Nach dem Brexit gilt das Vereinigte Königreich als Drittland, sodass für eine Datenübermittlung bestimmte Voraussetzungen vorliegen müssen.
Auswirkungen des Brexits auf die Datenübermittlung in das Vereinigte Königreich
Einleitung
Im Rahmen des bevorstehenden Austritts des Vereinigten Königreichs aus der EU (Brexit, voraussichtlich bis spätestens 31.01.2020) ist die Frage nach den Auswirkungen und Änderungen auf die rechtliche Beurteilung von Datenübermittlungen aus der EU an Unternehmen im Vereinigten Königreich von besonderer Bedeutung. Der britische Premierminister Boris Johnson und die EU Staaten haben sich am 17.10.2019 auf ein neues Abkommen geeinigt, dieses muss jedoch noch vom britischen Parlament abgesegnet werden. Bisher kam es im britischen Parlament nicht zu einer absoluten Mehrheit für Johnsons Brexit Deal. Das Parlament stimmte am 29.10.2019 aber einer Neuwahl zu, welche voraussichtlich am 12.12.2019 stattfinden soll. Am 06.11.2019 wurde das britische Parlament nun aufgelöst. Johnson hofft, dass ein neues Parlament seinem Brexit Deal zustimmt.
Im Rahmen des aktuellen Abkommens verpflichten sich die Parteien zur Gewährleistung eines hohen Schutzniveaus personenbezogener Daten, um den Datenfluss zwischen ihnen zu erleichtern. Es soll zudem einen Übergangszeitraum geben, in dem das Vereinigte Königreich zwar nicht Mitglied der EU ist, sich aber an dessen Richtlinien und Verordnungen halten muss. Des Weiteren soll die Europäische Kommission nach dem Austritt des Vereinigten Königreichs aus der EU mit Prüfungen über ein angemessenes Schutzniveau beginnen um spätestens bis Ende 2020 einen Angemessenheitsbeschluss vorbringen zu können.
In Ermangelung eines bisher geschlossenen Austrittsabkommens zwischen der EU und dem Vereinigten Königreich besteht weiterhin die „Gefahr“ eines ungeregelten Brexits (No-Deal-Brexit). Sobald das Vereinigte Königreich aus der Europäischen Union ausgetreten ist, gilt es als Drittland im Sinne der Datenschutz-Grundverordnung (DS-GVO). Folglich darf eine Datenübermittlung nur unter bestimmten weiteren Voraussetzungen stattfinden. Ziel dieser weiteren Voraussetzungen ist die Erhaltung eines mit der EU vergleichbaren Datenschutzniveaus, wenn personenbezogene Daten an das Vereinigte Königreich übermittelt werden.
Datenübermittlungen aus der EU/dem EWR in das Vereinigte Königreich
Die Zulässigkeitsprüfung einer Datenübermittlung an ein Unternehmen mit Sitz in einem Drittland erfolgt zweistufig. Zunächst müssen die Verarbeitung und Weitergabe der personenbezogenen Daten an sich zulässig sein. Des Weiteren muss der Datentransfer an ein Drittland gerechtfertigt sein. Eine Rechtfertigung des Auslandstransfers bilden die Art. 44 ff. DS-GVO. Ein Datentransfer in ein Drittland ist demnach stets zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO erlässt, welcher besagt, dass das jeweilige Drittland über ein angemessenes, mit dem EU-Recht vergleichbares Datenschutzniveau verfügt. Die bisherigen Angemessenheitsbeschlüsse der EU Kommission stammen noch aus der Zeit vor der DS-GVO, bilden aber dennoch weiterhin wirksame Rechtfertigungen für einen Auslandsdatentransfer.
Mangels Angemessenheitsbeschlusses der EU für das Vereinigte Königreich, müssen sog. „geeignete Garantien“ gemäß Art. 46 DS-GVO getroffen werden, um einen Datentransfer zu ermöglichen. Hierzu kann sich verschiedener Datentransferinstrumente bedient werden. Es obliegt den Verantwortlichen und Auftragsverarbeitern zu überprüfen, welche Mechanismen zur Datenübermittlung in das Vereinigte Königreich in der jeweiligen Situation am besten geeignet sind.
