Jedes siebte deutsche Unternehmen verarbeitet selbst Daten in Großbritannien oder hat die Datenverarbeitung dahin ausgelagert. Im Falle eines Brexits gilt die DSGVO für Großbritannien nicht mehr. Wer jetzt jedoch mit einer erleichterten Datenverarbeitung rechnet, der irrt. Unabhängig von der Art und Weise des Austritts (Deal or No-Deal) würde Großbritannien im Falle eines Brexits aus datenschutzrechtlicher Perspektive als sog. „Drittland“ gegenüber Deutschland und der EU gelten. Auch Jürgen H. Müller, stellvertretender BfDI, hob im Rahmen der letzten Sitzung des Europäischen Datenschutzausschusses (EDSA) hervor, dass ein Brexit ohne entsprechenden Deal mit großen datenschutzrechtlichen Risiken verbunden sei. Die DSGVO sieht für Datenübertragungen und Verarbeitungen in Drittländern nämlich spezielle Regelungen vor, auf die sich Unternehmen einstellen müssen. In diesem Artikel soll ein Überblick über die wichtigsten Regelungen gewährt werden.
Hintergrund: Warum dürfen Daten in Drittländer nur in Ausnahmefällen exportiert werden?
Der europäische Gesetzgeber geht davon aus, dass außerhalb des Anwendungsbereichs der DSGVO grundsätzlich kein mit der EU vergleichbares bzw. „angemessenes“ Datenschutzniveau besteht. Allerdings bestehen Ausnahmen vom grundsätzlichen Verbot des Exportierens von Daten in Drittländer. Personenbezogene Daten dürfen dann übermittelt werden, wenn
- in dem Empfangsstaat ein angemessenes Datenschutzniveau gewährleistet ist,
- der Datenimporteur (also das empfangende Unternehmen oder der empfangende Unternehmensteil bei Konzernen) ein angemessenes Datenschutzniveau durch geeignete Garantien herstellt oder
- die Datenübermittlung einer anderen Ausnahmeregelung nach der DSGVO unterliegt.
Rechtliche Bewertung
Angemessenes Datenschutzniveau im Drittland
Das (objektive) Vorliegen eines angemessenen Datenschutzniveaus im Drittland genügt nicht, um eine Datenübertragung in dieses Land zu rechtfertigen. Hinzukommen muss ein sog. „Angemessenheitsbeschluss“ der EU-Kommission gemäß Artikel 46 DSGVO. Angemessenheitsbeschlüsse existieren vorliegend aber nur für wenige Länder, am wohl unsichersten bezüglich seines zukünftigen Bestandes ist dabei der Angemessenheitsbeschluss mit den USA (EU-US-Privacy-Shield), da dessen Effektivität von der EU zunehmend in Frage gestellt wird.
Liegt ein Angemessenheitsbeschluss vor, folgt daraus aber noch nicht automatisch, dass alle Datenübermittlungen in das jeweilige Drittland von nun an zulässig sind. Vielmehr richtet sich die Zulässigkeit der Datenübermittlung nach den Vorgaben des Beschlusses bzw. des ihm zugrunde liegenden Vertrages mit dem Drittland.
Aktuell ist davon auszugehen, dass angesichts der bisherigen Zugehörigkeit von Großbritannien zur EU, in Großbritannien bisher ein angemessenes Datenschutzniveau besteht und dieses auch nach dem Brexit noch in einem Maße vorliegen wird, so dass zumindest baldige Verhandlungen über einen Angemessenheitsbeschluss naheliegen. Die Angemessenheit wurde aber noch nicht festgestellt und die Beschlussfassung stellt regelmäßig einen langwierigen Prozess dar. Für Unternehmen ist ein Angemessenheitsbeschluss jedoch aus verschiedenen Gründen risikobehaftet. So kann es sein, dass kein Angemessenheitsbeschluss zustande kommt. Weiterhin kann es sein, dass der Angemessenheitsbeschluss für den Zweck der jeweiligen Verarbeitung des deutschen Unternehmens nicht greift (etwa, weil der Datenimporteur nicht zertifiziert und gelistet ist, wie sich am Beispiel EU-US-Privacy-Shield zeigt). Außerdem muss ein Angemessenheitsbeschluss alle vier Jahre überprüft werden. Angemessenheitsbeschlüsse sind damit zwar sehr wirksame Instrumente für den Datenfluss in Drittländer, allerdings mit einer gewissen Unsicherheit behaftet, wenn diese auch im Falle von Großbritannien weniger groß ausfallen dürfte als im Falle der USA. Demnach ist es für Unternehmen wichtig, auch Alternativen für rechtmäßige Datenübertragungen in Drittländer in Erwägung zu ziehen.
In Vorbereitung auf einen harten Brexit kündigte die Regierung in Großbritannien an, per Gesetz die wesentlichen Regelungen der DSGVO (in angepasster Form) zu übernehmen. Die Regierung geht davon aus, dass dadurch ein Angemessenheitsbeschluss durch die EU-Kommission mit hoher Wahrscheinlichkeit zustande kommt. Dieser Beschluss ist jedoch noch nicht verabschiedet worden, so dass immer auch alternative „Garantien“ immer in Betracht gezogen werden sollten.
