Datenschutz nach dem Brexit

Großbritannien und die EU-DSGVO

27.07.2021
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Nach dem Brexit sollten Unternehmen, die mit Großbritannien in Geschäftsverbindungen stehen ihre Verträge hinsichtlich der Datenschutzbestimmungen überprüfen. Hier lesen Sie, welche das sind.

Bis zum Brexit war Großbritannien ein Mitgliedsstaat in der EU. Bis dahin galt dort - genauso wie in Deutschland - die Datenschutzgrundverordnung (DSGVO) direkt und unmittelbar. Die DSGVO regelt Rechte und Pflichten zum Schutz personenbezogener Daten und sanktioniert Verstöße mit erheblichen Bußgeldern. Das mit der DSGVO geschaffene Schutzniveau in der EU soll nicht dadurch untergraben werden, dass Daten ins Ausland übermittelt werden, wo möglicherweise andere Datenschutzbestimmungen gelten, die dem von der DSGVO geforderten Schutz nicht entsprechen. Innerhalb der EU gelten für den Datentransfer hingegen keine besonderen Voraussetzungen.

Mit dem Brexit müssen Unternehmen, die in Großbritannien Daten verarbeiten, genau prüfen, ob die nötigen Maßnahmen zum Datenschutz eingehalten werden.
Mit dem Brexit müssen Unternehmen, die in Großbritannien Daten verarbeiten, genau prüfen, ob die nötigen Maßnahmen zum Datenschutz eingehalten werden.
Foto: Ivan Marc - shutterstock.com

Internationaler Datenverkehr

Der internationale Datenfluss ist für den internationalen Handel besonders wichtig. Zu Datenübertragungen kommt es beispielsweise dann, wenn Dienstleister im Ausland als Auftragsverarbeiter eingesetzt werden, aber auch und insbesondere dann, wenn Cloud-Lösungen genutzt werden, bei denen sich die Server in der Regel im Ausland befinden. Laut einer im Jahr 2019 veröffentlichten Studie im Auftrag von Bitkom ließen elf Prozent der deutschen Unternehmen personenbezogene Daten in Großbritannien verarbeiten, davon planten zu diesem Zeitpunkt aber nur zwei Prozent die Datenverarbeitung in Großbritannien nach dem Brexit fortzuführen.

Fraglich ist, wie grenzüberschreitende Daten seit dem Austritt Großbritannien aus der EU geschützt werden können. Auf der einen Seite soll das mit der DSGVO geschaffene Schutzniveau in der EU nicht dadurch untergraben werden, dass Daten ins Ausland übermittelt werden, wo möglicherweise andere Datenschutzbestimmungen gelten, die dem von der DSGVO geforderten Schutz nicht entsprechen. Auf der anderen Seite ist der internationale Datenfluss für den internationalen Handel besonders wichtig. Zu Datenübertragungen kommt es beispielsweise dann, wenn Dienstleister im Ausland als Auftragsverarbeiter eingesetzt werden, aber auch und insbesondere dann, wenn Cloud-Lösungen genutzt werden, bei denen sich die Server in der Regel im Ausland befinden.

Unter Berücksichtigung dieser Interessen einigten sich die EU und Großbritannien zunächst auf eine maximal sechs Monate währende Übergangslösung. Im Anschluss folgten am 28. Juni 2021, kurz vor Ablauf der Frist, die erforderlichen Angemessenheitsbeschlüsse im Hinblick auf die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung. Der Beschluss gilt für die kommenden vier Jahre, soweit er nicht aufgehoben oder für nichtig erklärt wird.

Übergangslösung für maximal sechs Monate

Doch wie kam es zu diesem Angemessenheitsbeschluss? Eine Woche vor dem Ende der Übergangszeit und dem Austritt Großbritanniens aus der EU einigten sich die Parteien zunächst auf ein Handelsabkommen. In dem "EU-UK Trade and Cooperation Agreement" vom 24.12.2020 legten sie fest, dass für die grenzüberschreitende Übermittlung der Daten zwischen Großbritannien und der EU zunächst eine Übergangszeit gilt, in der Großbritannien datenschutzrechtlich vorerst nicht als Drittland, sondern weiterhin als EU-Mitgliedsland behandelt wird. Dies sollte bis zu dem Zeitpunkt gelten, in dem die Europäische Kommission einen Angemessenheitsbeschluss für das Königreich erlässt oder eine Frist von vier Monaten abläuft, wobei sich diese Frist automatisch um zwei weitere Monate verlängern sollte, falls keiner der Vertragsparteien der automatischen Fristverlängerung widerspricht.

Durch as Abkommen erkannte die EU an, dass das datenschutzrechtliche Niveau Großbritanniens zum Zeitpunkt des Abschlusses der Vereinbarung dem Niveau der DSGVO entsprach, weshalb eine Übermittlung personenbezogener Daten zunächst weiterhin zulässig war.

Angemessenheitsbeschluss absehbar?

Im Vorfeld der Verhandlungen zu den Angemessenheitsbeschlüssen war lange Zeit fraglich, ob die Kommission einen Angemessenheitsbeschluss für Großbritannien nach dem Brexit erlassen würde. Mit dem britischen "Investigatory Powers Bill" von 2016 und der damit einhergehenden umfassenden Möglichkeit zur Vorratsdatenspeicherung sowie der fehlenden Geltung des EU-US-Privacy-Shield für Datenübermittlungen im Verhältnis zwischen Großbritannien und USA existieren erhebliche Risiken für personenbezogene Daten, die es in dieser Form in der EU bisher nicht gab. Großbritannien bekann jedoch bereits im Vorfeld des Austritts damit, die Regelungen der DSGVO weitestgehend ins nationale Recht aufzunehmen, um sein datenschutzrechtliches Schutzniveau dem der EU anpassen zu können.

