Datentransfers nach Brexit

Das Vereinigte Königreich bewegt sich derzeit auf einen ungeregelten Brexit zu. Am 15. Januar 2019 hat das britische Parlament mit mehrheitlich gegen das von der EU zusammen mit der Regierung um Theresa May ausgehandelte Austrittsabkommen votiert. Während die Opposition um Jeremy Corbyn umgehend ein (erfolglosen) Misstrauensantrag gestellt, Neuwahlen gefordert und sich damit weiter allein um die innenpolitischen Folgen der Niederlage gekümmert hat, bleiben die Fragen der zukünftigen Gestaltung des europäischen Datenverkehrs offen. Zwar hat das britische Parlament am 29.Januar 2019 noch einmal gegen einen ungeregelten Austritt und für weitere Gespräche gestimmt. Ob es aber tatsächlich Neuverhandlungen mit der EU geben wird, darf bezweifelt werden. Ratspräsident Tusk hat diesem Ansinnen bereits am selben Tage eine Absage erteilt. 

Die Unternehmen der digitalen Wirtschaft (und nicht nur diese) sollten daher vorbereitet sein. Großbritannien ist Deutschlands fünftwichtigster Handelspartner. Die EU-Kommission bezifferte den Wert der europäischen Datenökonomie bis 2020 auf bis zu 739 Milliarden Euro. Laut dem Chef der britischen Handelskammern BCC, Adam Marshall, befindet sich die britische Wirtschaft wegen der Unklarheiten über die zukünftigen Handelsbeziehungen zwischen EU und UK in einer „Schockstarre“. Der deutsche Industrie und Handelskammertag (DIHK) befürchtet „massive Auswirkungen“, die der deutschen Wirtschaft bei einem ungeregelten Brexit drohen. Am 05.September hatte auch das deutsche Bundeskabinett Übergangsreglungen für den Brexit beschlossen

An dieser Stelle möchten wir Ihnen Hintergründe zum Brexit und Handlungshilfen für den Bereich der Digitalwirtschaft und insbesondere zur Übermittlung personenbezogener Daten nach UK zur Verfügung stellen.

  • Da während des Übergangszeitraums das gesamte Unionsrecht weiterhin so gelten sollte, als ob das Land ein Mitgliedstaat gewesen wäre, hätten Datentransfers zunächst weiterhin wie gewohnt – also ohne weitere Vorkehrungen - stattfinden können. Die Frage des Datenschutzes ist in den Art. 70ff des Vertrages angesprochen. Nach Ablauf der Übergangszeit zum 31.Dezember 2020 sollte Großbritannien die EU-Datenschutzvorschriften dann weiterhin für diejenigen personenbezogenen Daten anwenden, die in dieser Zeit übermittelt bzw. ausgetauscht werden und bis die EU durch eine formelle Angemessenheitsentscheidung festgestellt hat, dass das britische Datenschutzregime gleichwertige Garantien bietet.

    Der Austrittsvertrag hätte dem Vereinigten Königreich auch an anderer Stelle genützt. Die Übergangszeit hätte Großbritannien auch Spielraum für internationale Verhandlungen zu Datentransfers gegeben. So gelten Datenübermittlungen z.B. in die USA auf Grundlage des EU-US Privacy Shields nur für die Mitgliedsstaaten der Europäischen Union. Es hätten diesbezüglich entsprechende Vereinbarungen verhandelt werden können. Nun müssen britische Unternehmen darauf hoffen, dass US-Unternehmen ihre Verpflichtungen aus dem EU-US-Privacy-Shield explizit auch auf Datenübermittlungen aus dem Vereinigten Königreich erstrecken und entsprechend kurzfristig aktualisieren.

  • Ohne das Austrittsabkommen werden die Regelungen des europäischen Binnenmarktes und der Zollunion ab dem 30. März 2019, Punkt 0:00 Uhr automatisch keine Anwendung mehr finden. Dies gilt auch für sekundärrechtliche Bestimmungen wie die DSGVO. Großbritannien ist ab Ende März also bis auf Weiteres auch “datenschutzrechtliches Drittland”. Datentransfers an Niederlassungen oder Auftragsverarbeiter sind dann nicht mehr ohne die Einhaltung spezieller Anforderungen realisierbar. Dies kann erhebliche Auswirkungen auf die Datenwirtschaft zwischen EU und UK haben.

