Brexit? Ja? Nein? Vielleicht?Treffen Sie die richtigen Vorsichtsmaßnahmen
Der Brexit ist schon seit Monaten ein Dauerthema in den Nachrichten und langsam rückt der geplante Austrittstermin, am 31. Oktober 2019, immer näher. Die Fronten im britischen Parlament sind verhärtet und es ist fragwürdig, ob es noch zu einem geregelten Brexit oder gar einem Verbleib in der EU kommt. Daher wird es höchste Zeit, sich mit den Konsequenzen eines wahrscheinlicher werdenden, ungeregelten Brexits auseinanderzusetzen.
Folgen eines harten Brexits
Die Verunsicherung bei Unternehmen wie auch bei Privatpersonen, die vom Ausscheiden Großbritanniens aus der EU betroffen wären, steigt. In diesem Fall wäre auch der Datenschutz betroffen.
Das Hauptproblem ist, dass nach einem harten Brexit die DSGVO sowie alle anderen Regelungen, ihre Gültigkeit verlieren würden. Die Übermittlung von Daten bedarf aber einer rechtlichen Grundlage. Großbritannien würde damit als „Drittland“ eingestuft werden. Dadudurch würden diese auf einer Stufe mit Drittstaaten, wie den USA, stehen. Dass der internationale Datentransfer ein durchaus schwieriges Konstrukt ist, zeigen die Erfahrungen mit dem Save-Harbor-Abkommen, dem US Privacy Shield oder dem CLOUD Act.
Unternehmen in der EU müssen daher alle Verhältnisse überprüfen, bei denen es zu einer Übermittlung oder Zugänglichmachung personenbezogener Daten an Unternehmen im Vereinigten Königreich kommt und gegebenenfalls auf geltendes Recht anpassen. Ein Vertrag zur Auftragsdatenverarbeitung würde nach einem harten Brexit zum Beispiel nicht mehr als Rechtsgrundlage ausreichen. Unternehmen aus der EU müssen dann individulle Datenschutzgarantien von den britischen Unternehmen einfordern.
Was wird die EU tun?
Wohl erst einmal nichts. Zwar gibt es die Möglichkeit, eines Angemessenheitsbeschlusses nach Artikel 45 der DSGVO, doch bis Ende März wird die EU dahingehend nichts unternehmen. Durch diesen würde Großbritannien ein ausreichendes Datenschutzniveau bescheinigt und es wären keine weiteren Genehmigungen mehr nötig.
Was würde passieren, sollte es doch noch zu einem geregelten Brexit kommen?
Sollte es doch noch zu einem geregelten Brexit kommen, besteht die Möglichkeit von Folgeabkommen. Bis diese beschlossen sind, würde laut BITCOM der europäische Datenschutz weiter greifen. Es gäbe also keine datenschutzrechtlichen Probleme. Allerdings sind die Aussichten hierauf nach jetzigem Stand nicht sehr rosig. Daher sollten entsprechende Vorkehrungen getroffen werden.
Wer ist vom Brexit betroffen?
Schwierig wird es insbesondere für Unternehmen, die ihren Unternehmenssitz in Großbritannien haben oder wenn sich der Sitz der Muttergesellschaft dort befindet. Aber auch Unternehmen, die personenbezogene Daten dorthin übermitteln, sind betroffen. Laut einer Umfrage von BITKOM von 2018, trifft das auf 14 % der deutschen Unternehmen zu.
Betroffen sind aber auch Unternehmen und Institutionen, die IT-Dienstleistungen von Unternehmen mit Sitz im Vereinten Königreich in Anspruch nehmen, z.B. in Form von Cloud-Lösungen. Denn auch hier werden personenbezogene Daten übertragen.
Informationspflicht bei der Datenübertragung an Drittstaaten
Es ist nicht nur eine Anpassung der Verträge mit britischen Partnern und Dienstleistern nötig, sondern es besteht auch eine Informationspflicht. Dass Daten an Drittländer übermittelt werden, muss aus juristischen Gründen auch an den entsprechenden Stellen erfasst und veröffentlicht werden. Unternehmen sollten das aber bereits jetzt schon veranlassen, unabhängig davon, ob es tatsächlich zum harten Brexit kommt. Vermerkt werden muss der Datenaustausch mit Drittländern in folgenden Dokumenten:
- Datenschutzvereinbarung auf der eigenen Webseite
- Informationsblatt zur Datenverarbeitung
- Verzeichnis zur Auftragsdatenverarbeitung
- Eventuell sind auch Datenschutz-Folgenabschätzungen durchzuführen oder zu prüfen
Möglichkeiten der rechtssicheren Datenübertragung mit Garantien
Um die Datenübertragung auch nach dem Brexit gemäß der DSGVO durchführen zu können, müssen geeignete Garantien geschaffen werden. Dafür gibt es folgende Möglichkeiten:
Binding Corperate Rules
Binding Corporate Rules gelten als geeignete Garantie für unternehmensinterne Datenübertragungen in unsichere Drittländer. Hier wird davon ausgegangen, dass die DSGVO-Standards innerhalb der Unternehmensgruppe gelten. Beim Ausüben einer gemeinsamen Tätigkeit, können auch Vertriebs- und Kooperationspartner sowie Dienstleister mit inbegriffen sein, die sich außerhalb der Unternehmensgruppe befinden. Die Einführung von Binding Corporate Rules ist aber ein langer und kostenintensiver Prozess und bedarf der Genehmigung durch die Aufsichtsbehörden.
https://www.datenschutzbeauftragter-info.de/internationale-datentransfers-binding-corporate-rules-nach-dsgvo/
EU-Standardvertragsklauseln
Eine weitere und deutlich kurzfristigere Möglichkeit, der Datenübertragung einen rechtlichen Rahmen zu geben, sind die EU-Standardvertragsklauseln. Mit diesen wird ein angemessenes Datenschutzniveau beim Empfänger hergestellt. Bei den EU-Standardvertragsklauseln ist die rechtliche Zulassung immer zweistufig zu überprüfen. Erstens muss für die Datenübermittlung ein Erlaubnistatbestand bestehen. Zweitens muss der Datenempfänger ein angemessenes Datenschutzniveau garantieren.
https://www.datenschutzbeauftragter-info.de/eu-standardvertragsklauseln-in-der-praxis-teil-1-controller-to-processor/
Genehmigte Verhaltensregeln
Laut DSGVO ist es auch möglich, eigene Datenschutzstandards durch genehmigte Verhaltensregeln einzuführen. Diese Selbstregulierung ist für Branchenverbände und Vereinigungen gedacht, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten. Zu beachten ist, dass es im eigenen Verhaltenskodex zwar möglich ist, strengere Regeln als rechtlich gefordert zu implementieren, aber die DSGVO-Richtlinien nicht unterschritten werden dürfen.
https://www.datenschutzbeauftragter-info.de/dsgvo-eigene-datenschutzstandards-durch-verhaltensregeln/
Einzeln ausgehandelte Vertragsklauseln oder Verwaltungsvereinbarungen
Es besteht aber auch noch die Möglichkeit, einzeln ausgehandelte Vertragsklauseln oder Verwaltungsvereinbarungen zu nutzen. Laut DSGVO darf, falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern dieser geeignete Garantien vorgesehen hat und sofern den betroffenen Personen entsprechende Rechte und Rechtsmittel zur Verfügung stehen. Zu diesen Garantien gehören zum Beispiel rechtlich bindende und durchsetzbare Dokumente zwischen den Behörden oder öffentlichen Stellen sowie verbindliche interne Datenschutzvorschriften nach Artikel 47 der DSGVO.
https://dsgvo-gesetz.de/art-46-dsgvo/
Ausnahmen: Datenübertragung ohne Garantien
Aber wie heißt es doch so schön, Ausnahmen bestätigen die Regel. Auch bei der Übermittlung von Daten in Drittländer gibt es Ausnahmen, bei denen die Daten auch ohne geeignete Garantie übermittelt werden dürfen. Nach Artikel 49 der DSGVO müssen hierfür folgende Voraussetzungen erfüllt sein:
- Ausdrückliche Einwilligung, unter Berücksichtigung der Risiken
- Datenübertragung zur Vertragserfüllung notwendig
- Übermittlung zur Erfüllung oder Abschluss eines Interesses bei einem geschlossenen Vertrag
- Öffentliches Interesse
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- Schutz lebenswichtiger Interessen
- Übermittlung von Daten aus Registern an Personen mit berechtigtem Interesse
- Details dazu finden Sie hier: https://dsgvo-gesetz.de/art-49-dsgvo/
Fazit und Empfehlung
Sollte es zu einem harten Brexit kommen, wird der Aufwand für Unternehmen und Institutionen, die Daten in das Vereinte Königreich übermitteln oder Dienstleistungen in Anspruch nehmen, auf jeden Fall höher. Aber das ist sicher nicht das Ende von Geschäftsbeziehungen, da es immer noch einige Möglichkeiten gibt, die datenschutzrechtlichen Standards zu erfüllen. Zudem ist es im Fall von Großbritannien sehr wahrscheinlich, dass die Drittstaatenreglung nur eine begrenzte Zeit gelten wird, da sowohl die EU wie auch die Briten daran interessiert sein sollten, jegliche Hürden möglichst schnell zu beseitigen.
Das Wichtigste ist aber, dass Sie sich jetzt möglichst schnell mit dem Thema auseinandersetzen. Vergewissern Sie sich zuerst, ob Sie überhaupt betroffen sind. Vergessen Sie dabei auch nicht zu schauen, ob nicht vielleicht ein Onlinedienstleister in UK sitzt, wie zum Beispiel CRM- oder Analysedienstleister.
Prüfen Sie im zweiten Schritt, welche Maßnahmen notwendig sind, um den rechtssicheren Datenaustausch nicht zu gefährden und treffen Sie Vorkehrungen, die im Notfall schnell umgesetzt werden können. Dazu kann auch gehören, sich von britischen Dienstleistern zu trennen und auf Anbieter aus der EU zurückzugreifen. Damit lässt sich jedes Risiko ausschließen.
Zu guter Letzt informieren Sie entsprechend über die Datenübermittlung in Drittstaaten, sofern Sie weiterhin auf Dienste aus Großbritannien zurückgreifen. Tun Sie das sicherheitshalber jetzt schon.
Auch wenn wir es nicht hoffen, aber so kann der Brexit kommen!
Diese Angaben sind ohne Gewähr und Anspruch auf Vollständigkeit. Wenden Sie sich bei Fragen an Ihren Datenschutzbeauftragten oder Anwalt Ihres Vertrauens.
Ihnen ist Datenschutz wichtig? Mehr zum Thema finden Sie in unseren weiteren Blogbeiträgen: