Datenschutz : Brexit: Rettet den Datenfluss
Die Auswirkungen des Brexits sind zahlreich und tiefgreifend. In der Presse wird über Flugverbindungen, Zollabfertigungen, Zölle und Aufenthaltserlaubnisse gesprochen. Über den Datenfluss mit Stellen in Großbritannien wurde indes nicht berichtet. Diese Lücke soll im Folgenden geschlossen werden. Dabei wird deutlich, dass jeder Empfänger in Großbritannien zu prüfen und ggf. ein zusätzlicher EU-Standardvertrag zu schließen ist. Der Aufwand und die erforderliche Zeit sollten nicht unterschätzt werden. Insbesondere britische Unternehmen dürften bei einer Vielzahl gleichzeitig eintretender Vertragsanfragen schnell an Kapazitätsgrenzen stoßen.
Die Datengrenze
Die EU wird nicht nur durch eine physische Außengrenze geschützt, sondern auch durch eine unsichtbare datenschutzrechtliche Grenze. Um einen einheitlichen Binnenmarkt zu erschaffen, sollen zwischen den EU-Mitgliedsstaaten personenbezogene Daten frei fließen dürfen. Dazu hat der europäische Gesetzgeber mit der Datenschutz-Grundverordnung (DS-GVO) für ein einheitliches Datenschutzniveau in der EU gesorgt. Damit schützt er auch EU-Bürger vor dem Datentransfer in Nicht-EU-Staaten. In Nicht-EU-Staaten wird ein potenziell niedrigeres Datenschutzniveau als in der EU unterstellt.
Mit dem Brexit verlässt Großbritannien die EU und wird zu einem Nicht-EU-Staat, einem sogenannten „Drittstaat“. In der Folge dürfen personenbezogene Daten nicht mehr ohne weiteres nach Großbritannien übertragen werden. Die Regeln für den Datenverkehr in Drittstaaten sind anzuwenden. Bei einem Verstoß drohen Sanktionen bis hin zu einem Bußgeld von bis zu 20 Mio. Euro oder – sofern höher – vier Prozent des weltweiten Konzernvorjahresumsatzes. Die europäischen Datenschutzaufsichtsbehörden haben angekündigt, gegen rechtswidrige Datentransfers vorzugehen. Eine Übergangszeit wird es nicht geben. Weiterhin plant die EU-Kommission keine Notmaßnahmen, um den Datentransfer zu „retten“. Vielmehr sind die bestehenden und im Folgenden vorgestellten Instrumente aus der DS-GVO zu verwenden.
Auch ein verschobener Brexit würde lediglich den Beginn der „Datengrenze“ hinauszögern. Unternehmen bekämen mehr Zeit zur Vorbereitung. Die grundlegende Thematik sowie ihre Lösungsmöglichkeiten würden sich jedoch nicht grundlegend ändern. Aus diesem Grund ist es angeraten, sich jetzt mit den Datengrenzen und ihrer Überwindung zu beschäftigen. Für die Gegenrichtung, d. h. von Großbritannien in die EU, sind mit dem Brexit die entsprechenden britischen Gesetze zu beachten.
Zahlreiche betroffene Unternehmen
Offensichtlich betroffen sind Unternehmen, die Niederlassungen oder Gesellschaften sowohl in der EU als auch in Großbritannien haben. Hier bedarf der Datenverkehr zwischen den Niederlassungen und Gesellschaften in der EU zu denen in Großbritannien einer neuen Gestaltung. Betroffen sind aber auch alle Unternehmen, die britische Lieferanten und Dienstleister beauftragen. Bereits die Übertragung eines Namens oder einer persönlichen E-Mail-Adresse nach Großbritannien reicht aus, um betroffen zu sein. Es gibt keine Beschränkung auf bestimmte Arten von Dienstleistungen oder Lieferanten. Weiterhin gibt es keine Arten von Daten, die so belanglos sind, dass sie auf jeden Fall nach Großbritannien übertragen werden dürften.