Ungeachtet dieser Anpassung lehnte das EU-Parlament unter Hinweis auf die vorgenannten Risiken einen Angemessenheitsbeschluss ab. Due EU-Kommission erließ die Angemessenheitsbeschlüsse entgegen der Ablehnung des EU-Parlements. In der Begründung der Angemessenheitsbeschlüsse stellte die EU-Kommission darauf ab, dass sie die Umsetzung der Regelungen der DSGVO ins nationale britische Recht grundsätzlich als ausreichend anerkennt, um für einen hinreichenden Schutz der Daten der betroffenen Personen im Rahmen der grenzüberschreitenden Übermittlung der Daten zu sorgen. Trotz des Ausritts Großbritanniens aus der EU seien die Bestimmungen zum Schutz personenbezogener Daten weiterhin dieselben. Die EU-Kommission schränkt die Garantie allerdings auch dahin ein, dass dies nur so lange der Fall ist, wie Großbritannien nicht von der Umsetzung der Regelungen im nationalen Recht abweicht. In diesem Fall will die Kommission sofort einschreiten.

Aufhebung der Angemessenheitsbeschlüsse

Werden die Angemessenheitsbeschlüsse aufgehoben, müssen Unternehmen auf andere Lösungsansätze ausweichen. In einem solchen Fall bliebe für Unternehmen die Möglichkeit "geeignete Garantien" nach Artikel 46 DSGVO nachzuweisen:

  • Standarddatenschutzklauseln

  • Verbindliche unternehmensinterne Regelungen (Binding Corporate Rules, BCR)

  • Genehmigte Verhaltensregeln

  • Zertifizierungen

Darüber hinaus hätten die Unternehmen nach Artikel 49 der DSGVO auch in einigen Fällen die Möglichkeit, z.B. eine Einwilligung der Betroffenen einzuholen, um die Daten zulässig grenzüberschreitend übermitteln zu können. Diese Bestimmung hat jedoch einen Ausnahmecharakter und kann nur restriktiv und mit hohem Aufwand angewendet werden.

Standarddatenschutzklauseln
Standarddatenschutzklauseln (SCC)sind von der Europäischen Kommission genehmigte Vertragswerke. Der Verantwortliche kann mit seinem Vertragspartner in Großbritannien deren Geltung vereinbaren, darf aber keine Änderungen vornehmen, sondern muss die Standardvertragsklauseln so übernehmen, wie sie genehmigt wurden. Derzeit stehen drei Zusammenstellungen von Standarddatenschutzklauseln zur Verfügung; diese sollen bald überarbeitet werden.
Seit dem 4. Juni 2021 sind neue SCC der EU-Kommission veröffentlicht. In Abkehr vom bisherigen Modell der alten SCC sind die neuen SCC als "Module" strukturiert und decken Übermittlungen in allen denkbaren Konstellationen ab.

Lesetipp: Schrems II Checkliste - So geht rechtskonformer Datentransfer

Binding Corporate Rules
Unter Binding Corporate Rules (BCR) versteht man unternehmensinterne Regelungen (in einem multinationalen Unternehmen), mit denen sich ein Unternehmen zu Maßnahmen zum Schutz personenbezogener Daten verpflichtet. Bereits genehmigte BCR dürfen weiter genutzt werden, müssen aber angepasst werden. Falls noch keine BCR bestehen, müssen diese von der Aufsichtsbehörde genehmigt werden.

Genehmigte Verhaltensregeln und Zertifizierungen
Genehmigte Verhaltensregeln und Zertifizierungen haben gemeinsam, dass sie verbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland enthalten müssen. Es handelt sich dabei um mit der DSGVO eingeführte neue Instrumente zum Schutz personenbezogener Daten bei der Datenübermittlung, so dass hier Einzelheiten noch nicht feststehen.

Handlungsbedarf

Nach Erlass der oben genannten Angemessenheitsbeschlüsse gilt Großbritannien als sicheres Drittland. Die DSGVO bietet jedoch auch neben der Berufung auf die Angemessenheitsbeschlüsse weitere Möglichkeiten, die Datenübermittlung nach Großbritannien dauerhaft auf ein rechtlich sicheres Fundament zu stellen. Dabei kann auf die jüngst veröffentlichte Empfehlung des EDSA zurückgegriffen werden, die eine Anpassung an die neue Situation erleichtern soll. Insbesondere enthält die Empfehlung eine Anleitung zu einer möglichst reibungslosen Anpassung in sechs Schritten.

Der erste Schritt wäre in diesem Fall der Blick ins Verarbeitungsverzeichnis. Hieraus sollte sich ergeben, ob und welche Daten nach Großbritannien übermittelt werden. Anschließend müsste für jede Verarbeitung gründlich geprüft werden, ob die Übermittlung weiterhin DSGVO konform ist. Gegebenenfalls müssten Verträge mit Auftragsverarbeitern oder gemeinsamen Verantwortlichen aktualisiert werden. In jedem Fall sollte das Ergebnis der Prüfung schriftlich festgehalten werden, um der Rechenschaftspflicht nach der DSGVO gerecht werden zu können. Schließlich müssten auch Dokumente wie Verarbeitungsverzeichnis, Datenschutzerklärung und Datenschutz-Folgenabschätzung aktualisiert werden. (jd/bw)