9. Juni 2021

Brexit – Auswirkungen auf den Datenschutz

Hintergründe zum Datenschutz beim Brexit

Die Entscheidung zum Brexit, welcher seit dem 1. Januar 2021 vollzogen ist, hat auch datenschutzrechtliche Auswirkungen.

Damit diese Auswirkungen auf den Datenschutz nicht zu hart und plötzlich ausfallen, wurde eine Übergangsfrist bis Ende Juni 2021 in Bezug auf die Datenübermittlung nach Großbritannien vereinbart. Bis dahin ist eine etwaige Datenübermittlung nach Großbritannien i.d.R. noch datenschutzkonform. Jedoch ist der 30.06.2021 nicht mehr allzu weit entfernt, so dass man sich die nunmehr dringende Frage stellen muss: Was dann?

Ab dem 01.07.2021 gilt Großbritannien nicht mehr als sicheres Drittland, dies bedeutet, dass die Datenschutzgrundverordnung (DSGVO) für britische Unternehmen keine Anwendung mehr findet.

Brexit und Datenschutz - EU-CON BeraterForum GmbH

Obwohl Großbritannien im Jahr 2018 die DSGVO durch den "Data Protection Act" in nationales Recht übernommen hat und somit theoretisch ein einheitliches Datenschutzniveau im Vergleich zu den restlichen europäischen Staaten unterstellt werden könnte, unterliegt Großbritannien faktisch seit Anfang 2021 nicht mehr der Kontrolle der EU.
Dadurch ist die Einhaltung der datenschutzkonformen (DSGVO-konformen) Verarbeitung von personenbezogenen Daten nicht mehr sichergestellt, was dazu führt, dass Großbritannien als außereuropäisches Land, also als so genanntes "Drittland" ähnlich wie die USA, China und Russland gilt. Die Übermittlung von Daten in solche Drittländer ist nicht ohne weiteres möglich und an enge Vorgaben und Regeln geknüpft (Art. 44 DSGVO).

Wodurch wird die Datenübermittlung nach Großbritannien ab dem 01.07.2021 ermöglicht (mögliche Rechtsgrundlagen)?

Der einfachste Weg wäre ein so genannter Angemessenheitsbeschluss - dies bedeutet, dass das Europäische Parlament dem Drittland (hier Großbritannien) attestieren würde, dass ein angemessenes Datenschutzniveau besteht. Dies wurde jedoch bereits abgelehnt, was dazu führt, dass Großbritannien behandelt werden muss wie jedes andere nicht europäische Land, z.B. die USA.

Es gibt jedoch andere Wege der rechtskonformen Datenübermittlung nach Großbritannien:

Nutzung von Standardvertragsklauseln (Art. 46, Abs. 2 lit. c DSGVO):
Bei Standardvertragsklauseln handelt es sich um vorgefertigte Vertragsklauseln, die den Vertragspartner verpflichten, die europäische DSGVO einzuhalten. Die aktuelle Rechtsprechung hat gezeigt, dass die alleinige vertragliche Regelung ohne weitere Überprüfung der tatsächlichen Einhaltung der Datenschutzvorgaben jedoch nicht ausreicht. Das bedeutet bei Nutzung der Standardvertragsklauseln als Rechtsgrundlage zur Übermittlung von Daten in Drittländer ist zum einen ein entsprechender Vertrag zu schließen (hierzu können Sie die aktuellste Version der Standardvertragsklauseln (Stand 04.06.2021) nutzen), und zum anderen ist eine Kontrolle des faktischen Datenschutzniveaus notwendig.

Einwilligung der betroffenen Person zur Datenübermittlung (Art. 49 Abs. 1 S. 1 lit. a DSGVO):

Bevor Daten nach Großbritannien übermittelt werden, kann man die Betroffenen um Einwilligung bitten. Hier gibt es festgelegte Kriterien für die Form der Einwilligung (Transparenz, einfache Sprache, Hinweis auf Risiken, Freiwilligkeit etc.), welche Sie nachweisen müssen. Etwaige Einwilligungen, welche bereits vor dem 30.06.2021 eingeholt wurden, müssen entsprechend erneuert werden.

