No Deal Brexit – Datenschutzrechtliche Folgen eines “No-Deal-Szenarios”

Mit Ablauf des 29. März 2019 wird Großbritannien aus der Europäischen Union ausscheiden. Sollte es bis dahin nicht gelingen, den Austritt durch ein Abkommen zu regeln, welches auch datenschutzrechtliche Regelungen enthält, wird Großbritannien mit der Loslösung aus dem seit Jahrzehnten bestehenden europäischen Binnenmarkt aus Sicht der Datenschutz-Grundverordnung (DSGVO) zu einem Drittstaat.

Dies hätte zur Folge, dass Unternehmen hinsichtlich der Datenübertragung nach Großbritannien die Einhaltung der besonderen, für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen der Art. 44 ff. DSGVO sicherstellen müssten.

Demgegenüber wird nach Angaben der britischen Regierung die derzeitige Praxis, welche den freien Datenverkehr von Großbritannien in die Europäische Union hin ermöglicht, auch bei einem ungeregelten Austritt fortgesetzt.

Der Europäische Datenschutzausschuss (EDSA) hat sich im Rahmen seiner Februar-Sitzung mit den Folgen eines „harten“ Brexit auseinandergesetzt. Man einigte sich auf datenschutzrechtliche Informationen, welche auf der Webseite des EDSA bereits veröffentlicht wurden. Diese Informationen sollen die Unternehmen anhalten, bereits jetzt die nötigen Vorkehrungen zu treffen, damit Datenübermittlungen nach Großbritannien auch weiterhin im Einklang mit den Vorgaben der DSGVO stehen.

Der EDSA empfiehlt datenverarbeitenden Unternehmen zunächst, sich einen Überblick darüber zu verschaffen, im Rahmen welcher Verarbeitungstätigkeiten personenbezogene Daten nach Großbritannien übermittelt werden. Sodann muss die für diese Übermittlung geeignete Datenübertragungsgrundlage bestimmt und angewendet werden. Die Datenübermittlungen nach Großbritannien sollten zudem intern dokumentiert sowie extern in Form von Datenschutzerklärungen und -hinweisen kommuniziert werden.

Ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO existiert für Großbritannien derzeit nicht. Aus diesem Grund muss zur Sicherstellung der Einhaltung eines angemessenen Datenschutzniveaus eine der folgenden Garantien die Übertragungsgrundlage bilden: Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) und d) DSGVO), verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b) DSGVO), oder Verhaltensregeln und Zertifizierungsmechanismen (Art. 46 Abs. 2 lit. e) und f) DSGVO). Geeigneter Garantien bedarf es nicht, wenn eine Ausnahmeregelung nach Art. 49 DSGVO eingreift.

Unternehmen können die drei durch die Europäische Kommission bereits veröffentlichten Standarddatenschutzklauseln (Dokument 32001D0497, Dokument 32004D0915, Dokument 32010D0087) verwenden. Soweit mit britischen Unternehmen „alte“ Vereinbarungen zum Datentransfer bestehen, sollten die bestehenden Vertragswerke kurzfristig um die Klauselwerke der Europäischen Kommission ergänzt werden. Hierbei ist insbesondere zu beachten, dass diese nicht inhaltlich verändert werden, oder dem gesamten Vertragswerk widersprechen dürfen.

Gleichwohl können auch abgeänderte Standarddatenschutzklauseln geeignete Garantien bieten (Art. 46 Abs. 2 lit. d) DSGVO). In diesem Fall müssen die Klauseln von der nationalen Aufsichtsbehörde nach Genehmigung des EDSA angenommen werden.

Soweit sich ein Teil einer Unternehmensgruppe in Großbritannien befindet und zwischen den Unternehmensteilen ein Austausch personenbezogener Daten stattfindet, bieten sich verbindliche interne Datenschutzvorschriften als geeignete Garantien an. Hierbei handelt es sich um Richtlinien, welche von einer Unternehmensgruppe in Bezug auf Datenübermittlungen innerhalb der eigenen Unternehmensgruppe, (aber möglicherweise auch außerhalb der Europäischen Union), eingehalten werden. Sie stellen geeignete Garantien dar, sobald sie von der nationalen Aufsichtsbehörde nach Stellungnahme des EDSA genehmigt wurden. Tiefergehende Informationen hierzu hat der EDSA auf seiner Webseite veröffentlicht.

Der EDSA arbeitet derzeit noch an Leitlinien, welche die nähere Ausgestaltung der angemessenen Garantien in Form von Verhaltensregeln und Zertifizierungsmechanismen, die durch die DSGVO neu eingeführt wurden, konkretisieren.

Hinsichtlich des Eingreifens eines Ausnahmetatbestands müssen Unternehmen vorsichtig sein: die Ausnahmetatbestände des Art. 49 DSGVO sind restriktiv auszulegen und beziehen sich regelmäßig nur auf gelegentliche Verarbeitungstätigkeiten. Hierzu zählen bspw. die informierte Einwilligung der betroffenen Person, die Notwendigkeit der Übertragung zur Vertragserfüllung oder die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses.

Unternehmen, die personenbezogene Daten nach Großbritannien transferieren, sollten sich mit den Informationen des EDSA umgehend auseinanderzusetzen und die notwendigen datenschutzrechtlichen Maßnahmen alsbald ergreifen. Denn im immer wahrscheinlicher werdenden Falle eines „No-Deal-Szenarios“ heißt es nach Angaben des stellvertretenden Bundesbeauftragten für den Datenschutz, Jürgen H. Müller: „Es wird keine Übergangszeit geben, in der die Datenschutzaufsichtsbehörden Übermittlungen ohne entsprechende Schutzmaßnahmen tolerieren können.“