Viele EU-Unternehmen haben Geschäftsbeziehungen mit Unternehmen im Vereinigten Königreich – und übermitteln regelmäßig personenbezogene Daten nach UK. Das hat auch Auswirkungen auf den Datenschutz. Was müssen Unternehmen beachten, wenn das Brexit-Austrittsabkommen zustande kommt?
Der Entwurf des Austrittsabkommen vom 5. Dezember 2018 sieht Folgendes vor: Im Vereinigten Königreich gilt für eine Übergangszeit bis zum 31. Dezember 2020 die Datenschutz-Grundverordnung („DSGVO“) nach Art. 71 Abs. 1 des Entwurfs für das Austrittsabkommen.
Außerdem regelt der Entwurf: Bezugnahmen in Bestimmungen des anwendbaren Unionsrechts – also auch die DSGVO – auf Mitgliedstaaten innerhalb des Übergangszeitraums sind als Bezugnahmen auf das Vereinigte Königreich zu verstehen. So Art. 7 Abs. 1 des Entwurfs für das Austrittsabkommen.
Wie können Unternehmen personenbezogene Daten nach UK übermitteln?
Wenn das Abkommen zustand kommt, sind Übermittlungen personenbezogener Daten aus der Europäischen Union (EU) in das Vereinigte Königreich nur auf der sog. ersten Stufe zu bewerten. Auf dieser Stufe geht es darum, dass die Verarbeitung der Daten rechtmäßig ist.
Auf dieser Stufe müssen Verantwortliche oder Auftragsverarbeiter shalb sicherstellen, dass die geplante Übermittlung erlaubt ist, z.B. auf Basis berechtigter Interessen, wenn die Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO vorliegen.
Auf der zweiten Stufe sind nach Art. 44 ff. DSGVO die besonderen Voraussetzungen zu bewerten, ob personenbezogene Daten in Drittländer übermittelt werden dürfen – also in Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR).
Wichtig: Diese Voraussetzungen gelten nicht für den Übergangszeitraum bis zum 31. Dezember 2020, wenn das Austrittsabkommen zustande kommt. Denn in diesem Fall ist das Vereinigte Königreich als EU-Mitgliedstaat anzusehen.
Was gilt nach dem Übergangszeitraum?
Wie es nach dem Übergangszeitraum weitergehen würde, ist aktuell noch nicht geklärt. Laut Verlautbarungen wird die EU Kommission vermutlich prüfen, ob UK ein angemessenes Schutzniveau bietet, um einen Angemessenheitsbeschluss zu erlassen (Art. 45 DSGVO).
Dann könnten Übermittlungen nach UK ohne zusätzliche Einschränkungen fortgeführt werden.
Was gilt, wenn es zu einem ungeregelten Brexit kommt?
Das Vereinigte Königreich wäre im Fall eines ungeregelten Brexit schon ab dem 29. März 2019 (um 24 Uhr) als ein Drittland i.S.d. DSGVO anzusehen.
Die Folge: Daten aus der EU bzw. aus dem EWR an einen Empfänger im Vereinigten Königreich zu übermitteln, wäre nur nach den Bedingungen in Art. 44 ff. DSGVO erlaubt.
Geeignete Garantien nach der DSGVO
Die Übermittlung personenbezogener Daten nach UK wird voraussichtlich nicht ab dem 30. März 2019 auf einen Angemessenheitsbeschluss gestützt werden können.
Für einen solchen Beschluss sind Schutzgarantien für personenbezogene Daten deshalb als einschlägige Aufsichtsmechanismen und Rechtsbehelfe regelmäßig umfassend zu bewerten.
Das bedeutet: Übermittlungen personenbezogener Daten bei einem ungeregelten Brexit können sehr wahrscheinlich nur auf Basis geeigneter Garantien stattfinden.
Ein Verantwortlicher oder Auftragsverarbeiter darf personenbezogene Daten an ein Drittland nur übermitteln, wenn er geeignete Garantien vorgesehen hat (Art. 46 Abs. 1 DSGVO). Dies sind z.B. verbindliche konzerninterne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b DSGVO) oder Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Oft werden Übermittlungen personenbezogener Daten auf Standarddatenschutzklauseln zu stützen sein. Vor allem dürften die Ausnahmeregelungen nach Art. 49 DSGVO selten eine Basis sein, um Daten in UK zu übermitteln. Denn diese sind faktenspezifisch und nur in Ausnahmefällen anzuwenden.
Standarddatenschutzklauseln der EU-Kommission
Unter der Datenschutzrichtlinie hat die EU-Kommission Standardvertragsklauseln –„Standarddatenschutzklauseln“– beschlossen, zum einen für die Übermittlung an Auftragsverarbeiter (Beschluss 2010/87/EU), zum anderen für die Übermittlung an einen weiteren Verantwortlichen (Beschluss 2001/497/EC und Beschluss 2004/915/EC).
Standarddatenschutzklauseln helfen nicht immer
Die Standarddatenschutzklauseln bilden allerdings nicht alle denkbaren Konstellationen ab. Problematisch z.B.: Der Auftragsverarbeiter sitzt in der EU bzw. dem EWR und der Subunternehmer außerhalb der EU bzw. dem EWR. Das ist etwa bei Konstellationen von Subunternehmern im Cloud Computing der Fall.
Die Standarddatenschutzklauseln sehen nur folgende Konstellationen vor:
- Verantwortliche übermitteln die Daten an einen weiteren Verantwortlichen oder
- Verantwortliche übermitteln die Daten an einen Auftragsverarbeiter.
Der innerhalb der EU ansässige Auftragsverarbeiter ist jedoch kein „Verantwortlicher“. Deshalb helfen die Standarddatenschutzklauseln in dieser Konstellation nicht.
Konzerninterne Datenschutzvorschriften und “Codes of Conduct“
Viele Unternehmensgruppen fragen sich außerdem, wie geeignete Garantien, v.a. Standarddatenschutzklauseln, zwischen einem Verantwortlichen in der EU bzw. dem EWR und einer rechtlich unselbständigen Niederlassung außerhalb der EU bzw. dem EWR vereinbart werden können.
Das ist durch verbindliche konzerninterne Datenschutzvorschriften oder genehmigte “Codes of Conduct“ möglich. Diese Garantien benötigen wegen der Genehmigungsprozesse eine gewisse zeitliche Flexibilität. Auch aus datenschutzrechtlicher Sicht werden also in Sachen Brexit Strukturierungen nötig sein. EU-Unternehmen bzw. Unternehmen aus dem EWR sind gut beraten, dies frühzeitig in ihre Überlegungen einzubeziehen, wenn sie personenbezogene Daten nach UK übermitteln.