Brexit – Auswirkungen auf den Datenschutz

09. Juni 2021 - Minuten Lesezeit

Hintergründe zum Datenschutz beim Brexit

Die Entscheidung zum Brexit, welcher seit dem 1. Januar 2021 vollzogen ist, hat auch datenschutzrechtliche Auswirkungen.

Damit diese Auswirkungen auf den Datenschutz nicht zu hart und plötzlich ausfallen, wurde eine Übergangsfrist bis Ende Juni 2021 in Bezug auf die Datenübermittlung nach Großbritannien vereinbart. Bis dahin ist eine etwaige Datenübermittlung nach Großbritannien i.d.R. noch datenschutzkonform. Jedoch war unklar, was ab dem 01.07.2021 passiert? Wird ab jetzt jegliche Datenübermittlung nach bzw. aus Großbritannien rechtswidrig?

Obwohl Großbritannien im Jahr 2018 die Datenschutz-Grundverordnung durch den "Data Protection Act" in nationales Recht übernommen hat und somit theoretisch ein einheitliches Datenschutzniveau im Vergleich zu den restlichen europäischen Staaten unterstellt werden könnte, unterliegt Großbritannien faktisch seit Anfang 2021 nicht mehr der Kontrolle der EU.

Dadurch ist die Einhaltung der datenschutzkonformen (DSGVO-konformen) Verarbeitung von personenbezogenen Daten nicht mehr sichergestellt, was dazu führt, dass Großbritannien als außereuropäisches Land, also als so genanntes "Drittland" ähnlich wie die USA, China und Russland gelten würde.

Die Übermittlung von Daten in solche Drittländer ist nicht ohne weiteres möglich und an enge Vorgaben und Regeln geknüpft (Art. 44 DSGVO).

So-wirkt-sich-der-Brexit-auf-den-Datenschutz-in-der-EU-aus

Wodurch wird die Datenübermittlung in Drittländer dennoch ermöglicht (welche möglichen Rechtsgrundlagen gibt es)?

Der einfachste Weg wäre ein so genannter Angemessenheitsbeschluss - dies bedeutet, dass das Europäische Parlament dem Drittland (hier Großbritannien) attestieren würde, dass ein angemessenes Datenschutzniveau besteht.

Dies wurde bereits durch das Europäische Parlament geprüft und abgelehnt.

Jedoch hat die Europäische Kommission sich über diese Entscheidung hinweggesetzt und hat kurz vor knapp (am 28.06.2021) das Datenschutzniveau in Großbritannien als angemessen bewertet.

Das heißt, dass die Datenübermittlung von und nach GB weiterhin als „sicher“ bzw. DSGVO-konform gilt – analog der Datenverarbeitung innerhalb der EU. Dieser Angemessenheitsbeschluss wurde jedoch befristet auf vier Jahre. Danach bleibt abzuwarten, ob GB weiterhin als DSGVO-konformes Land gilt.

Wäre ein solcher Angemessenheitsbeschluss ausgeblieben, wären folgende Wege der rechtskonformen Datenübermittlung nach Großbritannien bzw. in Drittländer in Frage gekommen:

Nutzung von Standardvertragsklauseln (Art. 46, Abs. 2 lit. c DSGVO):
Bei Standardvertragsklauseln handelt es sich um vorgefertigte Vertragsklauseln, die den Vertragspartner verpflichten, die europäische DSGVO einzuhalten. Die aktuelle Rechtsprechung hat gezeigt, dass die alleinige vertragliche Regelung ohne weitere Überprüfung der tatsächlichen Einhaltung der Datenschutzvorgaben jedoch nicht ausreicht. Das bedeutet bei Nutzung der Standardvertragsklauseln als Rechtsgrundlage zur Übermittlung von Daten in Drittländer ist zum einen ein entsprechender Vertrag zu schließen (hierzu können Sie die aktuellste Version der Standardvertragsklauseln (Stand 04.06.2021) nutzen), und zum anderen ist eine Kontrolle des faktischen Datenschutzniveaus notwendig.

Einwilligung der betroffenen Person zur Datenübermittlung (Art. 49 Abs. 1 S. 1 lit. a DSGVO):

Bevor Daten nach Großbritannien übermittelt werden, kann man die Betroffenen um Einwilligung bitten. Hier gibt es festgelegte Kriterien für die Form der Einwilligung (Transparenz, einfache Sprache, Hinweis auf Risiken, Freiwilligkeit etc.), welche Sie nachweisen müssen. Etwaige Einwilligungen, welche bereits vor dem 30.06.2021 eingeholt wurden, müssen entsprechend erneuert werden.

Vertragliche Notwendigkeit des Datentransfers (Art. 49 Abs. 1 S. 1 lit. b DSGVO):

Für Leistungen, die in Großbritannien ausgeführt werden (Hotelbuchung o.ä.), ist ggfs. die Übermittlung von Daten erforderlich.

Vereinbarung von "Binding-Corporate-Rules":

Bei Binding-Corporate-Rules handelt es sich um unternehmensinterne Selbstverpflichtungen zum Datenschutz. Diese müssen von mehreren Datenschutzbehörden geprüft werden, damit sie wirksam werden.

Was ist für mich - als deutsches Unternehmen - hiervon überhaupt relevant?

Sofern Sie personenbezogene Daten an Unternehmen mit Sitz in Großbritannien senden, britischen Unternehmen Zugriff auf Ihre personenbezogenen Daten gewähren oder in indirekter Form britische Dienstleister oder Software, Tools o.Ä. von britischen Anbietern einsetzen, müssen Sie durch den Angemessenheitsbeschluss nichts weiter tun.

Konkrete Handlungsempfehlungen für Ihr Unternehmen bei Datentransfer in Drittländer

Schritt 1

Inventarisieren Sie alle Ihre Dienstleister und prüfen Sie, ob hierunter direkte Verbindungen zu britischen Unternehmen bestehen.

Prüfen Sie auch, ob Ihre Auftragnehmer bei der Erbringung ihrer Leistungen auf Services von britischen Unternehmen zurückgreifen. Hierzu ist ein Blick in den Dienstleistungsvertrag und - sofern vorhanden - in den Auftragsverarbeitungsvertrag notwendig oder sprechen Sie Ihre Dienstleister konkret hierauf an und bitten um diesbezügliche Informationen. Gegebenenfalls sollte auch auf der Webseite des Auftragnehmers recherchiert werden, ob dieser bei der Erfüllung seiner Aufgaben auf britische Dienste zurückgreift.

Schritt 2

Liefert Ihre Inventarisierung das Ergebnis, dass britische Dienste genutzt werden, sollte genauestens und unter strenger Abwägung geprüft werden, ob diese nicht gegen Dienstleister aus anderen Ländern mit einem angemessenen Datenschutzniveau ausgetauscht werden können. Sofern möglich und verhältnismäßig sollte die Verwendung solcher Dienste und Dienstleister aus Großbritannien eingestellt werden.

Schritt 3

Sollten weiterhin britische Dienste oder Dienstleister verwendet und eingesetzt werden, sollte Sie den Dienstleister oder Anbieter proaktiv kontaktieren und um Stellungnahme bitten, wie dieser mit den Folgen des Brexit umzugehen gedenkt und welche Schritte seiner Meinung nach notwendig sind, um eine rechtskonforme Datenverarbeitung zu gewährleisten. Es mag seltsam anmuten, aber auch an die großen Big Player sollten Sie eine solche schriftliche Anfrage richten und die Anfrage zum Nachweis abspeichern.

Schritt 4

Ergibt die Inventarisierung, dass Sie britische Dienste oder Dienstleister direkt (also ohne zwischengeschalteten Dienstleister) nutzen, und haben Sie hierzu einen Auftragsverarbeitungsvertrag oder ein Data Processing Agreement geschlossen, sollten Sie die Schließung der Standard Contractual Clauses (SCC) anregen (siehe oben), damit vorerst die Datenverarbeitung rechtskonform stattfinden kann.

Schritt 5

Sollten Sie aufgrund Ihrer Abwägung zu dem Schluss kommen, einige britische Dienste zu deaktivieren und/oder die Zusammenarbeit mit einigen britischen Dienstleistern nicht fortzuführen, teilen Sie dies bitte Ihrem Datenschutzbeauftragten mit. Sehr wahrscheinlich werden hieraus weitere Handlungen folgen, wie etwa das Anpassen der Informationspflichten und der Verzeichnisses von Verarbeitungstätigkeiten (VVT).

Sollten Sie weiterhin britische Dienste nutzen und mit dem Dienstleister auf Standardvertragsklauseln (SCC) umstellen, informieren Sie bitte ebenfalls den Datenschutzbeauftragten. Dieser prüft die SCC für Sie. Sehr wahrscheinlich sind auch in diesen Fällen weitere Handlungen erforderlich in Bezug auf die Anpassung der Informationspflichten, Datenschutzerklärung usw.

Insbesondere was die Verwendung von Tools von britischen Anbietern auf der Webseite betrifft, müssen eventuell Änderungen bei der Datenschutzerklärung vorgenommen werden. Jedoch können diese erst dann vorgenommen werden, wenn hierzu der Anbieter kontaktiert wurde und eventuelle technische Änderungen auf der Webseite vorgenommen wurden. Auch bei der Webseite gilt: Eruieren Sie zunächst, welche der eingesetzten Drittland-Dienste Sie unbedingt benötigen oder ob eine (zumindest vorübergehende Deaktivierung der Tools) möglich und für Sie sinnvoll ist.

Schritt 6

Gemeinsam müssen Unternehmen - sowohl Auftraggeber als auch Auftragnehmer - und Datenschutzbeauftragte die weitere Entwicklung beobachten, insbesondere wie Behörden, Branchen- und Interessenvereinigungen und die betroffenen Drittland-Unternehmen in nächster Zeit vorgehen und was sie raten werden.

Fazit

In aller letzter Minute wurde der Datentransfer von und nach Großbritannien datenschutzkonform gestaltet. Der Unternehmer muss somit keine weitergehenden, vertraglichen Regelungen schließen. Bei Datentransfers in Drittländer (z.B. USA, China oder Russland) lautet unsere Empfehlung jedoch:

Bleiben Sie nicht untätig!

Befolgen Sie mindestens die oben beschriebenen Schritte und dokumentieren Sie diese. Sollten Sie Handlungsempfehlungen aus Ihrer Branche oder von Interessensvereinigungen erhalten, leiten Sie diese zur Prüfung an Ihren Datenschutzbeauftragten weiter und besprechen mit ihm die Umsetzung. 

Katrin Dahmen

Katrin Dahmen
Weitere blogartikel
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

>