Vertragliche Notwendigkeit des Datentransfers (Art. 49 Abs. 1 S. 1 lit. b DSGVO):

Für Leistungen, die in Großbritannien ausgeführt werden (Hotelbuchung o.ä.), ist ggfs. die Übermittlung von Daten erforderlich.

Vereinbarung von "Binding-Corporate-Rules":

Bei Binding-Corporate-Rules handelt es sich um unternehmensinterne Selbstverpflichtungen zum Datenschutz. Diese müssen von mehreren Datenschutzbehörden geprüft werden, damit sie wirksam werden.

Was ist für mich - als deutsches Unternehmen - hiervon überhaupt relevant?

Sofern Sie personenbezogene Daten an Unternehmen mit Sitz in Großbritannien senden, britischen Unternehmen Zugriff auf Ihre personenbezogenen Daten gewähren oder in indirekter Form britische Dienstleister oder Software, Tools o.Ä. von britischen Anbietern einsetzen, müssen Sie proaktiv tätig werden.

Die DS-GVO baut nämlich auf der sogenannten Rechenschafts- und Dokumentationspflicht auf - d.h. Sie als Unternehmer müssen sich immer aktiv und nachweisbar um den Schutz „ihrer“ personenbezogenen Daten bemühen.

Im ersten Schritt wäre somit zu eruieren, ob eine Datenübermittlung nach Großbritannien stattfindet. Häufige Beispiele sind dabei:

  • Niederlassung in Großbritannien
  • Zusammenarbeit bzw. Konzernzugehörigkeit mit britischen Unternehmen 
  • Einsatz von britischen Dienstleistern, Software oder sonstigen Tools

Sollte in Ihrem Unternehmen einer der o.g. Fälle oder eine anderweitige Datenübermittlung nach Großbritannien stattfinden, dann drohen ohne Vereinbarung einer der o.g. Rechtsgrundlagen Datenschutzverstöße.

Sprechen Sie hierzu dringend Ihren Experten für Datenschutz / Datenschutzbeauftragten an.

Zudem müssen Sie bei Datentransfer in Drittländer die betroffenen Personen (Kunden, Nutzer, Mitarbeiter o.ä.) in der Datenschutzerklärung hierüber informieren (Art. 13 bzw. 14 DSGVO) - auch hierzu sollten Sie Ihren Datenschutzbeauftragten konsultieren.

Handlungsempfehlungen zur Herstellung der Datenschutzkonformität für Ihr Unternehmen

Schritt 1

Inventarisieren Sie alle Ihre Dienstleister und prüfen Sie, ob hierunter direkte Verbindungen zu britischen Unternehmen bestehen.

Prüfen Sie auch, ob Ihre Auftragnehmer bei der Erbringung ihrer Leistungen auf Services von britischen Unternehmen zurückgreifen. Hierzu ist ein Blick in den Dienstleistungsvertrag und - sofern vorhanden - in den Auftragsverarbeitungsvertrag notwendig oder sprechen Sie Ihre Dienstleister konkret hierauf an und bitten um diesbezügliche Informationen. Gegebenenfalls sollte auch auf der Webseite des Auftragnehmers recherchiert werden, ob dieser bei der Erfüllung seiner Aufgaben auf britische Dienste zurückgreift.

Schritt 2

Liefert Ihre Inventarisierung das Ergebnis, dass britische Dienste genutzt werden, sollte genaustens und unter strenger Abwägung geprüft werden, ob diese nicht gegen Dienstleister aus anderen Ländern mit einem angemessenen Datenschutzniveau ausgetauscht werden können. Sofern möglich und verhältnismäßig sollte die Verwendung solcher Dienste und Dienstleister aus Großbritannien eingestellt werden.

Schritt 3

Sollten weiterhin britische Dienste oder Dienstleister verwendet und eingesetzt werden, sollten Sie den Dienstleister oder Anbieter proaktiv kontaktieren und um Stellungnahme bitten, wie dieser mit den Folgen des Brexit umzugehen gedenkt und welche Schritte seiner Meinung nach notwendig sind, um eine rechtskonforme Datenverarbeitung zu gewährleisten. Es mag seltsam anmuten, aber auch an die großen Big Player sollten Sie eine solche schriftliche Anfrage richten und die Anfrage zum Nachweis abspeichern.

