Mit der gescheiterten Abstimmung für einen geordneten Austritt Großbritanniens aus der Europäischen Union, wird ein ungeordneter Abgang immer wahrscheinlicher. Nicht nur wirtschaftliche und geopolitische Konsequenzen wird es geben, sondern auch hinsichtlich der DSGVO bzw. des Datenschutzes.

WAS KANN PASSIEREN HINSICHTLICH DER DSGVO?

Falls in Bezug auf den Datenschutz keine extra Abkommen oder Richtlinien ausgearbeitet werden sollten, wird das Vereinigte Königreich mit dem vermutlichen Austritt am 29.03.2019 nach Art. 44 DSGVO zu einem Drittland:

„(…) Datenübermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland (…) verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter (…) (einhält) (…).“

Im günstigsten Fall erhält das UK einen Status wie Norwegen, welches zum EWR gehört und somit zumindest teilweise auf das EU-Recht verpflichtet ist. Der Status Drittstaat wird jedoch nicht umgangen werden können. Ein Kompromiss zusammen mit der EU wird vermutlich auch eher unwahrscheinlich, da bereits bei der Verabschiedung der DSGVO große Bedenken gegenüber einiger Artikel der Datenschutz-Grundverordnung angeführt wurden. So z.B. war GB gegen den Art. 48 DSGVO („NSA-Klausel“). Dieser Artikel besagt, dass nach dem Unionsrecht Bürger der Union vor Drittstaatlicher Überwachung geschützt werden. Sollte GB ein Drittland werden, wäre eine Datenübermittlung an britische Gerichte und Strafverfolgungsbehörden nur noch im Rahmen des Rechtshilfeabkommens möglich.

WAS IST JETZT WICHTIG FÜR UNTERNEHMEN?

Der D-Day für die Bewertung von UK als Drittland ist bis auf weiteres der 29.03.2019. Bis dahin sollten Unternehmen folgende Fragen stellen:

  • Werden weisungsgebundene Dienstleister oder sonstige Kooperationspartner eingesetzt, die ihren Unternehmenssitz in UK haben oder dort zumindest Daten abspeichern?
  • Hat das Unternehmen selbständige oder unselbständige Niederlassungen bzw. Vertriebsmitarbeiter in UK?
  • Setzt ein Dienstleister/Auftragsverarbeiter Subdienstleister in UK ein?

Wenn eine dieser Fragen mit „Ja“ beantwortet werden kann, sollten Maßnahmen zur Sicherstellung des Datenschutzniveaus getroffen werden. Diese Maßnahmen sollten vorbereitet werden, um im Falle eines tatsächlichen No-Deal-Brexits vorbereitet zu sein und umgehend die Maßnahmen einleiten zu können.

EU-STANDARD-VERTRAGSKLAUSELN/VORGABEN AN DRITTSTAATENAUSTAUSCH

Wie bereits erläutert wird Großbritannien bei einem Austritt aus der EU datenschutzrechlich zu einem Drittland (wie bspw. China und USA). Deswegen müssen nach Art. 44 – 50 DSGVO die ergänzenden Vorgaben eingehalten werden. Die Standardvertragsklauseln, welche schon mit dem Start der DSGVO zum Usus gehören, sind die ersten Maßnahmen, die zu treffen sind. Diese Klauseln verpflichten Verantwortliche Stellen in UK zum Einhalt von festgeschriebenen Datenschutzstandards. Aufgrund der bisherigen Gültigkeit der DSGVO ist davon auszugehen, dass diese Grundprinzipien britischen Unternehmen bekannt sein sollten und eine Berücksichtigung erwartet werden kann. Diese Vertragsklauseln sollte sowohl mit Auftragsverarbeitern als auch anderen Verantwortlichen abgeschlossen werden. Auch gruppenintern können solche Klauseln zur Absicherung der Datentransfers dienen.

ANPASSUNG DER DATENSCHUTZINFORMATIONEN

Weiterhin sind erweiterte Informationspflichten zu berücksichtigen: Die an Betroffene bereitgestellten Datenschutzerklärungen (bspw. bei Website-Nutzung, für Geschäftspartner oder Mitarbeiter) müssen aktualisiert werden. Gem. Art. 13 Abs. 1 Satz 1 lit. f und 14 Abs. 1 Satz 1 lit. f DSGVO muss über die Absicht der Datenübermittlung in ein Drittland gesondert informiert werden. Dies gilt auch bei gruppeninternen Datentransfers oder wenn einzelne unselbständige Vertriebsmitarbeiter Daten europäischer Bürger erhalten können. Damit einher geht die Information im Falle der Geltendmachung eines Auskunftsrechts nach Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO.

FORMALE VORGABEN ZUM DATENSCHUTZ

Ergänzend müssen die Übermittlungen in Drittländer in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden (Art. 30 Abs. 1 lit. d und e bzw. Art. 30 Abs. 2 lit. c DSGVO. Der Landesdatenschutzbeauftragte Rheinland-Pfalz weist zudem darauf hin, dass Datenschutzfolgenabschätzungen erstmals durchzuführen bzw. zu aktualisieren sind, soweit eine Datenübermittlung in ein Drittland betroffen ist.

Werden zudem Datenverarbeitungen mit einem Transfer nach UK auf eine Einwilligung gestützt, sind die ergänzenden Informationen nach Art. 49 Abs. 1 lit. a DSGVO zu erteilen: Die Betroffenen sind über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien zu unterrichten. Ggf. müssten Einwilligungserklärungen daher ergänzt und dann neu eingeholt werden.

Soweit eine Konzern-/Gruppengesellschaft bzw. eine Niederlassung/Vetriebsmitarbeiter in UK ansässig sind, kann es zudem erforderlich werden, dass bis zum Stichtag ein Vertreter nach Art. 27 DSGVO innerhalb der EU bestellt werden muss. Dies gilt jedoch nur, wenn auf die UK-Einrichtung Art. 3 Abs. 2 DSGVO Anwendung findet, also wenn die Einrichtung EU-Bürger überwacht (z.B. durch Online-Tracking) oder zielgerichtet Produkte für EU-Bürger anbietet und daher deren Daten verarbeitet.