Brexit: Deal or No-Deal

Datenschutz

von Mariusz Bucki

Der Brexit rückt immer näher und ein Austritt von Großbritannien und Nordirland (UK - United Kingdom) aus der Europäischen Union (EU) scheint weiterhin unvermeidbar zu sein. Der Brexit erfolgt dann entweder geregelt (Brexit-Deal) oder ungeregelt (No-Deal-Brexit). Wie sich die Ausstiegs-Szenarien des UK auf den Datenschutz in der EU auswirken, soll im Folgenden kurz erläutert werden.

1. Brexit-Deal (geregelter Austritt):

Für den Fall des geregelten Austritts bleibt die DSGVO weiterhin im UK anwendbar. Der aktuelle Entwurf des Austrittsabkommens zwischen der EU und dem UK sieht zumindest eine Übergangsfrist bis zum Ende des Jahres 2020 vor. Bis dahin wird das UK weiterhin als EU-Mitgliedsstaat behandelt.

Der Übergangszeitraum könnte der EU-Kommission ausreichend Zeit verschaffen, um ggf. einen Angemessenheitsbeschluss für das Datenschutz-Niveau im UK auszusprechen, sodass keine zusätzlichen Maßnahmen für die Datenverarbeitung in UK erforderlich sein dürften.

2. No-Deal-Brexit (ungeregelter Austritt):

Viel wahrscheinlicher erscheint derzeit ein ungeregelter Austritt des UK aus der EU. In diesem Fall wird das UK zu einem Drittland im Sinne der DSGVO. Für die Datenverarbeitung im UK werden zusätzliche Anforderungen zu erfüllen sein.

a. Werden personenbezogene Daten im UK verarbeitet?

  • Eigene Niederlassung im UK?
  • Dienstleister im UK?
  • Auftragsverarbeiter und/oder Unter-Auftragsverarbeiter im UK (AV-Vertrag)?
  • Konzern-Gesellschaft im UK?

b. Welche Werkzeuge werden für die Datenverarbeitung im UK benötigt?

Sollte eine der o.g. Fragen mit „Ja“ beantwortet werden, kommt aufgrund der Praxis-Relevanz vor allem der Abschluss von EU-Standardvertragsklauseln (Datenschutz) mit der Daten-empfangenden Stelle in Betracht. Solche EU-Standardvertragsklauseln finden sich auch in den Vertragswerken großer Dienstleister mit Sitz außerhalb der EU wieder, z.B. Microsoft.

Vorlage für Verantwortliche <-> Auftragsverarbeiter (Controller <-> Processor)

Vorlage für Verantwortliche <-> Verantwortliche (Controller <-> Controller)

Die Vorlagen dürfen grundsätzlich nicht angepasst / verändert werden. Es empfiehlt sich jedoch im Falle einer (Unter-)Auftragsverarbeitung im UK die EU-Standardvertragsklauseln um aktuelle Anforderungen, wie dem genehmigungspflichtigen Einsatz von Unter-Auftragsverarbeitern, in einer Zusatzvereinbarung zu ergänzen. Die EU-Standardvertragsklauseln sind (leider) seit der Wirksamkeit der DSGVO noch nicht durch die EU-Kommission aktualisiert worden. Ihr Einsatz ist jedoch weiterhin zulässig.

Weitere, jedoch weniger Praxis-relevante Werkzeuge sind:

  • Verbindliche interne Datenschutzvorschriften, besser bekannt als Binding Corporate Rules (BCR), diese sind jedoch durch die Datenschutz-Aufsichtsbehörde zu genehmigen
  • Einwilligung der betroffenen Person
  • Notwendig zur Erfüllung (vor-)vertraglicher Maßnahmen auf Antrag der betroffenen Person,
  • sowie weitere Ausnahmefälle gem. 49 DSGVO.

3. Weitere Maßnahmen im Zusammenhang mit dem Brexit:

Unabhängig von einem (un-)geregeltem Austritt des UK aus der EU, müssen folgende Maßnahmen ebenfalls eingeleitet werden:

  • Anpassung vorhandener Datenschutzerklärungen (Datenschutz-Hinweise), z.B. durch Einsatz von (IT-)Dienstleistern im Zusammenhang mit den eigenen Webseiten, des Beschäftigungsverhältnisses oder Kundenverträgen (Empfänger in Drittländern)
  • Anpassung von Vorlagen für das Auskunftsersuchen
  • Anpassung der Verarbeitungsübersicht
  • Für Verantwortliche oder Auftragsverarbeiter mit Sitz im UK könnte es zudem erforderlich werden, einen Vertreter gem. 27 DSGVO innerhalb der EU zu benennen, sofern der räumliche Anwendungsbereich gem. Art. 3 Abs. 2 DSGVO erfüllt wird. Dies sollten vor allem Konzerne mit Gesellschaften im UK berücksichtigen.

4. Fazit

Verantwortliche sollten prüfen, ob eine Datenverarbeitung im UK stattfindet und die zuvor genannten Maßnahmen einleiten. Sollten die Datenschutz-Anforderungen nicht erfüllt werden, könnten die zuständigen Aufsichtsbehörden die Aussetzung einer Datenverarbeitung (Übermittlung personenbezogener Daten) in das UK anordnen und Geldbußen verhängen.

Zusätzliche Informationen:

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 08.03.2019 (DSK - Informationen zum Brexit).

Zurück