Standarddatenschutzklauseln
In Betracht kommen zunächst Standarddatenschutzklauseln. Derzeit sieht die EU Kommission drei Zusammenstellungen von Standarddatenschutzklauseln vor, welche die Datenübermittlung von einem Verantwortlichen in einem EU-Land an einen Verantwortlichen oder einen Auftragsverarbeiter in einem Drittland regeln (2001/497/EG, 2004/915/EG, 2010/87/EG). Diese Klauseln können sodann in (auch bereits bestehende) Verträge eingebaut werden. Wichtig ist, dass diese Klauseln nicht abgeändert werden dürfen; sie müssen genauso übernommen und unterzeichnet werden, wie die Kommission sie genehmigt hat. Die Standarddatenschutzklauseln stammen aus der Zeit vor der DS-GVO, sind jedoch so lange wirksam, bis die EU Kommission sie durch einen Beschluss ändert, ersetzt oder aufhebt.
Verbindliche interne Datenschutzvorschriften (BCRs)
Des Weiteren können Unternehmensgruppen, d.h. multinationale Konzerne, verbindliche interne Datenschutzvorschriften verwenden, welche einen angemessenen Datenschutz innerhalb der Gruppe gewährleisten. Die Unternehmensgruppen verpflichten sich dadurch zur Bereitstellung geeigneter Garantien für die Übermittlung von personenbezogenen Daten, auch außerhalb der EU/des EWR. Bereits bestehende, nach der früheren Richtlinie 95/46/EG genehmigte, verbindliche interne Datenschutzvorschriften bleiben unter der DS-GVO wirksam und gelten als geeignete Garantien im Sinne des Art. 46 DS-GVO. Sie müssen jedoch an einigen Stellen aktualisiert werden, um den Voraussetzungen der DS-GVO vollständig zu entsprechen. Zukünftige verbindliche interne Datenschutzvorschriften bedürfen einer Genehmigung der zuständigen nationalen Aufsichtsbehörde, nachdem der Europäische Datenschutzausschuss (EDSA) Stellung genommen hat.
Verhaltensregeln und Zertifizierungsmechanismen
Zudem besteht die Möglichkeit, Datentransfers auf Grundlage von branchenspezifischen Verhaltensregeln nach Art. 40 DS-GVO zu legitimieren, soweit diese über rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters verfügen und von der zuständigen Aufsichtsbehörde genehmigt wurden, Art. 46 Abs. 2 lit. e DS-GVO. Dasselbe gilt für Zertifizierungen, Art. 46 Abs. 2 lit. f, 42 DS-GVO.
Bisher gibt es noch keine Präzisierung des Inhalts der Verhaltenskodizes und Zertifizierungsmechanismen im Hinblick auf rechtliche Rahmenbedingungen und Verfahrensfragen; es ist sodann auf Leitlinien der europäischen Aufsichtsbehörden zu warten.
Ad-hoc-Vertragsklauseln
Ad-hoc-Datenschutzklauseln können zwischen den jeweiligen Vertragspartnern (der EU/dem EWR und dem Vereinigten Königreich) individuell ausgehandelt werden, sodass sie in der jeweiligen Situation angemessene Garantien für die Datenübermittlung bilden. Diese müssen vor einem Datentransfer jedoch vom Europäischen Datenschutzbeauftragten (EDSB) genehmigt werden. Sofern Standarddatenschutzklauseln geändert werden, werden sie zu Ad-hoc-Vertragsklauseln.
Ausnahmen
Im Einzelfall können auch Ausnahmeregelungen gemäß Art. 49 DS-GVO greifen. Dies ist beispielweise bei einer vorherigen informierten Einwilligung oder einer Datenübermittlung zur Erfüllung eines Vertrages der Fall. Diese Ausnahmen sind sehr eng auszulegen und gelten in der Regel nur bei gelegentlichen und sich nicht wiederholenden Datenübermittlungen.
Fazit
Bis zum Austritt des Vereinigten Königreichs aus der EU sind von europäischen Unternehmen, welche im Rahmen ihrer wirtschaftlichen Tätigkeit personenbezogene Daten in das Vereinigte Königreich übermitteln, Vorkehrungen zu treffen, welche einen ausreichenden Schutz der Daten im Sinne der DS-GVO gewährleisten. Hierzu kann sich je nach Einzelfall verschiedener Datentransferinstrumente bedient werden, bis es zu einem Angemessenheitsbeschluss der EU Kommission für das Vereinigte Königreich gekommen ist.
Wir unterstützen Sie gerne bei der Bewältigung der mit dem Brexit einhergehenden datenschutzrechtlichen Herausforderungen.