Datentransfer in das Vereinigte Königsreich im Falle eines ungeordneten Brexit

Franziska Ladiges - 26. März 2019 - IT

Rund um den Brexit gibt es noch immer keine Einigung. Derzeit ist nicht einmal sicher, wann und ob überhaupt das Vereinigte Königreich (UK) die EU verlässt. Nachdem das britische Parlament für eine Verschiebung des Austrittsdatums votiert hat, legte sich auch die EU bei ihrem Gipfel in Brüssel fest: Sollte das britische Unterhaus dem Brexit-Deal zustimmen, tritt Großbritannien am 22. Mai 2019 aus der EU aus. Bei einem erneuten Nein muss die Regierung bis zum 12. April 2019 erklären, wie es weitergehen soll. Das britische Unterhaus scheint jedoch andere Pläne zu haben. Am 25. März 2019 hat es über das weitere Vorgehen abgestimmt: Gegen den Willen der Regierung wird am 27. März 2019 über Alternativen zum Brexit-Abkommen abgestimmt. Die Gefahr eines Brexits ohne Deal bleibt somit weiterhin bestehen.

Unternehmen sind somit gut beraten, sich zeitnah auf das Szenario eines ungeregelten Brexit vorzubereiten. Vor allem die Prüfung der betroffenen Daten kann je nach Unternehmensgröße einen großen Zeitaufwand mit sich bringen. Im Fall eines ungeordneten Brexit wird das UK datenschutzrechtlich gesehen zu einem Drittland, in welches Datentransfers nur unter bestimmten Voraussetzungen möglich sind (vgl. Art. 44 ff. DSGVO).

Eine Hilfestellung, um sich aus Sicht eines europäischen Unternehmens datenschutzrechtlich auf einen ungeordneten Brexit vorzubereiten, bietet die "Information note on data transfers under the GDPR in the event of a no-deal Brexit" des Europäischen Datenschutzausschusses. Danach sind im Bereich des Datenschutzes verschiedene Aufgaben zu erfüllen, um auch künftig personenbezogene Daten rechtmäßig nach Großbritannien übermitteln zu können. Dies gilt sowohl für Datentransfers innerhalb eines Unternehmens, im Konzern als auch an dritte Unternehmen.

1. Prüfung der betroffenen Daten und Personen

Der erste Schritt dürfte auch der zeitaufwändigste Schritt sein. Zunächst muss im eigenen Unternehmen geprüft werden, ob und welche Daten zu welchem Zweck nach Großbritannien übermittelt werden. Dabei sind auch „exotische“ Themen, wie z. B. Reisebuchungen für Mitarbeiter nicht zu vergessen. Da diese wichtige Vorarbeit aus unserer Erfahrung jedoch einige Zeit in Anspruch nimmt, sollten Unternehmen unverzüglich mit dieser Prüfung beginnen.

Ohne eine solche Übersicht können die nächsten Schritte nicht zielgerichtet ausgeführt werden. In größeren Unternehmen sollte eine Person / ein Personenkreis bestimmt werden, welcher sich um das Thema Brexit und die daraus resultierenden Aufgaben kümmert.

2. Geeignete Garantien für den Transfer

Das Problem im Hinblick auf den Austritt von Großbritannien ist die knapp verbleibende Zeit, um angemessene Maßnahmen zu ergreifen. Aus diesem Grund wird zum Beispiel ein viele Vorteile bringender Angemessenheitsbeschluss der Europäischen Kommission vor dem 30. März 2019 (oder zu einem Zeitpunkt noch in diesem Jahr) nicht mehr herbeizuführen sein. Auch wenn ein solcher wohl in der Zukunft ergehen wird, müssen sich Unternehmen bis zum Beschluss mit anderen Mitteln behelfen, um auch nach dem Brexit Daten in das UK übermitteln zu dürfen.

Diese Mittel ergeben sich aus der DSGVO direkt. Entweder ist eine der in Art. 49 DSGVO genannten Ausnahmen einschlägig oder der Empfänger gewährleistet durch geeignete Garantien ein angemessenes Datenschutzniveau. Bei den Ausnahmevorschriften ist zu beachten, dass diese allerdings sehr eng auszulegen und nur in den explizit genannten Fällen einschlägig sind. Im Zweifel sollte der Datenschutzbeauftragte oder ein sonstiger Experte befragt werden. Die Annahme eines Ausnahmetatbestands ist zu dokumentieren.

Konzerne, welche bereits über Binding Corporate Rules verfügen, können den Transfer nach Großbritannien innerhalb des Konzerns zukünftig einfach auf diese stützen. Um neue Binding Corporate Rules innerhalb des Konzerns zu vereinbaren, ist die verbleibende Zeit allerdings ebenfalls viel zu knapp. Der Abstimmungsprozess im Konzern und mit den Aufsichtsbehörden nimmt nach unseren Erfahrungen mindestens anderthalb Jahre in Anspruch.

Jedoch verbleiben weitere Möglichkeiten, Datentransfers auch kurzfristig rechtmäßig durchzuführen, sofern die Ausnahmevorschriften der DSGVO nicht greifen. Klassisch sind hier die Standarddatenschutzklauseln zu erwähnen. Dies sind von der Europäischen Kommission veröffentlichte Musterklauseln für verschiedene Szenarien (Auftragsverarbeitung oder Transfer zwischen zwei Verantwortlichen). Durch den Abschluss garantiert der Empfänger der Daten im Drittland, dass er ein angemessenes Datenschutzniveau gewährleistet.