Um die Datenflüsse absichern zu können, ist eine Übersicht aller Empfänger von personenbezogenen Daten in Großbritannien erforderlich. Mit jedem Empfänger muss der Datentransfer einzeln abgesichert werden. Verschaffen Sie sich deshalb einen vollständigen Überblick über alle Empfänger in Großbritannien.
Schaffung eines angemessenen Datenschutzniveaus
Grundsätzlich dürfen personenbezogene Daten nur dann in Drittstaaten übertragen werden, wenn der Drittstaat oder mindestens der Empfänger ein Datenschutzniveau aufweist, das dem der EU vergleichbar ist.
Angemessenheitsbeschluss
Ob ein Drittstaat ein vergleichbares Datenschutzniveau aufweist, entscheidet die EU-Kommission. Eine solche Entscheidung wird „Angemessenheitsbeschluss“ genannt (Art 45 DS-GVO). Zum Stichtag 17.01.2019 gibt es Angemessenheitsbeschlüsse für die folgenden Drittstaaten:
- Andorra
- Argentinien
- Kanada (nur kommerzielle Organisationen)
- Färöer-Inseln
- Guernsey
- Insel Man
- Israel
- Jersey
- Neuseeland
- Schweiz
- Uruguay
- Vereinigte Staaten von Amerika (sofern der Empfänger sich dem Privacy Shield unterworfen hat)
Durch ihre Mitgliedschaft zum Europäischen Wirtschaftsraum (EWR) gilt für Norwegen, Liechtenstein und Island die DS-GVO, d. h. diese Staaten sind keine Drittstaaten. Der Vorteil eines Angemessenheitsbeschlusses ist, dass weder auf Seiten des datenübertragenden Unternehmens noch auf Seiten des Empfängers etwas zu tun ist, um das Datenschutzniveau beim Empfänger an die EU-Standards anzupassen. Gleichwohl bleiben die Informationspflichten umzusetzen und der Empfänger muss ggf. einen Vertreter in der EU benennen.
Der Vorteil des Angemessenheitsbeschlusses wirkt erst, wenn der Beschluss förmlich durch die EU-Kommission getroffen und verkündet wurde. Selbst wenn Großbritannien die DS-GVO in die eigene Gesetzgebung übernähme, bedarf es eines Angemessenheitsbeschlusses, um auf weitere Maßnahmen verzichten zu können. Das Verfahren für einen Angemessenheitsbeschluss dauert normalerweise Monate und kann erst nach dem Austritt Großbritanniens starten. Bis dahin müssen die folgenden Instrumente verwendet werden.
EU-Standardvertrag
Gibt es für das Land des Empfängers keinen Angemessenheitsbeschluss, hilft ein sogenannter EU-Standardvertrag weiter (Art. 46 Abs. 2 lit. c) DS-GVO), der auf der Website der EU-Kommission zum Download bereitgestellt wird. Die EU-Kommission stellt zwei Arten von EU-Standardverträgen bereit. Eine Fassung ist für den Transfer zu einem Auftragsverarbeiter im Drittstaat (auch „Controller-Processor“-Vertrag genannt) bestimmt. Die zweite Fassung gilt für eine Übermittlung an einen Empfänger, der die Daten für eigene Zwecke verwenden will (auch „Controller-Controller“-Vertrag genannt).
Ein EU-Standardvertrag ist ein zivilrechtlicher Vertrag zwischen dem datenexportierenden und dem datenempfangenden Unternehmen. Der Empfänger unterwirft sich faktisch den Datenschutzregeln der EU. Damit wird das Datenschutzniveau beim empfangenden Unternehmen auf EU-Niveau gebracht. Um diese Wirkung zu erreichen, dürfen EU-Standardverträge nicht verändert werden. Sie müssen exakt in dem von der EU-Kommission vorgegebenen Wortlaut geschlossen werden. Lediglich die zum Ausfüllen durch die Vertragsparteien gekennzeichneten Passagen dürfen bzw. müssen ausgefüllt werden. EU-Standardverträge heben lediglich das Datenschutzniveau. Kommerzielle Vereinbarungen sind in einem zusätzlichen Vertrag zu regeln. Bei diesen zusätzlichen Verträgen muss die Rangfolge der Verträge so vereinbart werden, dass der EU-Standardvertrag allen übrigen Vereinbarungen vorgeht.
