explizit genannten Fällen einschlägig.

Konzerne, welche bereits über Binding Corporate Rules verfügen, können den Transfer nach Großbritannien innerhalb des Konzerns zukünftig einfach auf diese stützen. Um neue Binding Corporate Rules innerhalb des Konzerns zu vereinbaren, ist die verbleibende Zeit allerdings ebenfalls zu knapp.

Jedoch verbleiben weitere Möglichkeiten, Datentransfers auch kurzfristig rechtmäßig durchzuführen, sofern die Ausnahmevorschriften der DSGVO nicht greifen. Zunächst kommt der Abschluss der sogenannten Standarddatenschutzklauseln in Betracht. Dies sind von der Europäischen Kommission veröffentlichte Musterklauseln für verschiedene Szenarien (Auftragsverarbeitung oder Transfer zwischen zwei Verantwortlichen). Die Standarddatenschutzklauseln dürfen durch die Parteien allerdings nicht verändert werden. Im Falle der Änderung der Klauseln gelten diese als Individualvertrag, welcher durch die zuständige Aufsichtsbehörde zu genehmigen ist.

In Einzelfällen kann der Transfer auch auf eine Einwilligung der betroffenen Person gestützt werden. Für einen regelmäßigen Datentransfer eignet sich die Einwilligung aber sicherlich – wie auch schon bislang – nicht.

3. Weitere notwendige Anpassungen

Neben der Absicherung des eigentlichen Transfers müssen im Unternehmen weitere Punkte berücksichtigt werden, um eine Datenschutz-Compliance herzustellen:

  • Anpassung der Datenschutzinformationen nach Art. 13/14 DSGVO sowie sämtlicher Dokumente, welche entsprechende Informationen enthalten
  • Anpassung der betroffenen Verarbeitungsverzeichnisse
  • Anpassung des Auskunftsprozesses nach Art. 15 DSGVO
  • Eventuell erstmalige Durchführung einer Datenschutzfolgenabschätzung

Diese Anpassungen sollten in Abstimmung mit fachkundigen Experten durchgeführt werden, da der Drittlandtransfer besondere datenschutzrechtliche Problemstellungen birgt.

Praxistipp:

Jede verantwortliche Stelle, welche personenbezogene Daten aus einem Mitgliedstaat der EU nach Großbritannien übermittelt, muss sich spätestens jetzt auf einen ungeordneten Brexit vorbereiten, um die Einhaltung des Datenschutzrechts auch nach dem 29. März 2019 gewährleisten zu können. Dies empfiehlt auch der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Anderenfalls drohen Verfahren der Aufsichtsbehörden und Bußgelder.