  • Für die Frage der datenschutzrechtlichen Zulässigkeit von Datentransfers ist zunächst zwischen Transfers innerhalb der EU und an andere Drittstaaten zu unterscheiden. Zunächst bedarf es für alle Datentransfers einer geeigneten Rechtsgrundlage nach DSGVO. Die Übermittlung personenbezogener Daten in ein Nicht-EU-Land zusätzlich nur dann zulässig, wenn dieses Drittland ein angemessenes Datenschutzniveau gewährleistet oder die anderen Anforderungen an eine internationale Übermittlung erfüllt sind. Daraus ergibt sich ein 2-Stufen-Test:

    1. Stufe: Generelle Zulässigkeit des Datentransfers

      Auf der 1. Stufe ist vor allem Art. 6 Abs. 1 DSGVO zu beachten. Das heißt, dass es eine Rechtsgrundlage für die Übermittlung geben muss. Die verantwortliche Stelle muss Betroffene zudem über die Absicht zur internationalen Datenübermittlung informieren, Art. 13 Abs. 1 f) DSGVO. Darüber hinaus muss sie Informationen über Maßnahmen zur Einhaltung der besonderen Anforderungen an eine internationale Datenübermittlung (sog. Tools) zur Verfügung stellen. Ein Betroffener muss Zugang zu entsprechenden Dokumenten haben. Ein Verantwortlicher muss entweder eine entsprechende Kopie bereitstellen oder eine Fundstelle angeben.

    2. Stufe: Einhaltung der besonderen Anforderungen an eine internationale Datenübermittlung

      Auf der 2. Stufe können verschiedene Tools eingesetzt werden, um eine internationale Datenübermittlung zu rechtfertigen. Dazu gehören u.a.:

     

  • Wie beschrieben, ist eine Übermittlung personenbezogener Daten in Drittländer . wie es dann UK wäre - nur unter eingeschränkten Voraussetzungen möglich. Hier ist von Bedeutung, ob es sich bei dem betreffenden Land um ein nach Ansicht der EU-Kommission „sicheres“ oder „unsicheres“ Drittland handelt. Die Entscheidung darüber trifft die EU-Kommission (sog. Angemessenheitsentscheidung). Für Länder, denen die Einhaltung eines angemessenen Datenschutzniveaus (Art. 45 DSGVO) attestiert wurde, gelten dann keine besonderen Regelungen mehr. Daher sind in solche Länder Datentransfers jederzeit ad-hoc und damit problemlos möglich. Folgenden Ländern wurde ein angemessenes Datenschutzniveau bescheinigt:

    Andorra

    Argentinien

    Färöer

    Guernsey

    Ilse of Man

    Israel

    Jersey

    Kanada

    Neuseeland

    Republik Östlich des Uruguay

    Schweiz

    USA (siehe dazu unten)

     

    Besonderheit USA: Die EU-Kommission kann auch nur sektorbezogene Entscheidungen treffen. Ein prägnantes Beispiel ist das EU-US Privacy-Shield für Übermittlungen in die USA. Hier wurde die Angemessenheit nicht bezogen auf das gesamte Rechtssystem der USA, sondern hinsichtlich der Eckvereinbarungen zur Zertifizierung von US-Unternehmen und der Interventionsmöglichkeiten von EU-Bürgern festgestellt. Die Anerkennung der Angemessenheit – ob insgesamt oder sektorbezogen – beinhaltet die Feststellung, dass die nationalen Datenschutz- und sonstigen Vorschriften des Drittlandes ein der EU entsprechendes Schutzniveau für die Bürger aufweisen.

    Für das Vereinigte Königreich müsste die EU-Kommission nun neue Verhandlungen für einen Angemessenheitsbeschluss aufnehmen. Mit Blick auf die in den letzten Jahren nicht nur in Großbritannien erlassenen Geheimdienstgesetze  erscheint bereits fraglich, ob es überhaupt sie einfach zur Feststellung der Angemessenheit kommen könnte. Während die gesetzliche Fiktion des hohen EU-Datenschutzniveaus für Mitgliedsstaaten immer wirkt, wird in Drittländern genau hingeschaut. Hier könnte beispielsweise der 2016 – unter der damaligen Innenministerin Theresa May – eingebrachte Investigatory Powers Act plötzlich als möglicher Stolperstein diskutiert werden.

    Auch zeitlich hätte ein Austrittsabkommen mehr Spielraum verschafft. Denn ein solches Angemessenheits-Verfahren dauert. So wurden die Wirtschaftsverhandlungen mit Japan , die auch den zuletzt getroffenen Angemessenheitsbeschluss vorbereiteten und – ähnlich wie im Falle Kanada – nicht einmal das gesamte Rechtssystem, sondern nur ausgewählte Rechtsgebiete betrafen, bereits im Jahre 2013 aufgenommen. Legt man diese Zeit für die Neuverhandlung der EU mit dem Vereinigten Königreich zugrunde, hätte auch eine Übergangszeit von zwei Jahren wohl nicht vollständig ausgereicht, um zwischenzeitlich eine belastbare Lösung für unkomplizierte Datenübermittlungen zu finden.