Binding Corporate Rules
Als erste Alternative für Konzerne kommen selbst erarbeitete verbindliche Unternehmensregelungen zum Datenschutz, die Binding Corporate Rules (BCR). Die DSGVO erkennt die BCR in Artikel 47 ausdrücklich als Möglichkeit für einen rechtmäßigen Datentransfer in Drittländer an. Dabei müssen die BCR allerdings von der EU-Kommission genehmigt werden. Sollten Unternehmen sich für diese Möglichkeit entscheiden, die besonders für größere Unternehmen und Konzerne interessant ist, sollten sie bereits jetzt entsprechende BCR erarbeiten und der Kommission zur Prüfung vorlegen. Die Regierung in Großbritannien kündigte für den Fall eines harten Brexits ebenfalls an, existierende BCR auch im nationalen Recht anzuerkennen, wodurch diese auch insoweit weiterhin ihre Gültigkeit behalten werden und nicht gegen das nationale Recht Großbritanniens verstoßen.
Da man mit Auftragsverarbeitern die (nur innerbetrieblich geltenden) BCR nicht vereinbaren kann, ist allerdings auch eine Alternative zu den BCR notwendig.
Standardvertragsklauseln
Standardvertragsklauseln sind von der EU-Kommission erarbeitete und zur Verfügung gestellte Verträge. Sie enthalten Klauseln, bei deren Einhaltung das in der EU geltende Datenschutzniveau gewährleistet sein soll. Einzutragen sind in den jeweiligen Verträgen, die auf der Homepage der Kommission zum Download zur Verfügung stehen, allerdings noch die jeweiligen Konkretisierungen des Einzelfalles, wie die zu verarbeitenden Daten, der Empfänger, usw. Werden solche von der Kommission entworfenen Standardvertragsklauseln gewählt, bedürfen sie nicht mehr der gesonderten Genehmigung durch die Kommission im Einzelfall. Sie können genehmigungsfrei genutzt werden. Zu beachten ist aber, dass solche Klauseln nur für den Fall der Datenübermittlung aus der EU in ein Drittland angewendet werden dürfen.
Für Unternehmen, die insoweit vom Brexit betroffen sind, stellen Standardvertragsklauseln eine gute Möglichkeit dar, um sich auf den Brexit vorzubereiten. Werden sie für die jeweils relevante Situation der Datenübertragung als passend eingeordnet, stellen sie eine rechtssichere Alternative zu einem möglichen Angemessenheitsbeschluss dar. Zu beachten ist dabei aber, dass der von der Kommission vorgegebene Vertragstext weder geändert noch gekürzt werden darf. Die Regierung in Großbritannien verweist ausdrücklich darauf, dass bisher von der Kommission entwickelte Standardvertragsklauseln auch nach dem Brexit eine anwendbare Rechtsgrundlage für den Datentransfer zwischen Großbritannien und der EU darstellen.
Die bisher abgeschlossenen Auftragsverarbeitungsverträge (AVV) werden allein keinen Bestand mehr haben, so dass Unternehmen sich schnellstmöglich um den Abschluss neuer Verträge kümmern sollten.
Vertreter für den Datenschutz
Wichtig ist, dass sowohl nach der DSGVO als auch nach dem Recht Großbritanniens für Unternehmen, die in größerem Umfang Daten im jeweils anderen Rechtsgebiet verarbeiten, die Pflicht besteht, einen Vertreter für Datenschutz im jeweils anderen Rechtsgebiet installieren zu müssen. Dieser fungiert dann als zentrale Anlaufstelle für alle datenschutzrechtlich relevanten Fragen
Weitere Ausnahmen
Neben den oben genannten Möglichkeiten kommt eine Datenübermittlung in Betracht, wenn der Betroffene ausdrücklich und in voller Kenntnis der Sachlage der Übermittlung zustimmt. Da exportierende Unternehmen häufig selbst nicht wissen, was mit ihren Daten passiert, ist diese Alternative risikobehaftet. Im Falle von Datenübertragungen an bisherige Empfänger in Großbritannien könnte die Einwilligungs-Ausnahme jedoch eingreifen, da das deutsche exportierende Unternehmen im Zweifel vollumfänglich über die Weiterverarbeitung aufklären kann. Demgegenüber ist bei den Ausnahmen der „zwingenden Unternehmensinteressen“ und der Übermittlung zur „Erfüllung eines Vertrages“ Vorsicht geboten, weil die DSGVO hier strenge Kriterien anlegt, die etwa bei einem regelmäßigen Datenaustausch im Rahmen einer laufenden Geschäftsbeziehung nicht erfüllt sein dürften
Fazit und Handlungsempfehlung
Unternehmen, die Daten in Großbritannien verarbeiten oder die Datenverarbeitung dorthin ausgelagert haben, müssen angesichts des Brexits keine Panik entwickeln. Vielmehr kann mit guter Vorbereitung – v. a. über Binding Corporate Rules oder Standardvertragsklauseln – bereits jetzt der Grundstein für eine rechtmäßige Datenübertragung auch nach dem Brexit gelegt werden. Die kürzlich durch den EDSA verabschiedeten Leitlinien zu Codes of Conducts können der Vollständigkeit halber ergänzend herangezogen werden.