Datenschutz und Brexit – Verlängerung der Übergangsfrist!
Nach dem Austritt aus der EU am 31.01.2020 hat das Vereinigte Königreich nun zum 01.01.2021 auch den EU-Binnenmarkt und die Zollunion verlassen. In einem Verhandlungsmarathon haben die Europäische Kommission und das Vereinigte Königreich um die Bedingungen ihrer zukünftigen Zusammenarbeit gerungen. Ergebnis: Am 31.12.2020 einigte man sich auf ein Handels- und Kooperationsabkommen, in dem unter anderem auch Datentransfers aus der EU nach Großbritannien und deren datenschutzrechtliche Bewertung geregelt sind. Es wird darin etwa festgelegt, dass Großbritannien für eine weitere Übergangsfrist von 4 Monaten nicht als „unsicherer Drittstaat“ eingestuft wird. Voraussetzung ist, dass die Briten für diesen Zeitraum an ihren auf der DSGVO basierenden nationalen datenschutzrechtlichen Regelungen festhalten. Eine Abweichung wäre nur mit Zustimmung der EU zulässig. Doch welche (direkten) Auswirkungen hat der Brexit auf den Datenschutz?
Bis Ende April kann der Datenverkehr unter unveränderten Bedinungen erst einmal weiter fließen. Diese Übergangsfrist kann dann noch einmal um zwei Monate verlängert werden. Diese Übergangsregelung für das Datenschutzrecht verschafft allen betroffenen Unternehmen erneut Zeit, um sich für einen etwaigen Datenverkehr ins Vereinigte Königreich abzusichern. Letztlich gibt es dabei zwei Szenarien: 1. Die Kommission erläßt rechteitig einen sog. Angemessenheitsbeschluss nach Art .45 DSGVO. Als Folge wäre eine Datentransfer wie in der EU möglich. 2. Der Angemessenheitsbeschluss der EU-Kommission liegt nicht rechtzeitig vor. Dann wäre das Vereinigte Königreichab dem Ende der Übergangsfrist als sog. Drittland anzusehen.
Es ist dabei nicht ratsam, dass sich betroffene Unternehmen auf den fristgerechten Abschluss eines Angemessenheitsbeschlusses der EU-Kommission verlassen. Unternehmen sollten sich vielmehr auf die Situation vorbereiten, dass das Vereinigte Königreich zumindest vorübergehend zu einem Drittland wird.
Was ist zu beachten, sollte UK „Drittland“ im Sinne der DSGVO werden?
Kapitel 5 der DSGVO regelt die Bedingungen, die im Datenaustausch mit einem Drittland einzuhalten sind. Wenn es keinen Angemessenheitsbeschluss mit einem Drittland gibt, müssen Garantien bestehen, die ein angemessenes Schutzniveau sicherstellen (Art. 46 DSGVO).
Erst einmal Betroffenheit prüfen!
Das verantwortliche Unternehmen muss prüfen, ob es im Rahmen der geschäftlichen Aktivität zum Datenaustausch mit Unternehmen (z.B. Dienstleistern oder von diesen Dienstleistern eingesetzte Unterauftragnehmer oder aber auch konzernangehörige Unternehmen) kommt. Das ist z.B. der Fallen, wenn, das oder die Unternehmen
- über einen satzungsmäßigen Sitz und/oder eine Niederlassung in UK verfügen;
- innerhalb der EU ansässig sind und über Rechenzentren in UK verfügen.
Was ist dann für das EU-Unternehmen zu tun?
- Implementierung geeigneter Garantien, z. B. über EU-Standarddatenschutzklauseln, beim Datenaustausch zwischen Konzerngesellschaften über Binding Corporate Rules oder
- Einführung von Ausnahmen für bestimmte Fälle, wie die ausdrückliche Einwilligung der betroffenen Person oder die Übermittlung zur Erfüllung eines Vertrages mit der betroffenen Person
- Anpassung der Datenschutzinformation bzw. Datenschutzerklärung. Die betroffenen Personen sind bei der Datenerhebung explizit über Datentransfers in Drittländer zu informieren
- Anpassung des Verzeichnisses der Verarbeitungstätigkeiten
- Überprüfung der Datenschutz-Folgenabschätzungen Ihres Unternehmens auf Auswirkungen bzgl. der Datenübermittlung ins Vereinigte Königreich
Welche Folgen ergeben sich für das UK-Unternehmen?
Für britische Unternehmen, die personenbezogene Daten mit EU-Unternehmen austauschen, bleiben auch bei Verlassen des Europäischen Wirtschaftsraums (EWR) die europäischen Datenschutzbestimmungen von enormer Bedeutung. Wenn außereuropäische Unternehmen ihr Waren- und Dienstleistungsangebot weiterhin an in der EU befindliche Personen richten, befinden sie sich weiterhin im Anwendungsbereich der europäischen Datenschutzbestimmungen (sog. Marktortprinzip). Als britisches Unternehmen ist insbesondere zu prüfen,
- ob die Pflicht zur Benennung eines Unionsvertreters nach Art. 27 EU-DSGVO besteht (umgekehrt ist für Unternehmen, die auf dem britischen Markt ohne Niederlassung vor Ort tätig sind, ggf. einen Vertreter nach Art. 27 UK-DSGVO zu benennen),
- welche Aufsichtsbehörde in der EU zuständig ist,
- ob auch für die EU ein Datenschutzbeauftragter benannt werden muss (z. B. nach BDSG),
- ob die EU-Standarddatenschutzklauseln abgeschlossen wurden oder ggf. ein Angemessenheitsbeschluss von UK für die EU vorliegt.
Wenn Sie bei der Umsetzung der Maßnahmen zum Datenschutz im Brexit Unterstützung benötigen, sprechen Sie gerne unsere Berater an.
Die Zeit läuft!
Alle Unternehmen, die personenbezogene Daten zwischen EU und UK (z.B. mit Konzerngesellschaften, Tochterunternehmen, Dienstleistern, Dienstleistern von Dienstleistern etc.) austauschen, müssen daher nun aktiv werden und die Voraussetzungen eines rechtskonformen Datenaustausches schaffen.
Die erforderlichen Maßnahmen (beispielsweise Standarddatenschutzklauseln oder Binding Corporate Rules) lassen sich nicht „über Nacht“ umsetzen. Es sollte Zeit eingeplant werden, die erforderliche Abstimmung mit den beteiligten Datenempfängern in UK und EU durchzuführen, damit dies etablierte Geschäftsprozesse und Datenflüsse möglichst wenig beeinträchtigt.