Am 31.12.2020 endete die Übergangszeit für den Austritt des Vereinigten Königreichs aus der EU mit weitreichenden praktischen Folgen für viele Lebensbereiche. Auch im Bereich des Datenschutzrechts fehlt es an einer langfristigen Lösung, auf die sich betroffene Unternehmen verlassen können. Zurzeit gelten Übergangsregelungen von begrenzter Dauer. Wir stellen Ihnen in diesem Beitrag die aktuellen Bestimmungen vor, wagen einen Blick in die Zukunft des Datenschutzrechts im UK und zeigen auf, welche Maßnahmen Unternehmen jetzt schon treffen sollten.
Wie ist der aktuelle Stand für Datenübermittlungen nach Großbritannien?
Mit dem Ende der Frist bis zum 31. Dezember 2020 ist Großbritannien endgültig nicht mehr Mitglied der EU. Da bislang allerdings keine Einigung für langfristige Anschlussregelungen erzielt werden konnte, gilt seit dem 1. Januar 2021 eine erneute Übergangsphase für zunächst vier Monate bis zum 30. April 2021. In dieser Übergangsphase unterliegen Datenübermittlungen ins UK (noch) nicht den verschärften Voraussetzungen an sog. Drittstaatenübermittlungen aus Art. 44 DSGVO. Die Übergangsphase kann nochmals stillschweigend um zwei Monate verlängert werden. Weitere Verlängerungsoptionen sieht das Abkommen jedoch nicht vor. Unternehmen müssen sich daher darauf einstellen, dass Großbritannien spätestens ab Juli 2021 definitiv als EU-Drittland behandelt wird und Datentransfers den erhöhten Anforderungen für Datenexporte außerhalb der EU unterliegen werden.
Weitere Themen:
- Standardvertragsklauseln und Schrems ll-Update
- Effizienter Datenschutz durch Datenschutzmanagementsysteme
Welche Lösung ist künftig vorgesehen?
Der Handlungsbedarf für Unternehmen hängt maßgeblich davon ab, welche Lösung nach Ablauf der Übergangsphase für Datenübermittlungen nach Großbritannien gefunden wird. Die im Austrittsabkommen vorgesehene Lösung ist der Erlass eines Angemessenheitsbeschlusses innerhalb der vier- bzw. sechsmonatigen Übergangsfrist. Der Angemessenheitsbeschluss nach Art. 45 DSGVO soll von der EU-Kommission festgelegt werden, die dazu in Verhandlungen mit UK steht. Mit einem solchen Beschluss bestimmt die Kommission, dass ein Drittland oder auch eine internationale Organisation ein angemessenes, der DSGVO vergleichbares Datenschutzniveau aufweist. Auf dieser Basis dürfen Unternehmen aus der EU personenbezogene Daten in das Drittland übermitteln, ohne eine Genehmigung der Aufsichtsbehörden einzuholen (Art. 45 Abs. 1 S. 2 DSGVO). Datenübermittlungen in Drittländer mit Angemessenheitsbeschluss sind daher verhältnismäßig unproblematisch und an nur wenige Voraussetzungen gebunden. Vorab sollte geprüft werden, ob die konkret geplante Datenübermittlung vom Angemessenheitsbeschluss gedeckt ist und welche Vorgaben gegebenenfalls zusätzlich umgesetzt werden müssen. Betroffene Personen sollten entsprechend informiert werden und zum Beispiel Drittstaatenübermittlungen in die Datenschutzerklärung und das Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgenommen werden. Die allgemeinen Anforderungen der DSGVO an die Rechtmäßigkeit von Datenverarbeitungen müssen selbstverständlich trotz Angemessenheitsbeschluss eingehalten werden. Angemessenheitsbeschlüsse veröffentlicht die EU-Kommission in einer Liste und bestehen bislang für Länder wie unter anderem die Schweiz, Neuseeland oder Japan. Der Beschluss für Großbritannien ist geplant und wird seit März 2020 verhandelt. Aktuell (Stand Februar 2021) sieht es nach Presseberichten danach aus, dass die Kommission den Angemessenheitsbeschluss erlassen wird.
Standardvertragsklauseln: Welche Alternativen gibt es?
Da der Ablauf der Übergangsfrist spätestens zu Ende Juni 2021 ansteht, sollten Unternehmen dennoch Fall-Back-Optionen erarbeiten, für den Fall, dass keine Angemessenheitsbeschluss ergeht. Die wichtigste Alternative zum Angemessenheitsbeschluss für Großbritannien sind die sog. Standardvertragsklauseln (standard contractual clause, SCC) gestützte Datenübermittlungen (Art. 46 Abs. 2 lit. c DSGVO). Die SCC werden ebenfalls von der EU-Kommission erlassen oder auch von einer nationalen Aufsichtsbehörde initiiert und anschließend von der Kommission genehmigt. Anders als ein Angemessenheitsbeschluss sind SCC nicht speziell für einen bestimmten Drittstaat erarbeitet, sondern es handelt sich um vertragliche Regelungen, die der Datenexporteur und der Datenempfänger im Drittland miteinander abschließen können. Auf diese Weise sollen rechtssichere Datentransfers in einen Drittstaat ohne angemessenes Datenschutzniveau ermöglicht werden.
