It’s a Brexit day! Was bedeutet der EU-Austritt für den Datenschutz?
Nach gefühlt endlosem Hin und Her wird der Brexit jetzt Realität. Die drittgrößte Volkswirtschaft der EU verlässt den gemeinsamen Binnenmarkt. Mit Ablauf des 31. Januar 2020 tritt das Vereinigte Königreich aus der EU aus. Datenschutzrechtlich wird das Königreich zum „Drittstaat“.
Übergangsphase bis 31. Dezember 2020
Allerdings beginnt am 1. Februar 2020 eine elfmonatige Übergangsphase, in der die Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich zunächst ohne besondere Vorkehrungen weiter möglich ist.
In dieser Zeit sollen das Vereinigte Königreich und die EU ihre künftige Zusammenarbeit in Sachen Datenschutz ausverhandeln. Die Übergangsphase kann um ein bis zwei Jahre verlängert werden, wenn das UK dies bis zum 1. Juli dieses Jahres beantragt.
Während der Übergangsphase gilt die DSGVO weiter, obwohl Großbritannien formal bereits ein Drittstaat ist.
Was nach der Übergangsfrist kommt, ist ungewiss und hängt maßgeblich von den Verhandlungen ab.
Optionen ab 2021
Alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) werden als sog. „Drittstaaten“ oder „Drittländer“ bezeichnet. Personenbezogene Daten dürfen in solche Länder nicht ohne Weiteres übermittelt werden.
- Sobald die Übergangsphase endet, könnte die EU-Kommission das Vereinigte Königreich per Angemessenheitsbeschluss zu einem sicheren Drittland erklären. Solche Angemessenheitsbeschlüsse existieren u.a. bereits für die Schweiz, Neuseeland, Andorra, Argentinien, die Faröer Inseln, Guernsey, Japan, Kanada und Israel (zum Teil) sowie die USA (soweit ein Unternehmen das sog. Privacy-Shield-Zertifikat hat).
- Ohne einen Angemessenheitsbeschluss wird das Vereinigte Königreich datenschutzrechtlich als sog. „unsicheres Drittland“ behandelt, wie z.B. Russland oder Ecuador. Aber auch dann gibt es Möglichkeiten, den Datenaustausch auf sichere Beine zu stellen, etwa bei
- Vorliegen geeigneter Garantien (Art. 46 DSGVO), z.B. EU-Standarddatenschutzklauseln,
- Vorliegen von genehmigten Verhaltensregeln, sog. Binding Corporate Rules, oder
- Ausnahmen für bestimmte Fälle (Art. 49 DSGVO), wie die ausdrückliche Einwilligung der betroffenen Person oder die Übermittlung zur Erfüllung eines Vertrages mit der betroffenen Person.
Rechtzeitig handeln
Betroffene Unternehmen mit Tochtergesellschaft oder Niederlassungen im UK oder jene, die Cloud-Dienste oder andere Dienstleistungen im Vereinigten Königreich nutzen, sollten jetzt schon Maßnahmen treffen, um im Falle des fehlenden Angemessenheitsbeschlusses vorbereitet zu sein.
Dazu zählen folgende Schritte:
- Machen Sie sich ein Bild davon, bei welchen Unternehmensprozessen personenbezogene Daten von Kunden, Nutzern, Mitarbeitern nach Großbritannien übermittelt bzw. bei welchen Prozessen Sie mit UK-Dienstleistern zusammenarbeiten, die Zugriff auf diese Daten haben.
- Prüfen Sie, ob für diese Prozesse die geeigneten Garantien oder Ausnahmen vorliegen. Gehen Sie aktiv auf Dienstleister zu und fragen an, wie diese sich auf einen fehlenden Angemessenheitsbeschluss vorbereitet haben.
- Denken Sie daran, in der Aufstellung Ihrer Verarbeitungsprozesse im sog. Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO diese Datenübermittlungen zu dokumentieren, einschließlich der geeigneten Garantien.
- Denken Sie auch daran, Datenschutzerklärungen (Art. 13 DSGVO) zu ergänzen, soweit eine Drittland-Übermittlung stattfindet. Auch hier sind das Fehlen eines Angemessenheitsbeschlusses und die angemessene Garantie zu erwähnen.
- Auch bei Auskunftsverlangen (Art. 15 DSGVO) muss den betroffenen Personen mitgeteilt werden, dass personenbezogene Daten in Großbritannien verarbeitet werden.
- Bitten Sie Kunden oder Nutzer um ihre Einwilligung in die Verarbeitung von Daten in Großbritannien (Art. 49 DSGVO), dann reicht es nicht aus, den Datentransfer in der Datenschutzerklärung anzusprechen. Vielmehr müssen sie – etwa vor dem Absenden eines Onlineformulars – auf mögliche Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien hingewiesen werden und ausdrücklich per Checkbox um die Einwilligung gebeten werden.
Unternehmen mit UK-Bezug stehen also vor größeren Herausforderungen. Wer jedoch die weitere Entwicklung aufmerksam beobachtet und die nötigen Vorkehrungen trifft, ist auf der sicheren Seite. procado unterstützt Sie hierbei gern. (fl)
Quellen:
t-daily.net vom 30.01.2020: Der Austritt Großbritanniens aus der EU
datenschutz-generator.de vom 30.01.2020: In 8 Schritten zum DSGVO-sicheren Brexit
KPMG vom 29.01.2020: Was bedeutet der Brexit für den Datenschutz?
DSK vom 22.07.2019: Kurzpapier Nr. 4: Datenübermittlung in Drittländer