Zu beachten ist allerdings, dass die Standarddatenschutzklauseln durch die Parteien nicht verändert werden dürfen. Im Falle der Änderung der Klauseln gelten diese als Individualvereinbarung, welche durch die zuständige Aufsichtsbehörde zu genehmigen ist. Eine derartige Genehmigung ist eher nicht zu erreichen. Sofern die Daten innerhalb eines Unternehmens mit Niederlassungen in dem UK übermittelt werden, ist zu beachten, dass innerhalb eines Unternehmens i.d.R. kein eigenständiger Vertrag geschlossen werden kann. Die Standarddatenschutzklauseln stellen jedoch einen derartigen Vertrag dar. Hier hat die Praxis den Weg der Garantieerklärung entwickelt, welche die Standarddatenschutzklauseln enthält. Allerdings hat sich soweit ersichtlich noch keine Aufsichtsbehörde dazu geäußert, ob dies eine Abänderung der Klauseln darstellt, welche genehmigungsbedürftig wäre.

Insgesamt bleibt festzuhalten, dass für die meisten Unternehmen der Weg über den Abschluss der Standarddatenschutzklauseln die einzige Möglichkeit ist, um auch zukünftig Daten datenschutzkonform in das UK zu übermitteln.

3. Weitere notwendige Anpassungen

Neben der Absicherung des eigentlichen Transfers müssen im Unternehmen weitere Punkte berücksichtigt werden, um eine Datenschutz-Compliance herzustellen:

Anpassung der Datenschutzinformationen nach Art. 13/14 DSGVO sowie sämtlicher Dokumente, welche entsprechende Informationen enthalten

  • In den Informationen ist über einen Transfer in Drittländer zu informieren und welche Garantien das Unternehmen diesbezüglich getroffen hat. Die Übermittlung in das UK muss somit Erwähnung finden.


Anpassung der betroffenen Verarbeitungsverzeichnisse (Art. 30 DSGVO)

  • Auch im Verarbeitungsverzeichnis sind Transfers in Drittländer zu dokumentieren, so dass bei einem Transfer in das UK auch die betroffenen Verarbeitungsverzeichnisse anzupassen sind.


Anpassung des Auskunftsprozesses nach Art. 15 DSGVO

  • Im Auskunftsprozess ist ebenfalls über eine Übermittlung in Drittländer explizit zu informieren. Die betroffenen Daten müssen nach dem Brexit entsprechend gekennzeichnet werden.


Eventuell erstmalige Durchführung einer Datenschutzfolgenabschätzung (Art. 35 DSGVO)

  • Der Datentransfer in ein Drittland birgt ein erhöhtes Risiko für die Rechte der betroffenen Personen. Je nachdem welche anderen Risiken gegeben sind, muss für betroffene Prozesse eine Datenschutzfolgenabschätzung erstmalig durchgeführt oder angepasst werden.


Diese Anpassungen sollten in Abstimmung mit dem Datenschutzbeauftragten oder anderen fachkundigen Experten durchgeführt werden, da der Drittlandtransfer besondere datenschutzrechtliche Problemstellungen birgt.

4. Praxistipp

Jede verantwortliche Stelle, welche personenbezogene Daten aus einem Mitgliedstaat der EU in das UK übermittelt, muss sich spätestens jetzt auf einen ungeordneten Brexit vorbereiten, um die Einhaltung des Datenschutzrechts auch nach dem 29. März 2019 gewährleisten zu können. Bei Nichteinhaltung drohen Bußgelder und Verwarnungen durch die Aufsichtsbehörde.

In einem ersten Schritt sind betroffene Prozesse zu identifizieren. Darauf aufbauend sollte ein Maßnahmenplan durch die im Unternehmen verantwortliche Person erstellt werden. Dabei ist zu bedenken, dass das Datenschutzrecht nur ein Teilbereich der insgesamt betroffenen Rechtsgebiete ausmacht. Im Maßnahmenplan sollten u. a. auch arbeitsrechtliche, steuer- und zollrechtliche oder handelsrechtliche Auswirkungen aufgenommen werden.


Sie möchten mehr über dieses Thema erfahren oder haben konkrete Fragen? Dann nehmen Sie gerne Kontakt zu unserer Expertin auf:


Franziska Ladiges
berät IT-Dienstleister sowie IT-Anwender in den Bereichen der Vertragsgestaltung und Konfliktbewältigung. Weitere Schwerpunkte ihrer Tätigkeit sind das Internet-Recht und das Datenschutzrecht. Hier berät Franziska Ladiges bei der rechtswirksamen Gestaltung des Internetauftritts, bei der Umsetzung des Verbraucherschutzes und Maßnahmen zur Sicherstellung einer wirksamen Datenschutz-Compliance. Daneben betreut sie Mandanten in allen Fragen des Prozessrechts und vertritt diese in gerichtlichen Auseinandersetzungen.

Frau Ladiges steht Ihnen für Fragen gerne persönlich zur Verfügung unter: Tel.: 069 63 00 01-0, E-Mail: f.ladiges@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2019 (27)
September (1) August (3) Juli (3) Juni (2) Mai (4) April (3) März (4) Februar (2) Januar (5)
2018 (38)
Dezember (4) November (2) Oktober (4) September (3) August (3) Juli (4) Juni (5) Mai (2) April (8) März (1) Februar (1) Januar (1)
2017 (20)
Dezember (2) November (1) Oktober (1) September (1) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)