Die SCC enthalten angemessene Garantien, für die sich sowohl Exporteur als auch Empfänger der Daten im Drittstaat verpflichten und somit ein angemessenes Datenschutzniveau für die jeweiligen Datenverarbeitungen zusichern. Das geschieht etwa durch besondere Haftungs- und Informationsvorgaben oder die Pflicht zum umgehenden Aussetzen der Datenübermittlung, sobald die Vorgaben der SCC nicht mehr eingehalten werden können. Ein Vorteil der SCC ist, dass auch hier die Datenübermittlungen nicht von der Aufsichtsbehörde genehmigt werden müssen. Diese Privilegierung gilt allerdings nur, wenn Unternehmen von den von der Kommission erlassenen SCC nicht für die betroffenen Personen in negativer Weise abweichen. Nachteilig ist hingegen der Umstand, dass Verantwortliche bei der Verwendung von SCC für die Umsetzung der enthaltenen Garantien sowie die Sicherstellung des angemessenen Datenschutzniveaus selbst verantwortlich sind. In diesem Zusammenhang hat der Europäische Gerichtshof (EuGH) im „Schrems II“-Urteil Unternehmen zu Datentransfers in die USA vorgegeben, für den Einsatz von SCC zusätzliche Maßnahmen zu ergreifen, die ein ausreichendes Datenschutzniveau für die beabsichtigten Datenübermittlungen gewährleisten.
Benennung eines UK Representative
Unternehmen müssen sich zudem darauf einstellen, die Vorgaben des neuen britischen Datenschutzrechts zu beachten, welches der DSGVO nachfolgt. Bislang ist dieses mit der DSGVO weitgehend identisch und entsprechend als UK-GDPR bezeichnet. Die Änderungen beschränken sich vor allem auf redaktionelle Bearbeitungen, indem etwa die Institutionen der EU im Gesetzestext durch die entsprechenden britischen Behörden ersetzt wurden. Wichtig für Unternehmen aus der EU ist vor allem Art. 27 UK-GDPR, dem Pendant zu Art. 27 DSGVO. Demnach müssen alle Unternehmen aus der EU, die keine Niederlassung in Großbritannien haben, die dort jedoch Waren oder Dienstleistungen anbieten oder das Verhalten betroffener Personen beobachten, einen UK Representative (Datenschutzvertreter) ernennen. Dieser dient als Anlaufstelle für betroffene Personen in Großbritannien sowie für die britische Aufsichtsbehörde, dem British Information Commissioner’s Office (ICO) und vertritt dort EU-Unternehmen in datenschutzrechtlichen Angelegenheiten. Die Pflicht zur Bestellung eines UK Representative besteht beispielsweise, wenn eine Website (etwa ein Online-Shop) betrieben wird, die sich an britische Unternehmen oder Verbraucher richtet und über die Tracking mit Cookies o. Ä. erfolgt. Er muss in Großbritannien niedergelassen sein, schriftlich benannt sowie über alle datenschutzrechtlich relevanten Informationen wie das VVT verfügen.
Fazit und Ausblick
Da die Übergangsfrist spätestens ab Juli 2021 nicht mehr gelten wird, sollten Unternehmen vorbereitet sein, um sich über die Frist hinaus auf die neue datenschutzrechtliche Lage einzustellen. Wie diese aussehen wird, ist leider weiterhin unklar. Einerseits ist ein Angemessenheitsbeschluss geplant und laut dem Brexit-Abkommen vorgesehen, andererseits könnte die Rechtslage in Großbritannien – vor allem mit Hinblick auf die Zugriffsrechte der Sicherheitsbehörden – dagegensprechen. Des Weiteren könnte es auch sein, dass die Verhandlungen nicht rechtzeitig bis zum Ablauf der Frist zum Abschluss kommen. Es ist daher ratsam, sich nicht auf die Vereinbarung über einen Angemessenheitsbeschluss zu verlassen und sich auf den Abschluss von SCC vorzubereiten, um bei Bedarf schnell reagieren zu können und die Datenübermittlungen nicht aussetzen zu müssen. Zudem ist es empfehlenswert zu prüfen, bei welchen Partnern oder Dienstleistern ein Wechsel möglich ist, um mit Unternehmen aus der EU zusammenzuarbeiten. In jedem Fall sollte die Entwicklung sorgfältig beobachtet werden, damit die bisher zulässigen Datenübermittlungen zu keinem Zeitpunkt zu Rechtsverstößen führen.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.