NO-DEAL-BREXIT: Achtung auf DSGVO-AUSWIRKUNGEN !!
Angesichts der derzeitigen Unsicherheiten in den Brexit-Verhandlungen müssen Unternehmen dringend sicherstellen, daß ein kontinuierlichen Datenfluss rechtlich sicher gestellt ist.
Seit dem Referendum 2016, bei dem die Wähler ihren Wunsch zum Ausdruck brachten, dass das Vereinigte Königreich die Europäische Union (die „EU“) verlassen soll, und der anschließenden Mitteilung des Vereinigten Königreichs vom 29. März 2017 an den Europäischen Rat über seine Absicht, gemäß Artikel 50 des Vertrags über die Europäische Union aus der Union auszusteigen (auch bekannt als „Brexit“), wurden intensive Verhandlungen zwischen dem Vereinigten Königreich und anderen EU-Ländern geführt, wobei eines der Hauptthemen der Diskussion der „Scheidungsvertrag“ war; mit anderen Worten, die Art und Weise, wie das Vereinigte Königreich die EU bis zum 29. März 2019 verlassen wird.
Ein solches Abkommen, auch „Austrittsabkommen“ genannt, umfasst hauptsächlich die Bedingungen für den Austritt des Vereinigten Königreichs, und die zugehörige „Politische Erklärung“ enthält Bestimmungen über die künftigen Beziehungen zwischen dem Vereinigten Königreich und der EU, die das Ergebnis von achtzehn (18) Monaten Verhandlungen waren. Das Abkommen wurde im November von der britischen Regierung und den Staats- und Regierungschefs der anderen 27 EU-Länder genehmigt, und Brüssel erklärte, dass dies der einzige Weg zu einem geordneten Brexit ist.
Die Wirkung eines Brexit-Deals würde eine Übergangs- oder Umsetzungsfrist bis Ende 2020 (vorbehaltlich einer Verlängerung) bedeuten, während der viele bestehende Vereinbarungen bestehen bleiben und das Vereinigte Königreich weiterhin die EU-Vorschriften einhalten müsste.
Der Datenschutz ist sowohl im Austrittsabkommen als auch in der Politischen Erklärung enthalten und spiegelt die Bedeutung der Datenschutzbestimmungen sowohl für die EU als auch für das Vereinigte Königreich wider. Insbesondere Titel VII (Artikel 70-74) der Austrittsvereinbarung enthält einige spezifische Bestimmungen zum Datenschutz. Diese sind auch von anderen Bestimmungen im gesamten Text des Abkommens betroffen, einschließlich von Artikel 127, der insbesondere vorsieht, dass das Unionsrecht (d.h. die DSGVO) während der Übergangszeit im Vereinigten Königreich anwendbar sein wird. Das bedeutet, dass personenbezogene Daten bis Ende 2020 weiter fließen werden, bis eine längerfristige Lösung gefunden werden kann. Nach Ablauf der Übergangszeit sieht Artikel 71 des Austrittsabkommens ausdrücklich vor, dass das Vereinigte Königreich die EU-Datenschutzvorschriften auf personenbezogene Daten weiterhin anwenden muss, bis die EU durch eine Angemessenheitsentscheidung festgestellt hat, dass das britische Datenschutzsystem für personenbezogene Daten angemessene Garantien bietet.
Das britische Parlament hat jedoch seine Ablehnung einer solchen Brexit-Vereinbarung deutlich zum Ausdruck gebracht, indem es zweimal gegen sie gestimmt hat, am 15. Januar und am 12. März 2019, und intensivierte damit die Diskussionen und Vorbereitungen für einen möglichen No-Deal-Brexit.
Welchen Einflusshätte dies also auf das Datenschutzrecht, welche praktischen Auswirkungen hätte dies auf den Datenfluss von der EU nach Großbritannien, und wie wären Unternehmen betroffen, wenn das Vereinigte Königreich ohne Abkommen aus der EU ausscheidet, wodurch die EU das Vereinigte Königreich ab 00:00 Uhr MEZ am 30. März 2019 als „ein Drittland für alle Zwecke“ betrachten würde?
Der Europäische Datenschutzrat hat entsprechende Leitlinien in Form einer Informationsschrift über die Datenübermittlung im Rahmen der GDPR für den Fall eines No-Deal-Brexits zur Verfügung gestellt. Darüber hinaus hat das Information Commissioner's Office (ICO) im Vereinigten Königreich auch Anleitungen für Organisationen und Unternehmen mit Sitz im Vereinigten Königreich bereitgestellt.
Sofern in einer ratifizierten Austrittsvereinbarung kein anderer Zeitpunkt für den Rücktritt festgelegt ist oder der Europäische Rat gemäß Artikel 50 Absatz 3 des Vertrags über die Europäische Union und im Einvernehmen mit dem Vereinigten Königreich einstimmig beschließt, dass die Verträge zu einem späteren Zeitpunkt außer Kraft treten, wird das gesamte Primär- und Sekundärrecht der Union ab dem 30. März 2019, 00:00 Uhr (MEZ), auf das Vereinigte Königreich keine Anwendung mehr finden. Das Vereinigte Königreich gilt als solches als Drittland. Zu diesem Zweck wird das EU-Recht zusätzliche Maßnahmen vorschreiben, die von britischen Unternehmen ergriffen werden müssen, wenn personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) in das Vereinigte Königreich übermittelt werden, um sie rechtmäßig zu machen.
