Das Referendum von 2016 ist unvergessen: die Mehrheit der Wähler des Vereinigten Königreiches (UK) entscheidet sich für einen Austritt UKs aus der Europäischen Union. Im November 2018 erschien dann der 585 Seiten umfassende Entwurf des Austrittsabkommens. Diese Ausmaße zeigt bereits, welch enormen Stellenwert der EU Austritt der UK auf die Welt hat. In vielen Bereichen hält der mögliche Brexit nun Einzug und die damit verbundenen Folgen sind auch im europäischen Datenschutz spürbar.
Was geschieht bei einem Austritt UKs aus der EU im Bezug auf den Datenschutz?
Wenn das Vereinigte Königreich England (UK) am 30. März 2019 aus der Europäischen Union (EU) austritt, wird es im Sinne der Datenschutz-Grundverordnung (DSGVO) zu einem „Drittland“.
Unter „Drittland“ versteht man in der DSGVO, Länder außerhalb der EU. Dies bedeutet für alle Unternehmen und andere Einrichtungen der EU, dass sie bei gemeinsamen Aktionen mit der UK die Regelungen für Datenübermittlungen in Drittländer berücksichtigen und somit ihre Dokumente entsprechend überarbeiten müssen. Ein einfacher Vertrag zur Auftragsverarbeitung ist in solch einem Fall nicht mehr ausreichend.
Wer ist vom Brexit im Datenschutz betroffen?
Ob auch Sie bzw. Ihr Unternehmen davon betroffen ist, kann die Beantwortung folgender Fragen klären:
- Arbeiten Sie mit weisungsgebundenen Dienstleistern oder sonstige Kooperationspartner zusammen, die ihren Unternehmenssitz in UK haben oder dort zumindest Daten abspeichern?
- Hat Ihr Unternehmen selbständige oder unselbständige Niederlassungen bzw. Vertriebsmitarbeiter in UK?
- Setzt ein Dienstleister/Auftragsverarbeiter Subdienstleister in UK ein?
- Nutzen Sie SaaS-Dienste (z. B. Online-Tools) aus UK?
Können Sie eine dieser Fragen mit „Ja“ beantworten, müssen Maßnahmen zur Sicherstellung des Datenschutzniveaus getroffen werden.
Welche Maßnahmen müssen Sie ergreifen bzw. welche Regularien müssen Sie beachten?
Um auf den möglichen BREXIT, und den damit verbundenen Folgen, vorbereitet zu sein, sollten Sie sich jetzt schon mit den Möglichkeiten beschäftigen und die Datenschutzmaßnahmen vorbereiten.
1. Datenübermittlung in ein Drittland
Sollten Sie personenbezogene Daten in ein Drittland übermitteln, muss sichergestellt sein, dass auch in dem Zielland (in diesem Falle UK) ein angemessenes Datenschutzniveau vorherrscht.
Hierzu wird die Zulässigkeit der Datenübermittlung in Drittstaaten in 2 Stufen geprüft:
- Ist die Datenübermittlung als solche nach nationalen Datenschutzvorschriften zulässig?
Die Drittländer werden zwischen sicheren und unsicheren Drittländern unterschieden. Unter sicheren Drittländern versteht man Länder, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. An diese ist die Datenübermittlung ausdrücklich erlaubt, weil dort gewährleistet ist, dass die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist, haben. Zum Zeitpunkt der Anwendbarkeit der Datenschutz-Grundverordnung gehören zu den sicheren Drittstaaten: Andorra, Argentinien, Australien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die USA (wenn der Empfänger dem Privacy Shield angehört). Die UK haben sich zwar der DSGVO angeschlossen und somit auch zugesichert, trotz möglichem Austritt aus der EU, diese weiterhin umzusetzen. Allerdings besteht bei einem ungeregeltem Austritt Großbritanniens aus der EU kein Abkommen.
2. Prüfung, ob im Zielstaat ein angemessenes Datenschutzniveau eingehalten wird.
Falls das Zielland nicht zu den nach DSGVO sicheren Ländern gehört und somit kein Angemessenheitsbeschluss vorliegt, ist der Datentransfer natürlich nicht grundsätzlich ausgeschlossen. In diesem Fall müssen nur zusätzliche Maßnahmen berücksichtigt werden, damit die sichere Verarbeitung personenbezogener Daten gewährleistet ist.
Mögliche Maßnahmen zum abgesicherten Datenaustausch wären der Einsatz von Standarddatenschutzklauseln (EU Model Contract Clauses) oder Binding Corporate Rules (interne Regeln eines Unternehmens, die von einer Aufsichtsbehörde genehmigt wurden). Hierbei verpflichten sich Unternehmen, außerhalb des Angemessenheitsbeschlusses, zur Einhaltung von Verhaltensregeln, die von der Kommission für allgemein gültig erklärt worden sind oder die durch die Zertifizierung des Verarbeitungsvorgangs oder der Einwilligung der Betroffenen als genehmigt gelten.
2. Anpassung der Datenschutz-Informationen
Die Datenschutzerklärungen müssen aktualisiert werden. Die Unternehmen sind laut Gesetz verpflichtet, über die Absicht der Datenübermittlung in ein Drittland gesondert zu informieren. Dies geschieht beispielsweise durch einen zusätzlichen Passus in der Datenschutzerklärung zum Thema Übermittlung in Drittländer. Das gilt auch für gruppeninterne Datentransfers oder wenn einzelne unselbständige Vertriebsmitarbeiter Daten europäischer Bürger erhalten können.
Grundsätzlich müssen die Übermittlungen in Drittländer in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Außerdem können jegliche Änderungen in der Datenverarbeitung eines Unternehmens im Zusammenhang mit der Einwilligung der betroffenen Person zusammenhängen. In diesen Fällen müssen die Betroffenen über die Änderungen und die bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet werden. Ggf. müssten Einwilligungserklärungen daher ergänzt und dann neu eingeholt werden.
Wenn das Unternehmen eine Niederlassung/Vertriebsmitarbeiter in UK beschäftigt, kann es zudem erforderlich werden, dass bis zum Stichtag ein Vertreter nach Art. 27 DSGVO innerhalb der EU bestellt werden muss. Dies gilt jedoch nur, wenn auf die UK-Mitarbeiter Daten von EU-Bürger verarbeiten.
Haben Sie noch Fragen zu den Folgen des Brexits auf den Datenschutz oder benötigen Sie Hilfe bei der Umsetzung dieses Themas in Ihrem Unternehmen? Ich berate Sie gerne und übernehme auch die komplette Erstellung und Überarbeitung der Dokumente gemeinsam mit Ihnen. Schreiben Sie mir einfach eine E-Mail: info@litc.de