Datentransfers nach Brexit

Das Vereinigte Königreich bewegt sich auf einen ungeregelten Brexit zu. Am 15. Januar 2019 hatte das britische Parlament mit mehrheitlich gegen das von der EU zusammen mit der Regierung um Theresa May ausgehandelte Austrittsabkommen votiert. Zwar hat das britische Parlament am 29.Januar 2019 noch einmal gegen einen ungeregelten Austritt und für weitere Gespräche gestimmt. Nach der Wahl von Boris Johnson zum neuen Premierminister im Juli 2019 sieht es allerdings kaum noch danach aus, als ob ein No-Deal-Brexit nun noch abzuwenden sein wird. Neuverhandlungen mit der EU hatte Ratspräsident Tusk zuvor bereits eine Absage erteilt. Die Frist läuft am 31. Oktober 2019 ab.

Die Unternehmen der digitalen Wirtschaft (und nicht nur diese) sollten daher vorbereitet sein. Großbritannien ist Deutschlands fünftwichtigster Handelspartner. Die EU-Kommission bezifferte den Wert der europäischen Datenökonomie bis 2020 auf bis zu 739 Milliarden Euro. Laut dem Chef der britischen Handelskammern BCC, Adam Marshall, befindet sich die britische Wirtschaft wegen der Unklarheiten über die zukünftigen Handelsbeziehungen zwischen EU und UK in einer „Schockstarre“. Der deutsche Industrie und Handelskammertag (DIHK) befürchtet „massive Auswirkungen“, die der deutschen Wirtschaft bei einem ungeregelten Brexit drohen. Am 05.September 2019 hatte auch das deutsche Bundeskabinett Übergangsreglungen für den Brexit beschlossen.

Unternehmen der digitalen Wirtschaft müssen sich jetzt dringend auf ein No-Deal-Szenario vorbereiten. Dies betrifft insbesondere solche Unternehmen die

  • eine Niederlassung oder Betriebsstätte in UK haben
  • mit Systemen/Software arbeiten, die aus UK heraus angeboten werden (Software as a Service (SaaS)
  • Bestellungen oder Lieferungen über einen UK-Dienstleister abwickeln

Hier gilt es zu klären, ob und welche Datenübermittlungen an Unternehmen mit Sitz im Vereinigten Königreich erfolgen. Dabei ist es wichtig zu wissen, dass nicht nur Übermittlungen personenbezogener Daten betroffen sind. Ausreichend ist bereits die Möglichkeit des Zugriffs auf (Kunden-)Datenbanken durch Unternehmen mit Sitz außerhalb der EU. In unserem FAQ stellen wir die Konsequenzen eines ungeregelten Brexits für die Datenwirtschaft dar und informieren Unternehmen darüber, welche Maßnahmen nun ergriffen werden müssen, um auch nach dem 01.November 2019 rechtssicher Daten nach UK übermitteln zu können. Unternehmen sollten auch schauen, ob es daneben angezeigt ist, Daten möglichst nur noch innerhalb der EU zu verarbeiten oder verarbeiten zu lassen, da innerhalb der EU keine zusätzlichen Maßnahmen für Datentransfers notwendig sind.

  • Da während des Übergangszeitraums das gesamte Unionsrecht weiterhin so gelten sollte, als ob das Land ein Mitgliedstaat gewesen wäre, hätten Datentransfers zunächst weiterhin wie gewohnt – also ohne weitere Vorkehrungen - stattfinden können. Die Frage des Datenschutzes ist in den Art. 70ff des Vertrages angesprochen. Nach Ablauf der Übergangszeit zum 31.Dezember 2020 sollte Großbritannien die EU-Datenschutzvorschriften dann weiterhin für diejenigen personenbezogenen Daten anwenden, die in dieser Zeit übermittelt bzw. ausgetauscht werden und bis die EU durch eine formelle Angemessenheitsentscheidung festgestellt hat, dass das britische Datenschutzregime gleichwertige Garantien bietet.