Für Empfänger in Großbritannien stellt bis zu einem Angemessenheitsbeschluss der Abschluss eines EU-Standardvertrages regelmäßig die einzige kurzfristig umzusetzende Möglichkeit dar, den regelmäßigen Datenfluss aufrechtzuhalten.
Verbindliche interne Datenschutzvorschriften
Mehr der Vollständigkeit halber sollen die „verbindlichen internen Datenschutzvorschriften“ (besser bekannt als Binding Corporate Rules (BCR)) erwähnt werden. BCR beziehen sich auf konzerninterne Datenflüsse. Sie lassen sich nicht auf Datenflüsse zu konzernfremden Empfängern anwenden. Ähnlich wie EU-Standardverträge stellen BCR eine zivilrechtliche Vereinbarung dar, mit der sich die teilnehmenden Konzerngesellschaften auf Regeln verpflichten, die im Ergebnis das Datenschutzniveau auf EU-Niveau heben. Faktisch müssen sich damit auch die Konzerngesellschaften in Drittstaaten an die EU-Datenschutzregeln halten.
Damit BCR diese Wirkung entfalten können, müssen sie durch eine Datenschutzaufsichtsbehörde genehmigt werden. Wegen des Genehmigungsvorlaufs taugen sie nicht als kurzfristige Maßnahme. Bestehende BCR können indes auch für den Brexit nutzbar gemacht werden.
Ausnahmen
In ganz engen Grenzen kann in bestimmten Ausnahmefällen auf die Schaffung eines angemessenen Datenschutzniveaus verzichtet werden (Art. 49 DS-GVO). Auf die meisten Datenflüsse sind die Ausnahmen nicht anwendbar. Deshalb wird auf eine ausführliche Erläuterung verzichtet und exemplarisch auf vier Ausnahmen hingewiesen:
- Die betroffene Person hat nach Unterrichtung über die damit verbundenen Risiken in die Übermittlung ausdrücklich eingewilligt (Art. 49 Abs. 1 lit. a) DS-GVO). Eine solche Einwilligung ist grundsätzlich bei Beschäftigten nicht wirksam einholbar.
- Der Transfer ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich (Art. 49 Abs. 1 lit. b) DS-GVO). Bestellt ein Beschäftigter im Auftrag seines Arbeitgebers Güter in Großbritannien, kommt der Vertrag mit dem Arbeitgeber zustande und nicht mit dem Beschäftigten, d. h. diese Ausnahme ist nicht anwendbar.
- Der Transfer ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Unternehmen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich (Art. 49 Abs. 1 lit. c) DS-GVO).
- Der Transfer ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich (Art. 49 Abs. 1 lit. e) DS-GVO).
Information der betroffenen Personen
Die von dem Datentransfer betroffenen Personen müssen darüber informiert werden, dass ihre Daten in einen Drittstaat übertragen werden (Art. 13 Abs. 1 lit. f) und 14 Abs.1 lit. f) DS-GVO). Diese Information muss bei einer Erhebung bei der betroffenen Person spätestens zum Zeitpunkt der Erhebung gegeben werden. Bei einer indirekten Erhebung, d. h. wenn die Daten von einem Dritten erhalten werden, bei Erstkontakt mit der betroffenen Person, spätestens jedoch nach einem Monat.
Konkret ist der Drittstaat zu nennen, d. h. „Großbritannien“. Weiterhin ob ein Angemessenheitsbeschluss besteht. Wenn dieser nicht besteht, ist zu beschreiben, ob ein EU-Standardvertrag oder BCR vereinbart wurden. Es ist anzugeben, wo die betroffene Person eine Kopie des abgeschlossenen EU-Standardvertrags oder der BCR anfordern kann oder wo eine Kopie verfügbar ist.