Schritt 4

Ergibt die Inventarisierung, dass Sie britische Dienste oder Dienstleister direkt (also ohne zwischengeschalteten Dienstleister) nutzen und haben Sie hierzu einen Auftragsverarbeitungsvertrag oder ein Data Processing Agreement geschlossen, sollten Sie die Schließung der Standard Contractual Clauses (SCC) anregen (siehe oben), damit vorerst die Datenverarbeitung rechtskonform stattfinden kann.

Schritt 5

Sollten Sie aufgrund Ihrer Abwägung zu dem Schluss kommen, einige britische Dienste zu deaktivieren und/oder die Zusammenarbeit mit einigen britischen Dienstleistern nicht fortzuführen, teilen Sie dies bitte Ihrem Datenschutzbeauftragten mit. Sehr wahrscheinlich werden hieraus weitere Handlungen folgen, wie etwa das Anpassen der Informationspflichten und des Verzeichnisses von Verarbeitungstätigkeiten (VVT).

Sollten Sie weiterhin britische Dienste nutzen und mit dem Dienstleister auf Standardvertragsklauseln (SCC) umstellen, informieren Sie bitte ebenfalls den Datenschutzbeauftragten. Dieser prüft die SCC für Sie. Sehr wahrscheinlich sind auch in diesen Fällen weitere Handlungen erforderlich in Bezug auf die Anpassung der Informationspflichten, Datenschutzerklärung, usw. Insbesondere was die Verwendung von Tools von britischen Anbietern auf der Webseite betrifft, müssen eventuell Änderungen bei der Datenschutzerklärung vorgenommen werden. Jedoch können diese erst dann vorgenommen werden, wenn hierzu der Anbieter kontaktiert wurde und eventuelle technische Änderungen auf der Webseite vorgenommen wurden. Auch bei der Webseite gilt: Eruieren Sie zunächst, welche der eingesetzten Drittland-Dienste Sie unbedingt benötigen oder ob eine (zumindest vorübergehende Deaktivierung der Tools) möglich und für Sie sinnvoll ist.

Schritt 6

Gemeinsam müssen Unternehmen – sowohl Auftraggeber als auch Auftragnehmer - und Datenschutzbeauftragte die weitere Entwicklung beobachten, insbesondere wie Behörden, Branchen- und Interessenvereinigungen und die betroffenen Drittland-Unternehmen in nächster Zeit vorgehen und was sie raten werden.

Fazit

Da trotz der langwierigen Verhandlungen in Bezug auf den Brexit - keine politische Lösung für die sichere Datenübermittlung nach Großbritannien gefunden werden konnte, liegt die Verantwortung für die datenschutzkonforme Gestaltung des Datentransfers in Drittländer allein beim Unternehmer. Dieser muss entsprechende vertragliche Regelungen schließen und das Datenschutzniveau des britischen Vertragspartners eigenverantwortlich prüfen.

Unsere Empfehlung lautet daher: Bleiben Sie nicht untätig!

Befolgen Sie mindestens die oben beschriebenen Schritte und dokumentieren Sie diese. Sollten Sie Handlungsempfehlungen aus Ihrer Branche oder von Interessenvereinigungen erhalten, leiten Sie diese zur Prüfung an Ihren Datenschutzbeauftragten weiter und besprechen mit ihm die Umsetzung.

Über die Autorin

Katrin Dahmen

Katrin Dahmen
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Erhalten Sie unsere unverbindl. Updates über Neuerungen im Datenschutz & weiteren Compliance-Themen:

Mit abonnieren des Newsletters erklären Sie sich mit dem Erhalt von E-Mails zu o.g. Themen einverstanden. Weiterhin willigen Sie ein, dass wir die Öffnungs- und Klickraten unserer Newsletter erheben und in Empfängerprofilen zusammenfassen, zum Zwecke der Personalisierung und Gestaltung zukünftiger Newsletter. Ihre Einwilligung kann jederzeit widerrufen werden. Nähere Informationen erhalten Sie in unserer Datenschutzerklärung.

>