    Der Austrittsvertrag hätte dem Vereinigten Königreich auch an anderer Stelle genützt. Die Übergangszeit hätte Großbritannien auch Spielraum für internationale Verhandlungen zu Datentransfers gegeben. So gelten Datenübermittlungen z.B. in die USA auf Grundlage des EU-US Privacy Shields nur für die Mitgliedsstaaten der Europäischen Union. Es hätten diesbezüglich entsprechende Vereinbarungen verhandelt werden können. Nun müssen britische Unternehmen darauf hoffen, dass US-Unternehmen ihre Verpflichtungen aus dem EU-US-Privacy-Shield explizit auch auf Datenübermittlungen aus dem Vereinigten Königreich erstrecken und entsprechend kurzfristig aktualisieren.

  • Am 11. April 2019 haben sich die EU und UK auf eine Verlängerung der 2-jährigen Austrittsfrist bis zum 31. Oktober 2019 verständigt. Bis dahin soll den Briten noch ein letzes Mal die Möglichkeit gegeben werden, die Exit-Strategie politisch zu klären. Nachdem mit Boris Johnson nun ein erklärter Brexit-Befürworter das Amt des Premierministers übernommen hat scheint kaum erwartbar, dass es zu einer grundsätzlichen Umkehr oder gar zu einem zweiten Referendum kommen wird. Gestiegen ist hingegen die Wahrscheinlichkeit, dass das Vereinigte Königreich die EU nun tatsächlich ohne Austrittabkommen mit der EU verlässt.

    Ohne ein Austrittsabkommen werden die Regelungen des europäischen Binnenmarktes und der Zollunion ab dem 01. November 2019, Punkt 0:00 Uhr automatisch keine Anwendung mehr finden. Dies gilt auch für sekundärrechtliche Bestimmungen wie die DSGVO. Großbritannien ist ab Ende März also bis auf Weiteres auch “datenschutzrechtliches Drittland”. Datentransfers an Niederlassungen oder Auftragsverarbeiter sind dann nicht mehr ohne die Einhaltung spezieller Anforderungen realisierbar. Dies kann erhebliche Auswirkungen auf die Datenwirtschaft zwischen EU und UK haben.

  • Für die Frage der datenschutzrechtlichen Zulässigkeit von Datentransfers ist zunächst zwischen Transfers innerhalb der EU und an andere Drittstaaten zu unterscheiden. Zunächst bedarf es für alle Datentransfers einer geeigneten Rechtsgrundlage nach DSGVO. Die Übermittlung personenbezogener Daten in ein Nicht-EU-Land zusätzlich nur dann zulässig, wenn dieses Drittland ein angemessenes Datenschutzniveau gewährleistet oder die anderen Anforderungen an eine internationale Übermittlung erfüllt sind. Daraus ergibt sich ein 2-Stufen-Test:

    1. Stufe: Generelle Zulässigkeit des Datentransfers

      Auf der 1. Stufe ist vor allem Art. 6 Abs. 1 DSGVO zu beachten. Das heißt, dass es eine Rechtsgrundlage für die Übermittlung geben muss. Die verantwortliche Stelle muss Betroffene zudem über die Absicht zur internationalen Datenübermittlung informieren, Art. 13 Abs. 1 f) DSGVO. Darüber hinaus muss sie Informationen über Maßnahmen zur Einhaltung der besonderen Anforderungen an eine internationale Datenübermittlung (sog. Tools) zur Verfügung stellen. Ein Betroffener muss Zugang zu entsprechenden Dokumenten haben. Ein Verantwortlicher muss entweder eine entsprechende Kopie bereitstellen oder eine Fundstelle angeben.

