- Finanznachrichten auf Cash.Online - https://www.cash-online.de -

Datenschutz und Brexit: Was müssen Unternehmen beachten?

Durch ein Abkommen über den Austritt Großbritanniens vom 31. Januar 2020 konnte der “kalte Brexit” zunächst abgewendet werden. Die Parteien einigten sich auf eine Übergangsphase, innerhalb derer man sich über die weiteren Details des Austritts verständigt. Dieser Beitrag greift einen rechtlichen Teilaspekt aus dem Gesamtkonglomerat verschiedener Themenfelder heraus – das Datenschutzrecht. Gastbeitrag von Rechtsanwalt Jonas Puchelt

Bei strikter Betrachtung avancierte Großbritannien durch den Austritt aus der EU im Januar dieses Jahres zum “Drittland” – wäre da nicht das zu Beginn des Beitrags bezeichnete Austrittsabkommen.

Was bisher geschah…

Seit dem 31. Januar 2020 ist das Vereinigte Königreich Großbritannien und Nordirland (“Großbritannien”) nicht mehr Mitglied der europäischen Union (“EU”). Dieser medial häufig als “Brexit” bezeichnete Austritt des Landes aus dem Staatenverbund verursacht(e) einen erheblichen Verhandlungsaufwand. Durch ein Abkommen über den Austritt Großbritanniens vom 31. Januar 2020 konnte der “kalte Brexit” zunächst abgewendet werden. Die Parteien einigten sich auf eine Übergangsphase, innerhalb derer man sich über die weiteren Details des Austritts verständigt. Dieser Beitrag greift einen rechtlichen Teilaspekt aus dem Gesamtkonglomerat verschiedener Themenfelder heraus – das Datenschutzrecht.

Die These

Viele Unternehmen

– setzen Dienstleister ein, die (auch) in Großbritannien tätig sind,

– greifen bei dem Betrieb bzw. der Pflege (von Teilen) ihrer IT-Infrastruktur oder dem Marketing auf Leistungen zurück, die aus oder in Großbritannien erbracht werden oder

– sind sogar selbst in Großbritannien tätig bzw. verfügen über eine Niederlassung vor Ort.

Alle aufgezählten Sachverhalte stehen üblicherweise mit der Verarbeitung von personenbezogenen Daten in Verbindung. Deshalb sind datenschutzrechtliche Regelungen zu berücksichtigen.

Datenschutzrechtliche Einordnung

In der Union ansässige bzw. tätige Unternehmen müssen die Einhaltung der Vorgaben der Datenschutzgrundverordnung (DSGVO) sicherstellen. Denn die Verordnung wirkt in den Mitgliedsstaaten unmittelbar wie ein nationales Gesetz – aber eben auch nur dort. Juristen bezeichnen das als “räumlichen Anwendungsbereich”.

In Ländern außerhalb der Union können andere Datenschutzbestimmungen gelten, die unter Umständen ein von der DSGVO abweichendes Datenschutzniveau vorsehen. Daher hat der europäische Gesetzgeber einen Sicherheitsmechanismus vorgesehen. Länder außerhalb der der EU bzw. des EWR werden von der Verordnung kurzum als “Drittländer” qualifiziert.

Datenverarbeitungen eines in der EU ansässigen bzw. tätigen Unternehmens in einem solchen Drittland sind nur zulässig, wenn zusätzliche Voraussetzungen erfüllt sind, zum Beispiel:

– Die EU-Kommission hat dem Drittland ein vergleichbares Datenschutzniveau attestiert (“Angemessenheitsbeschluss” – besipielsweise Schweiz).

– Die Datenverarbeitung erfolgt nur in einem von der EU-Kommission vorgegebenen rechtlichen Rahmen (“Standardvertragsklauseln”).

– Die Beteiligten stellen ein vergleichbares Datenschutzniveau durch andere (von der zuständigen Aufsichtsbehörde genehmigte) Maßnahmen sicher (sogenannte “geeignete Garantien”).

– Die Betroffenen haben in die Verarbeitung im Drittland eingewilligt.

Was bedeutet das für Großbritannien?

Bei strikter Betrachtung avancierte Großbritannien durch den Austritt aus der EU im Januar dieses Jahres zum “Drittland” – wäre da nicht das zu Beginn des Beitrags bezeichnete Austrittsabkommen. Denn nach diesem gilt während der Übergangsphase ein Teil der DSGVO in Großbritannien fort und die Einstufung als Drittland unterbleibt vorerst. Dadurch sind Datenverarbeitungen momentan noch unter den gleichen Voraussetzungen zulässig, wie vor dem Brexit.

Der Übergangszeitraum hätte bis zum 1. Juli 2020 auf Antrag Großbritanniens verlängert werden können – die Frist verstrich ungenutzt. Deshalb ist Großbritannien ab dem kommenden Jahreswechsel Drittland im Sinne der DSGVO.

