Zum 31. Dezember 2020 hat das Vereinigte Königreich Großbritannien (UK) die Europäische Union (EU) formal verlassen. Insbesondere in Hinblick auf den Datenschutz sollten Unternehmen aus dem deutschen Mittelstand auf die weitere Entwicklung achten. Insgesamt bestehen leider noch viele Ungewissheiten. Der Digital Hub Cologne gibt erste Hinweise auf ein DSGVO-konformes Vorgehen.

Im vorliegenden Entwurf  für das Handelsabkommen haben sich die EU und Großbritannien auf eine Übergangslösung verständigt, damit personenbezogene Datentransfers auch weiterhin ermöglicht werden. Im Falle einer formalen Einigung sind die Datentransfers in das Vereinigte Königreich zunächst für mindestens vier weitere Monate möglich, ohne dass das europäische Datenschutzrecht dem entgegensteht. Eine Verlängerung um weitere zwei Monate ist automatisch möglich, falls keine der beteiligten Parteien dem widerspricht. Diese zeitlich befristete Periode beginnt mit dem In-Kraft-Treten des Abkommens.

Am Ende können personenbezogene Datentransfers damit für eine Übergangszeit von bis zu sechs Monaten auch ohne Angemessenheitsbeschluss der Europäischen Kommission bzw. ohne geeignete Garantien seitens der Unternehmen weiter ermöglicht werden. Damit bietet die Übergangsregelung für Datenübermittlungen in das Vereinigte Königreich vorläufig Rechtssicherheit für Unternehmen mit Sitz in Deutschland bzw. in der EU, die bislang noch eine technische Lösung oder technische Infrastruktur im Vereinigten Königreich zur Erhebung, Speicherung und Verwaltung von personenbezogenen Daten einsetzen (vgl. Article 10A Interim provision for transmission of personal data to the United Kingdom, S. 406 ff.). 

In der Zwischenzeit bleibt der EU-Kommission eine sogenannten Adäquanzentscheidung nach Art. 45 DSGVO zu treffen. Auf dessen Basis soll die Übermittlung von personenbezogenen Daten in das Vereinigte Königreich ermöglicht werden. Dennoch bleibt dieser Angemessenheitsbeschluss von der EU-Kommission grundsätzlich von einem zuvor geschlossenen Handelsabkommen abhängig. Ferner spielt die zeitliche Komponente der Verfahren auf EU-Ebene eine entscheidende Rolle. Diese Verfahren dauern im Durchschnitt über zwei Jahre.

Zudem müssen auch die hohen Anforderungen aus der Rechtsprechung des Europäischen Gerichtshofs (EuGH) berücksichtigt werden, z.B. die „Schrems II“-Entscheidung (Urteil vom 16.07.2020, C 311/18) oder die Unzulässigkeit der umfassenden Datenverarbeitungsbefugnisse von britischen Geheimdiensten (Urteil vom 06.10.2020, C 623/17).

Sollte nach Ablauf der Übergangsfrist kein Angemessenheitsbeschluss von der EU mit dem Vereinigten Königreich vorgewiesen werden, sollten deutsche Unternehmen von ihren Dienstleistern und Gewerken gemäß Art. 46 DSGVO als Minimumanforderung die entsprechenden Standardvertragsklauseln (siehe Mustervorlage der EU) oder Binding Corporate Rules vorweisen können. Die Unternehmen aus dem deutschen Mittelstand sollten sich auch weiterhin auf den Ernstfall vorbereiten, dass ihre technischen Lösungen und die technische Infrastruktur nicht mehr datenschutzkonform einsetzbar sind.

Betroffen davon sind alle öffentlichen und nicht-öffentliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln. Dazu zählen nicht nur Behörden und Konzerne, sondern vor allem die vielen kleinen und mittelständischen Unternehmen sowie Vereine, Universitäten und privaten Institutionen. Unter personenbezogene Daten können z.B. Vor- und Nachname, Anschrift, Geburtsdatum, Religionszugehörigkeit, Bankdaten, E-Mail-Adressen, Nutzerprofile und weitere Informationen über Kaufabschlüsse und zwar sowohl von Kunden, Beschäftigten, Vertragspartnern als auch von Vereinsmitgliedern oder Studenten gelten.
Vor allem die Inanspruchnahme von IT-Dienstleistungen durch britische Unternehmen oder die Durchführung einer Auftragsverarbeitung durch ein europäisches Unternehmen für einen Verantwortlichen im Vereinigten Königreich stellen eine Datenübermittlung dar, die den Anwendungsbereich des Kapitel V Datenschutz-Grundverordnung eröffnet.

Darüber hinaus sollten die Unternehmen prüfen, ob die Vorgaben des britischen Datenschutzrechts neben der DSGVO zu berücksichtigen sind. Zwar betont die britische Regierung, dass Übermittlungen von personenbezogenen Daten aus dem Vereinigten Königreich in die EU keine weiteren Schutzmaßnahmen getroffen werden müssen. Dennoch kann das britische Datenschutzrecht neben der DSGVO zu beachten sein, z.B. indem ein Vertreter des Unternehmens im Vereinigten Königreich nach britischem Datenschutzrecht benannt werden muss.

Damit während der Übergangsphase die Vorschriften für die Datenübermittlung in Drittländer eingehalten werden können, sollten Unternehmen insbesondere die folgenden Punkte berücksichtigen:

  1. Im Informationsblatt zur Datenverarbeitung und in den Datenschutzhinweisen einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO über die Datenübermittlung in ein Drittland zu informieren.
  2. Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO auch über die Datenübermittlung in Drittländer zu beauskunften.
  3. Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
  4. Ggf. sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das Vereinigte Königreich als Drittland geht (Art. 35 DSGVO).
  5. Wenn die EU-Kommission keinen Angemessenheitsbeschluss erlassen hat, sind geeignete Garantien zum Schutz personenbezogener Daten bei der Übermittlung in ein Drittland gemäß Art. 44 ff. DSGVO zu schaffen, wenn nicht Ausnahmetatbestände greifen.

Die Datenübermittlung in ein Drittland darf zumindest auch ohne das Vorliegen geeigneter Garantien zum Schutz der Daten erfolgen, wenn die Voraussetzungen für einen der folgenden Ausnahmetatbestände des Art. 49 DSGVO erfüllt sind:

  • wirksame Einwilligung der betroffenen Person
  • Erforderlichkeit zur Vertragserfüllung
  • wichtige Gründe des öffentlichen Interesses
  • Verfolgung von Rechtsansprüchen
  • Schutz lebenswichtiger Interessen
  • Wahrung zwingender berechtigter Interessen

Der Digital Hub Cologne empfiehlt allen mittelständischen Unternehmen und insbesondere jungen Startups, ihre digitalen Umgebungen auf den Datenverkehr in das Vereinigte Königreich anhand der obigen Ausführungen zu prüfen und entsprechende strategische Maßnahmen vorzubereiten, um im Ernstfall alternative Dienste und Dienstleister einzusetzen. 

Für Unternehmen bleibt die Option, vorläufig mit Standardvertragsklauseln weiter zu arbeiten oder nach alternativen Geschäftspartnern bzw. Dienstleistern innerhalb der EU zu suchen. Alternativ empfiehlt es sich, zusätzliche Datenschutzgarantien rechtzeitig vorzulegen und diese auch durchzusetzen. Dabei müssen die Informationspflichten und Verfahrensverzeichnisse entsprechend an die neuen Dienstleister und Prozesse angepasst werden.

0 Kommentare

Hinterlasse ein Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.