    2. Stufe: Einhaltung der besonderen Anforderungen an eine internationale Datenübermittlung

      Auf der 2. Stufe können verschiedene Tools eingesetzt werden, um eine internationale Datenübermittlung zu rechtfertigen. Dazu gehören u.a.:

     

  • Wie beschrieben, ist eine Übermittlung personenbezogener Daten in Drittländer . wie es dann UK wäre - nur unter eingeschränkten Voraussetzungen möglich. Hier ist von Bedeutung, ob es sich bei dem betreffenden Land um ein nach Ansicht der EU-Kommission „sicheres“ oder „unsicheres“ Drittland handelt. Die Entscheidung darüber trifft die EU-Kommission (sog. Angemessenheitsentscheidung). Für Länder, denen die Einhaltung eines angemessenen Datenschutzniveaus (Art. 45 DSGVO) attestiert wurde, gelten dann keine besonderen Regelungen mehr. Daher sind in solche Länder Datentransfers jederzeit ad-hoc und damit problemlos möglich. Folgenden Ländern wurde ein angemessenes Datenschutzniveau bescheinigt:

    Andorra

    Argentinien

    Färöer

    Guernsey

    Ilse of Man

    Israel

    Jersey

    Kanada

    Neuseeland

    Republik Östlich des Uruguay

    Schweiz

    USA (siehe dazu unten)

     

    Besonderheit USA: Die EU-Kommission kann auch nur sektorbezogene Entscheidungen treffen. Ein prägnantes Beispiel ist das EU-US Privacy-Shield für Übermittlungen in die USA. Hier wurde die Angemessenheit nicht bezogen auf das gesamte Rechtssystem der USA, sondern hinsichtlich der Eckvereinbarungen zur Zertifizierung von US-Unternehmen und der Interventionsmöglichkeiten von EU-Bürgern festgestellt. Die Anerkennung der Angemessenheit – ob insgesamt oder sektorbezogen – beinhaltet die Feststellung, dass die nationalen Datenschutz- und sonstigen Vorschriften des Drittlandes ein der EU entsprechendes Schutzniveau für die Bürger aufweisen.

    Für das Vereinigte Königreich müsste die EU-Kommission nun neue Verhandlungen für einen Angemessenheitsbeschluss aufnehmen. Mit Blick auf die in den letzten Jahren nicht nur in Großbritannien erlassenen Geheimdienstgesetze  erscheint bereits fraglich, ob es überhaupt sie einfach zur Feststellung der Angemessenheit kommen könnte. Während die gesetzliche Fiktion des hohen EU-Datenschutzniveaus für Mitgliedsstaaten immer wirkt, wird in Drittländern genau hingeschaut. Hier könnte beispielsweise der 2016 – unter der damaligen Innenministerin Theresa May – eingebrachte Investigatory Powers Act plötzlich als möglicher Stolperstein diskutiert werden.

    Auch zeitlich hätte ein Austrittsabkommen mehr Spielraum verschafft. Denn ein solches Angemessenheits-Verfahren dauert. So wurden die Wirtschaftsverhandlungen mit Japan , die auch den zuletzt getroffenen Angemessenheitsbeschluss vorbereiteten und – ähnlich wie im Falle Kanada – nicht einmal das gesamte Rechtssystem, sondern nur ausgewählte Rechtsgebiete betrafen, bereits im Jahre 2013 aufgenommen. Legt man diese Zeit für die Neuverhandlung der EU mit dem Vereinigten Königreich zugrunde, hätte auch eine Übergangszeit von zwei Jahren wohl nicht vollständig ausgereicht, um zwischenzeitlich eine belastbare Lösung für unkomplizierte Datenübermittlungen zu finden.

  • Die wohl pragmatischste Lösung im Falle eines ungeregelten Brexit wird in der Aufnahme von EU-Standardvertragsklauseln in bereits bestehende Verträge mit UK-Dienstleistern oder Niederlassungen liegen. Bei diesen handelt es sich um Klauseln, welche im Jahre 2010 von der EU-Kommission entwickelt wurden, um die vertragliche Sicherstellung eines angemesseneren Datenschutzniveaus zu unterstützen. Nach dem Safe-Harbor-Urteil des EuGH hatte die EU-Kommission am 17.12.2016 eine Änderung der Klauselvorgaben beschlossen. Auch die britische Datenschutzbehörde (ICO) gibt hier entsprechende Tipps zur Einbindung in Verträge:
    https://ico.org.uk/about-the-ico/news-and-events/blog-data-protection-and-brexit-ico-advice-for-organisations/

    Es gibt verschiedene Version je nachdem, ob das Unternehmen Verantwortlicher (Controller – Art. 4 Nr.7 DSGVO) oder Auftragsverarbeiter (Processor – Art. 4 Nr. 8 DSGVO) ist.