Kann die Übertragung auf eine Ausnahme nach Art. 49 Abs. 1 DS-GVO gestützt werden, gelten etwas abweichende Informationspflichten.
Auskunftsrecht
Jede Person hat das Recht, Auskunft zu erhalten, welche Daten konkret über sie verarbeitet werden (Art. 15 DS-GVO). Findet ein Datentransfer nach Großbritannien statt, war bisher darauf nicht explizit hinzuweisen. Nach dem Brexit ist Großbritannien als Empfängerland zu nennen und – genauso wie bei den Informationspflichten oben ausgeführt – zu erläutern, ob ein EU-Standardvertrag oder BCR vereinbart wurden. Es ist anzugeben, wo die betroffene Person eine Kopie des EU-Standardvertrags oder der BCR anfordern kann oder wo eine Kopie verfügbar ist. Es empfiehlt sich, das Musterantwortschreiben entsprechend anzupassen.
Vertreter benennen und dokumentieren
Datenempfänger müssen unter bestimmten Umständen einen in der EU niedergelassenen Vertreter bestellen (Art. 27 DS-GVO). Er fungiert als Anlaufstelle für betroffene Personen und Datenschutzaufsichtsbehörden. Ein Vertreter ist dann zu bestellen, wenn der Datenempfänger keine Niederlassung in der EU besitzt und Waren oder Dienstleistungen an Verbraucher – auch kostenfrei – anbietet oder das Verhalten von natürlichen Personen in der EU beobachtet.
Die Vertreter sind regelmäßig in den Informationspflichten zu nennen und in das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO aufzunehmen. Deshalb empfiehlt es sich, die Angaben von den Datenempfängern systematisch abzufragen und diesen vertraglich eine Mitteilungspflicht bei Änderung aufzuerlegen.
Besonderheit bei der Auftragsverarbeitung
Umfasst eine Auftragsverarbeitung, die vor dem Brexit nach Art. 28 DS-GVO geschlossen wurde, auch Auftraggeber oder Auftragnehmer in Großbritannien, tun alle beteiligten Unternehmen gut daran, die Verträge zu prüfen. Der Transfer in einen Drittstaat benötigt regelmäßig eine besondere Genehmigung des Auftraggebers. Die Modalitäten sind im Vertrag zur Auftragsverarbeitung regelmäßig festgeschrieben. Da bei Vertragsschluss Großbritannien Teil der EU war, war damals eine solche Genehmigung nicht erforderlich. Nach dem Brexit ist sie erforderlich.
Es empfiehlt sich, die Genehmigung beim Auftraggeber zeitnah einzuholen und diese zu dokumentieren. Andernfalls müsste der Datenfluss gestoppt werden oder ein Vertragsverstoß fände statt. Weiterhin wird häufig vereinbart, dass die Daten ausschließlich innerhalb der EU verarbeitet werden. Mit dem Brexit würde ein Empfänger in Großbritannien gegen diese Regelung verstoßen. Es empfiehlt sich, zeitnah eine neue Regelung mit dem Vertragspartner zu treffen. Auch droht andernfalls eine Unterbrechung des Datenflusses oder ein Vertragsverstoß.
Datenschutz-Folgeabschätzung
Werden Personen durch die Datenverarbeitung hohen Risiken ausgesetzt, ist eine Datenschutz-Folgeabschätzung nach Art. 35 DS-GVO durchzuführen. Wenn durch den Transfer die Risiken für die betroffenen Personen nach Umsetzung der in diesem Beitrag erläuterten Maßnahmen steigen, sind zusätzliche Maßnahmen zur Risikoreduktion zu ergreifen. Bei Verarbeitungsvorgängen, die vor dem Brexit kein hohes Risiko für die betroffenen Personen bedeuten, sollte dokumentiert werden, warum sich diese Einschätzung durch den Brexit nicht ändert. Dadurch lässt sich nachweisen, dass der Brexit keine Datenschutz-Folgeabschätzung erforderlich gemacht hat. Dieser Nachweis setzt die gesetzliche Verpflichtung um, die Einhaltung der DS-GVO jederzeit nachweisen zu können.