  • Die wohl pragmatischste Lösung im Falle eines ungeregelten Brexit wird in der Aufnahme von EU-Standardvertragsklauseln in bereits bestehende Verträge mit UK-Dienstleistern oder Niederlassungen liegen. Bei diesen handelt es sich um Klauseln, welche im Jahre 2010 von der EU-Kommission entwickelt wurden, um die vertragliche Sicherstellung eines angemesseneren Datenschutzniveaus zu unterstützen. Nach dem Safe-Harbor-Urteil des EuGH hatte die EU-Kommission am 17.12.2016 eine Änderung der Klauselvorgaben beschlossen. Auch die britische Datenschutzbehörde (ICO) gibt hier entsprechende Tipps zur Einbindung in Verträge:
    https://ico.org.uk/about-the-ico/news-and-events/blog-data-protection-and-brexit-ico-advice-for-organisations/

    Es gibt verschiedene Version je nachdem, ob das Unternehmen Verantwortlicher (Controller – Art. 4 Nr.7 DSGVO) oder Auftragsverarbeiter (Processor – Art. 4 Nr. 8 DSGVO) ist.

    Klauseln für die Übermittlung zwischen Verantwortlichen

    Set 1

    Set 2

    Klauseln für die Übermittlung zwischen Verantwortlichen an Auftragsverarbeiter

    Set 1

  • Personenbezogene Daten dürfen auch weiterhin mit Einwilligung der Betroffenen nach UK übermittelt werden. Besonderheit hier: Die Einwilligungserklärung muss sich ausdrücklich auf den Umstand beziehen, dass die Daten in ein Land übermittelt werden, welches kein angemessenes Datenschutzniveau bietet bzw. ein solche nicht durch einen entsprechenden Angemessenheitsbeschluss der EU-Kommission bestätigt wurde. Ohne diesen Zusatz fehlt es ansonsten an der erforderlichen Transparenz gemäß Art. 49 DSGVO. Die Zulässigkeitist danach nur gegeben: „wenn] die betroffene Person [ ]in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.“

  • Vielfach wird man die Übermittlung allerdings auch auf vertragliche Füße stellen können. Nach Art. 49 Abs. 1 b) ist eine Übermittlung auch in ein Drittland ausnahmsweise zulässig, soweit: „die Übermittlung [  ] für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich [  ]. Dies gilt zum Beispiel für Reisevertragsdaten bei Buchungen über ausländische Diensteanbieter.

  • Eine andere Möglichkeit, internationale Datentransfers innerhalb einer Unternehmensgruppe zu realisieren, ist die Erstellung verbindlicher Unternehmensregeln (BCR). BCRs werden vornehmlich von größeren Konzernen eingesetzt. Die hierfür notwendigen Maßnahmen sind sehr zeit-, kosten- und personalintensiv. Insbesondere eine Ausarbeitung, Abstimmung mit einer Datenschutzbehörde und Implementierung von BCRs. In Art. 47 DSGVO ist hier – anders als bei den Hinweisen zu Zertifizierungen( Art 42 DSGVO) oder Code of Conducts (Art. 40 DSGVO) keine Erleichterungen bezogen auf besondere Bedürfnisse von kleinen und mittleren Unternehmen.

UPDATE 08.03.2019

Datenschutzkonferenz (DSK) mit Informationen zum Brexit

Die Datenschutzkonferenz hat am 8. März ein Informationspapier zu den datenschutzrechtlichen Konsequenzen des Brexit veröffentlicht. Auf zwei Seiten werden in Kürze die allgemeinen Folgen eines geregelten und eines ungeregelten Brexit dargestellt. Außerdem wird auf das in unserem letzten Update veröffentlichte Papier des Europäischen Datenschutzausschusses verwiesen.

UPDATE 13.02.2019

Europäischer Datenschutzausschuss mit Handlungsempfehlungen bei ungeregeltem Brexit

Auch der Europäische Datenschutzausschuss hat sich nun in einer Mitteilung vom 12.02.2019 zu den Konsequenzen eines No-Deal-Szenarios beim Brexit geäußert. In dem Papier werden 5 Schritte zur Vorbereitung auf Datentransfers nach UK aufgezeigt und die – oben in den FAQs dargestellten – Übermittlungsgrundlagen aufgezeigt. Mit Blick auf die von der DSGVO neu eingeführten Tools der Codes od Conduct oder Zertifizierung kündigt der Ausschuss entsprechende Leitlinien an.

Bei uns befassen sich diese Gremien mit dem Thema Recht: