Noch gilt die EU-DSGVO auch in Großbritannien. Mit dem geplanten Austritt aus der Europäischen Union (EU) ändern sich auch die Vorgaben für die Übermittlung personenbezogener Daten zwischen den Mitgliedsstaaten der EU und Großbritannien.
Nach den Abstimmungen über den Brexit im britischen Unterhaus in der letzten Woche ist nach wie vor unklar, nach welchen Bedingungen und zu welchem Zeitpunkt der Austritt aus der EU vollzogen werden soll. Der sogenannte “harte Brexit”, also ein Austritt ohne Austrittsabkommen, kann immer noch nicht ausgeschlossen werden. Es gilt sich für diesen Fall datenschutzrechtlich zu wappnen.
I. Rechtslage bei einem “harten Brexit”
Kommt es zu einem “harten Brexit”, so gilt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Großbritannien nicht mehr und Großbritannien wird zum Drittland i. S. d. Artt. 44 ff. EU-DSGVO. Eine Übermittlung personenbezogener Daten nach Großbritannien sowie die Datenverarbeitung durch dort ansässige Verantwortliche im Wege der Auftragsdatenverarbeitung wäre dann nicht mehr so wie unter Geltung der EU-DSGVO möglich. Vielmehr müssen für den Datentransfer neben den allgemeinen Voraussetzungen der EU-DSGVO auch die zusätzlichen Anforderungen der Artt. 44 ff. EU-DSGVO (Datenübermittlung an Drittländer oder an internationale Organisationen) eingehalten werden.
Weiterführende Ausführungen zu den Voraussetzungen für einen rechtmäßigen Datentransfer in ein Drittland finden sich in dem Kurzpapier Nr. 4 der Datenschutzkonferenz (DSK) vom 17.12.2018 unter https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf.
Von den rechtlichen Folgen eines “harten Brexits” betroffen sind alle nicht öffentliche Stellen (wie z. B. Unternehmen), die personenbezogene Daten an andere Unternehmen oder selbständige oder unselbständige Niederlassungen in Großbritannien übermitteln. Darüber hinaus sind auch europäische Auftragsverarbeiter, die personenbezogene Daten für einen Verantwortlichen mit Sitz in Großbritannien verarbeiten, von der neuen Rechtslage erfasst. Dies gilt auch, wenn ein beauftragter europäischer Dienstleister Subunternehmer mit Sitz in Großbritannien einsetzt.
II. Maßnahmen zur Sicherstellung eines angemessenen Datenschutzniveaus
Da mit einem “harten Brexit” die bislang noch geltenden Regelungen für eine Übermittlung von personenbezogenen Daten nach Großbritannien von einem Tag auf den anderen nicht mehr anwendbar sind, müssen Verantwortliche ab dem Tage des Austritts zusätzliche Maßnahmen für die Sicherstellung eines angemessenen Datenschutzniveaus ergreifen. Da es als sicher gilt, dass ein Angemessenheitsbeschlusses der europäischen Kommission nach Art. 45 EU-DSGVO, welcher Großbritannien ein angemessenes Datenschutzniveau attestieren könnte, nicht vor dem 30. März 2019 erlassen wird, müssen Verantwortliche für einen rechtskonformen Datentransfer nach Großbritannien andere geeignete Garantien schaffen.
Die in der Praxis relevanteste Maßnahme zur Sicherstellung eines angemessenen Datenschutzniveaus ist der Abschluss von EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c EU-DSGVO. Auf diesem Weg können personenbezogene Daten rechtskonform in ein Drittland übermittelt werden, ohne dass es einer besonderen Genehmigung durch die Aufsichtsbehörden bedarf. Diese von der EU-Kommission zur Verfügung gestellten Standardvertragsklauseln finden sich unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087.
Weitere Maßnahmen für einen sicheren Datentransfer in ein Drittland wie z.B. “Binding Corporate Rules” (BCR) nach Art. 47 EU-DSGVO oder genehmigte Verhaltensregeln oder Zertifizierungen nach den Artt. 40 f. EU-DSGVO scheiden in der Regel aus, da diese nicht kurzfristig umgesetzt werden können.
Ausführlichere Hinweise zum Thema Datentransfer und Brexit finden sich auf der Brexit-Themenseite der Website des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz unter https://www.datenschutz.rlp.de/de/themenfelder-themen/brexit/
III. Weitere Anpassungen im Hinblick auf die EU-DSGVO
Auch in anderer Hinsicht müssen bei einem “harten Brexit” Anpassungen vorgenommen werden:
Nach Art. 13 Abs. 1 lit. f und Art. 14 Abs. 1 lit. f EU-DSGVO muss über die Absicht der Übermittlung personenbezogener Daten in ein Drittland gesondert informiert werden. Insofern müssen die Hinweise über Datenverarbeitung im Unternehmen angepasst werden, wenn eine Datenübermittlung nach Großbritannien stattfindet oder stattfinden soll.
Im Verzeichnis über Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gem. Art. 30 Abs. 1 lit. d und e EU-DSGVO bzw. Art. 30 Abs. 2 lit. c EU-DSGVO als solche zu bezeichnen. Die in diesem Zusammenhang weiteren Angaben sind ebenfalls zu ergänzen.
Nicht abschließend geklärt ist, ob eine Datenschutzfolgeabschätzung für eine Übermittlung in Drittländer vorzunehmen ist. So geht der Landesdatenschutzbeauftragte von Rheinland-Pfalz davon aus, dass bei einem Datentransfer in ein Drittland ggf. eine Datenschutzfolgeabschätzung erstmals durchzuführen ist oder bereits erfolgte Datenschutzfolgeabschätzungen zu überprüfen sind.