    Klauseln für die Übermittlung zwischen Verantwortlichen

    Set 1

    Set 2

    Klauseln für die Übermittlung zwischen Verantwortlichen an Auftragsverarbeiter

    Set 1

  • Personenbezogene Daten dürfen auch weiterhin mit Einwilligung der Betroffenen nach UK übermittelt werden. Besonderheit hier: Die Einwilligungserklärung muss sich ausdrücklich auf den Umstand beziehen, dass die Daten in ein Land übermittelt werden, welches kein angemessenes Datenschutzniveau bietet bzw. ein solche nicht durch einen entsprechenden Angemessenheitsbeschluss der EU-Kommission bestätigt wurde. Ohne diesen Zusatz fehlt es ansonsten an der erforderlichen Transparenz gemäß Art. 49 DSGVO. Die Zulässigkeitist danach nur gegeben: „wenn] die betroffene Person [ ]in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.“

  • Vielfach wird man die Übermittlung allerdings auch auf vertragliche Füße stellen können. Nach Art. 49 Abs. 1 b) ist eine Übermittlung auch in ein Drittland ausnahmsweise zulässig, soweit: „die Übermittlung [  ] für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich [  ]. Dies gilt zum Beispiel für Reisevertragsdaten bei Buchungen über ausländische Diensteanbieter.

  • Eine andere Möglichkeit, internationale Datentransfers innerhalb einer Unternehmensgruppe zu realisieren, ist die Erstellung verbindlicher Unternehmensregeln (BCR). BCRs werden vornehmlich von größeren Konzernen eingesetzt. Die hierfür notwendigen Maßnahmen sind sehr zeit-, kosten- und personalintensiv. Insbesondere eine Ausarbeitung, Abstimmung mit einer Datenschutzbehörde und Implementierung von BCRs. In Art. 47 DSGVO ist hier – anders als bei den Hinweisen zu Zertifizierungen( Art 42 DSGVO) oder Code of Conducts (Art. 40 DSGVO) keine Erleichterungen bezogen auf besondere Bedürfnisse von kleinen und mittleren Unternehmen.

UPDATE 08.03.2019

Datenschutzkonferenz (DSK) mit Informationen zum Brexit

Die Datenschutzkonferenz hat am 8. März ein Informationspapier zu den datenschutzrechtlichen Konsequenzen des Brexit veröffentlicht. Auf zwei Seiten werden in Kürze die allgemeinen Folgen eines geregelten und eines ungeregelten Brexit dargestellt. Außerdem wird auf das in unserem letzten Update veröffentlichte Papier des Europäischen Datenschutzausschusses verwiesen.

UPDATE 13.02.2019

Europäischer Datenschutzausschuss mit Handlungsempfehlungen bei ungeregeltem Brexit

Auch der Europäische Datenschutzausschuss hat sich nun in einer Mitteilung vom 12.02.2019 zu den Konsequenzen eines No-Deal-Szenarios beim Brexit geäußert. In dem Papier werden 5 Schritte zur Vorbereitung auf Datentransfers nach UK aufgezeigt und die – oben in den FAQs dargestellten – Übermittlungsgrundlagen aufgezeigt. Mit Blick auf die von der DSGVO neu eingeführten Tools der Codes od Conduct oder Zertifizierung kündigt der Ausschuss entsprechende Leitlinien an.

Bei uns befassen sich diese Gremien mit dem Thema Recht: