Die datenschutzrechtlichen Folgen des Brexit 

Beitrag verfasst von Dr. Rainer Knyrim am 01.04.2019 – KTR-Newsletter April 2019

Da das Chaos um den Brexit immer größer wird, der Brexit aber immer realer wird, hat Frau Dr. Claudia Gabauer, LL.M., Rechtsanwaltsanwärterin in unserer Kanzlei, für Sie die nachfolgenden Informationen über die datenschutzrechtlichen Folgen und Handlungserfordernisse bei Austritt des Vereinigten Königreichs (UK) aus der EU („Brexit“) zusammengestellt.

Grundsätzlich bestehen zwei mögliche Szenarien, wobei angesichts der aktuellen politischen Entwicklungen ein ungeregelter Austritt (sogenannter „No-Deal-Brexit“) wahrscheinlich ist.

Im Fall eines No-Deal-Brexit sollten Sie kurz zusammengefasst:

  1. alle relevanten Datenverarbeitungen feststellen,
  2. geeignete Datentransfer-Instrumente festlegen und bis zum tatsächlichen Austrittstermin umsetzen,
  3. Ihre Datenschutzinformation aktualisieren,
  4. Ihre interne Dokumentation (insb. das Verfahrensverzeichnis) aktualisieren und
  5. die Erforderlichkeit der Benennung eines Vertreters evaluieren.

Sowohl der Europäische Datenschutzausschuss („EDSA“) als auch die deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden („DSK“) haben Informationen zur Übermittlung von Daten nach UK im Fall eines No-Deal-Brexit veröffentlicht, die in der nachstehenden, auführlicheren Information berücksichtigt werden.

I. Ungeregelter Austritt („No-Deal-Brexit“)

Für den Fall, dass keine Einigung zwischen der EU und UK erzielt werden sollte („No-Deal-Brexit“), wird UK ab dem Austritt zu einem „Drittland“ iSd DSGVO. Verantwortliche, die personenbezogene Daten ab dem Austritt an UK übermitteln möchten, müssen die Datenübermittlungen mit besonderen Maßnahmen iSd Kapitels zu den Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen (Kapitel V der DSGVO) absichern. Ohne Absicherung der Datenübermittlung kann die zuständige Aufsichtsbehörde die Aussetzung der Übermittlung von Daten an einen Empfänger in UK anordnen (vgl. Art 58 Abs 2 lit j DSGVO) und/oder Geldbußen in Höhe von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen (vgl. Art 83 Abs 5 lit c DSGVO). Sofern Sie personenbezogene Daten ab dem Austrittsdatum nach UK übermitteln möchten, sollten Sie daher folgende Maßnahmen umsetzen:

1. Feststellung der relevanten Datenverarbeitungen

Stellen Sie fest, ob und welche Verarbeitungen eine Übermittlung personenbezogener Daten in das Drittland UK mit sich bringen. Sensibilisieren Sie die Mitarbeiter Ihrer Organisation für den Brexit und beziehen Sie Schlüsselpersonen Ihrer Organisation in diesen Prozess ein.

2. Festlegung eines geeigneten Datentransfer-Instruments und Umsetzung bis zum Austritt

In Ermangelung eines Angemessenheitsbeschlusses der Europäischen Kommission zum Zeitpunkt des Brexit (Art 45 DSGVO), stehen folgende Transferinstrumente zur Verfügung:

a) Ausnahmeregelungen gemäß Art 49 DSGVO

Unter bestimmten Voraussetzungen legitimieren die Ausnahmeregelungen des Art 49 DSGVO die Datenübermittlung in ein Drittland auch ohne Angemessenheitsbeschluss der Europäischen Kommission oder Setzung von angemessenen Garantien. Die Ausnahmeregelungen sind jedoch sehr restriktiv auszulegen und beziehen sich nach Auffassung des EDSA hauptsächlich auf gelegentliche und sich nicht wiederholende Verarbeitungen.

b) Standard-Datenschutzklauseln

Sie können die Datenübermittlung auf folgende – von der Europäischen Kommission – genehmigte Standarddatenschutzklauseln stützen:
– Im Fall der Übermittlung von Daten eines Verantwortlichen im EWR an einen Verantwortlichen im Drittland (z.B. UK) auf 2001/497/EG oder 2004/915/EG.
– Für die Übermittlung von Daten eines Verantwortlichen im EWR an einen Auftragsverarbeiter in einem Drittland (z.B. UK) auf 2010/87/EU.

Bitte beachten Sie, dass die Standarddatenschutzklauseln nicht geändert werden dürfen und so unterzeichnet werden müssen, wie sie von der Europäischen Kommission zur Verfügung gestellt wurden. Eine Aufnahme in einen umfassenderen Vertrag oder zusätzliche Klauseln sind insoweit zulässig, als diese nicht im unmittelbaren oder mittelbaren Widerspruch zu den von der Europäischen Kommission verabschiedeten Standarddatenschutzklauseln stehen. Angesichts des zeitlich beschränkten Umsetzungsspielraums bieten die Standarddatenschutzklauseln den Vorteil der raschen Einsatzbereitschaft. Es sind lediglich die Anhänge auszufüllen und die Unterschriften der Zeichnungsberechtigten einzuholen.

c) Ad-hoc-Datenschutzklauseln

Jede weitere Änderung der Standarddatenschutzklauseln führt dazu, dass diese Klauseln als Ad-Hoc-Vertragsklauseln gelten, welche vor einer Datenübermittlung von der zuständigen nationalen Aufsichtsbehörde genehmigt werden müssen, nachdem der Europäische Datenschutzausschuss dazu Stellung genommen hat.

d) Verbindliche interne Datenschutzvorschriften gemäß Art 47 DSGVO („Binding Corporate Rules“ – „BCRs“)

Binding Corporate Rules sind Richtlinien zum Schutz personenbezogener Daten, die von Unternehmensgruppen befolgt werden, um angemessene Garantien für die Übermittlung personenbezogener Daten innerhalb der Gruppe auch außerhalb des EWR zu gewährleisten. Organisationen können sich weiterhin auf die unter der Datenschutz-Richtlinie 95/46/EG genehmigten BCRs stützen, sofern diese im Einklang mit den Bestimmungen der DSGVO aktualisiert wurden (vgl. Art 46 Abs 5 DSGVO). Sofern Sie neue BCRs erstellen möchten, müssen diese von der zuständigen nationalen Aufsichtsbehörde genehmigt werden, nachdem der Europäische Datenschutzausschuss dazu Stellung genommen hat.

Ad-hoc-Datenschutzklauseln und BCRs bieten also keine schnelle Abhilfe. Ähnlich ist das leider auch bei Verhaltensregeln (Art 40 f DSGVO) und Zertifizierungsmechanismen (Art 42 DSGVO) der Fall. Grundsätzlich können auch Verhaltensregeln und Zertifizierungsmechanismen unter bestimmten Voraussetzungen eine angemessene Garantie für die Übermittlung personenbezogener Daten in eine Drittland sein, sofern diese Instrumente rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters in einem Drittland zugunsten der betroffenen Personen normieren. Damit Verhaltensregeln eine Datenübermittlung in ein Drittland legitimieren können, müssen auch sie durch die zuständige Aufsichtsbehörde genehmigt sowie von der Europäischen Kommission für allgemein gültig erklärt werden. Die ebenfalls unter einem Genehmigungsvorbehalt der zuständigen Aufsichtsbehörden stehenden Zertifizierungsmechanismen kommen aktuell mangels akkreditierter Zertifizierungsstellen als Rechtsgrundlage für eine Drittlandsübermittlung nicht in Betracht.

3. Aktualisierung der Datenschutzinformation

Aktualisieren Sie Ihre Datenschutzinformation und informieren Sie betroffene Personen über die Datenübermittlung in ein Drittland (UK) und über die verwendeten geeigneten Datenschutzgarantien (siehe Art 13 Abs 1 lit f und Art 14 Abs 1 lit f DSGVO).

4. Interne Dokumentation

Dokumentieren Sie Datenübermittlungen in ein Drittland (UK) sowie die von Ihnen getroffenen geeigneten Garantien in Ihrem Verarbeitungsverzeichnis (siehe Art 30 Abs 1 lit d, lit e und Art 30 Abs 2 lit c DSGVO). Sofern eine betroffene Person von ihrem Auskunftsrecht nach Art 15 DSGVO Gebrauch macht, müssen Sie die betroffene Person über die Datenübermittlung in ein Drittland sowie über die geeigneten Garantien unterrichten (siehe Art 15 Abs 1 lit c und Abs 2 DSGVO).

5. Benennung eines Vertreters in der Union gemäß Art 27 DSGVO

Verantwortliche und Auftragsverarbeiter ohne Niederlassung in der Union müssen schriftlich einen Vertreter benennen, wenn sie Waren oder Dienstleistungen an betroffene Personen in der Union anbieten oder das Verhalten von betroffenen Personen in der Union beobachten. Dieser „Art 27-Vertreter“ fungiert als lokaler Vertreter gegenüber den betroffenen Personen und den Aufsichtsbehörden innerhalb des EWR.

Eine Ausnahme zur Benennung des Vertreters für nicht öffentliche Stellen oder Behörden besteht nur, wenn die Verarbeitung nur gelegentlich erfolgt, keine umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO oder strafrechtsbezogene Daten nach Art 10 DSGVO vorliegt und die Verarbeitung voraussichtlich nicht zu einem Risiko für die betroffene Person führt.

Artikel drucken

Beiträge

Newsletter Apr 2019

Gemeinsame Verantwortung bei Facebook-Fanpages

Frau Dr. Claudia Gabauer, LL.M. hat für den letzten und diesen Newsletter eine Zusammenfassung der Facebook-Fanpage-Problematik erstellt, hier ist nun Teil II:

Verhaltensregeln nach DSGVO

Es ist aktuelles Thema vieler Branchentreffen: Datenschutzrechtliche Verhaltensregeln.

Aktuelle Seminare

Die datenschutzrechtl. Folgen des Brexit

Grundsätzlich bestehen zwei mögliche Szenarien, wobei angesichts der aktuellen politischen Entwicklungen ein ungeregelter Austritt (sogenannter „No-Deal-Brexit“) wahrscheinlich ist.

Österr. DSGVO-Song von deutscher Datenschutzbehörde verfilmt

Im Mai 2018 hat die Singer-Songwriterin Flickentanz auf Youtube ein Spaß-Anleitungslied über die Datenschutzgrundverordnung veröffentlicht.