Attestiert die EU-Kommission Großbritannien bis zum Ende der Übergangsphase durch einen Angemessenheitsbeschluss ein mit der DSGVO vergleichbares Datenschutzniveau, gilt Großbritannien als “sicheres Drittland” und Datenverarbeitungen im Zusammenhang mit Großbritannien sind auch weiterhin ohne zusätzliche Vorkehrungen der Parteien möglich. Hierauf sollte man sich angesichts des zunehmend sportlichen Zeitrahmens jedoch nicht verlassen.

Seite zwei: Droht der Datenschutz-(Br)Exit? [1]

Ergeht kein Angemessenheitsbeschluss, spricht man im datenschutzrechtlichen Kontext bei Großbritannien ab dem 1. Januar 2021 sogar von einem “unsicheren Drittland”.

Natürlich können auch Datenverarbeitungen in (unsicheren) Drittländern zulässig sein. Andernfalls könnte kein internationaler Cloud-Provider hierzulande sein Geschäft betreiben. Allerdings ist dafür in der Regel ein Tätigwerden der unmittelbar Beteiligten erforderlich, denn diese müssen sodann selbst ein angemessenes Schutzniveau sicherstellen.

Dazu taugt beispielsweise die Vereinbarung von “EU-Standard-Vertragsklauseln” – ein Vertrag mit von der EU-Kommission vorgegebenem Inhalt zwischen dem in der EU ansässigen “Datenexporteur” und dem in einem Drittland ansässigen “Datenimporteur”. Ziel der Klauseln ist die Herstellung eines angemessenen Datenschutzniveaus durch vertragliche Commitments der Vertragsparteien.

Im Einzelfall können auch alternative Gestaltungsvarianten zur Anwendung kommen (Stichwort: “Binding Corporate Rules”), die aber unter Umständen von der zuständigen Aufsichtsbehörde genehmigt werden müssen. Verhandlungen mit Aufsichtsbehörden bzw. Geschäftspartnern können eine gewisse Vorlaufzeit beanspruchen, weshalb die bevorzugten Gestaltungsvarianten so schnell wie möglich zu identifizieren und umzusetzen sind.

Unabhängig von dieser “Legitimierung” der Drittlandübermittlungen kann sich der Brexit auch auf die sonstige interne Datenschutz-Compliance eines Unternehmens auswirken. Denn Datenverarbeitungen im Zusammenhang mit Drittländern müssen in Verarbeitungsverzeichnissen und Datenschutzerklärungen angegeben werden, können zu Datenschutzfolgeabschätzungen führen und sich auf Interessenabwägungen niederschlagen.

Executive Summary

Man kann bei der Umsetzung dieser Maßnahmen beispielweise anhand des nachstehenden Leitfadens vorgehen:

– Prüfen Sie, ob Ihr Unternehmen Daten in Großbritannien verarbeitet – oder verarbeiten lässt (zum Beispiel Rechenzentrumsbetrieb).

– Identifizieren Sie alle zugehörigen Datenverarbeitungen.

– Prüfen Sie, ob für betroffene Datenverarbeitungen die “zusätzlichen Voraussetzungen” für eine zulässige Verarbeitung in einem (unsicheren) Drittland vorliegen.

– Binden Sie (sofern dies notwendig ist) Geschäftspartner ein, um die zusätzlichen Voraussetzungen zu schaffen, zum Beispiel Anpassung bzw. Ergänzung bestehender Vereinbarungen mit Geschäftspartnern (Stichwort: Auftragsverarbeitungsverträge).

– Ordnen Sie ein, welche weiteren (internen) Dokumente von den Datenverarbeitungen berührt werden und passen Sie die Dokumente entsprechend an. Folgende Dokumente können insbesondere betroffen sein: Verarbeitungsverzeichnis, Datenschutzerklärungen, dokumentierte Datenschutzfolgeabschätzungen.

– Passen sie interne Prozesse wie zum Beispiel das Beauskunften von Betroffenenanfragen entsprechend an, um korrekt über Drittlandübermittlungen zu informieren.

Aufgrund der Vielzahl notwendiger Maßnahmen sollten sich betroffene Unternehmen zeitnah mit einer Bearbeitung der Thematik starten oder eine bereits begonnenen (und zwischenzeitlich ins Stocken geratenen) Prozess mit Nachdruck anschieben.

Autor Jonas Puchelt ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht. Er ist bei FPS Fritze Wicke Seelig Partnerschaftsgesellschaft von Rechtsanwälten in Frankfurt am Main tätig und auf die Beratung von Unternehmen im Rahmen technologischer Fragestellungen spezialisiert.

Foto: Shutterstock