Die letzte Maßnahme, die ein Schutzniveau gewährleistet, das dem der Union im Wesentlichen gleichwertig ist, ist die Annahme einer Angemessenheitsentscheidung durch die Europäische Kommission gemäß Artikel 45 des GDPR. Unternehmen und Organisationen, die in Ländern mit Angemessenheitsabkommen tätig sind, genießen einen ununterbrochenen Verkehr personenbezogener Daten mit der EU (und Norwegen, Liechtenstein und Island bzw. dem EWR) an dieses Drittland, ohne dass weitere Schutzmaßnahmen erforderlich sind. Mit anderen Worten, die Übermittlung in das betreffende Land wird der Übermittlung von Daten innerhalb der EU gleichgestellt. Beispiele für Länder, für die eine Angemessenheitsentscheidung getroffen wurde, sind Länder wie Andorra, Argentinien, Färöer, Guernsey, Israel, Neuseeland, Schweiz, Uruguay, Isle of Man, Jersey, Kanada und Japan.
Eine Bewertung der Angemessenheit kann jedoch erst erfolgen, wenn das Vereinigte Königreich die EU verlassen hat, und solche Bewertungen und Verhandlungen können mindestens mehrere Monate dauern. Bis zu einer Angemessenheitsentscheidung muss die Übermittlung personenbezogener Daten aus dem EWR an das Vereinigte Königreich ab 30. März 2019, 0:00 Uhr (MEZ) auf Grundlage von einer der folgenden Methoden erfolgen, die als ausreichende Schutzmaßnahmen angesehen werden:&nb
1. Standard-Datenschutzklauseln
Die Europäische Kommission hat bereits drei (3) Sätze von Standardklauseln zum Datenschutz angenommen, die als gebrauchsfertiges Instrument gelten und gültig bleiben, bis sie durch neue Versionen ersetzt oder geändert werden, die dem stärker vorschriftsgebundenen Rahmen der Verordnung entsprechen. Diese Klauseln umfassen Folgendes:
a) EWR-Controller an Drittland-Controller
- 2001/497/EG
- 2004/915/EG
b) EWR-Controller an Drittland-Verarbeiter
- 2010/87/EU
Diese Klauseln dürfen nicht geändert werden und müssen wie vorgesehen unterzeichnet werden. Sie können jedoch im Rahmen eines umfassenderen Vertrags aufgenommen werden, und es können zusätzliche Klauseln hinzugefügt werden, sofern diese nicht direkt oder indirekt mit den Standarddatenschutzklauseln in Verbindung stehen.
Im Falle einer Änderung der Standarddatenschutzklauseln gelten diese als Ad-hoc-Vertragsklauseln, die zunächst von der zuständigen nationalen Aufsichtsbehörde nach Stellungnahme der EDPB als geeignete Garantien für die jeweilige Situation genehmigt werden müssen.
Dieser Mechanismus in seiner Ad-hoc-Form wird wahrscheinlich eine wichtige Rolle bei der Entwicklung des Vertragsweges für Transfers mit einigen Technologieunternehmen spielen, die bereits eine Vorreiterrolle bei der Idee gespielt haben, die Zustimmung der zuständigen nationalen Aufsichtsbehörde zur Ausarbeitung ihrer eigenen Datenübertragungsvereinbarungen zu erhalten. Der Vorteil eines solchen Ansatzes bietet den Unternehmen offensichtlich mehr Flexibilität in Bezug auf die Art und Weise, wie sie sich vertraglich zum Schutz personenbezogener Daten verpflichten, und ermöglicht es ihnen, pragmatischere vertragliche Verpflichtungen einzugehen, die sie weniger wahrscheinlich verletzen.
2. Verbindliche Unternehmensregeln (Binding Corporate Rules – BCRs)
Dabei handelt es sich um Richtlinien zum Schutz personenbezogener Daten, die von einer Gruppe von Unternehmen wie multinationalen Konzernen (Controller oder Verarbeiter) befolgt werden, um angemessene Garantien für die Übermittlung personenbezogener Daten innerhalb dieser Gruppe und außerhalb des EWR zu gewährleisten.
Unternehmensgruppen, die bereits über BCRs verfügen oder mit Verarbeitern zusammenarbeiten, die BCRs verwenden, die nach der vorherigen Richtlinie 95/46/EG zugelassen wurden, können sich weiterhin auf sie verlassen, da sie bis auf weiteres gültig bleiben. Für diejenigen Unternehmensgruppen, die über keine BCR verfügen, müssen diese von der zuständigen nationalen Aufsichtsbehörde nach Stellungnahme der EDPB genehmigt werden.
3. Verhaltenskodexe und Zertifizierungsmechanismen
Gemäß Artikel 40 der GDPR können Verhaltenskodizes und Zertifizierungsmechanismen angemessene Garantien für die Übermittlung personenbezogener Daten bieten, sofern sie verbindliche und durchsetzbare Verpflichtungen der Organisation (Controller oder Verarbeiter) im Drittland zum Nutzen der Personen enthalten. Es wird erwartet, dass die EDPB zu gegebener Zeit Leitlinien für das spezifische Instrument herausgibt, um die betreffenden harmonisierten Bedingungen und Verfahren näher zu erläutern.
4. Ausnahmeregelungen
In Ermangelung eines angemessenen Schutzniveaus oder geeigneter Garantien kann eine Übermittlung personenbezogener Daten gemäß Artikel 49 des GDPR unter bestimmten Bedingungen erfolgen. Zu diesen Ausnahmeregelungen gehört es, die ausdrückliche Zustimmung der Person eingeholt zu haben, nachdem sie vollständig über die mit der Übertragung verbundenen Risiken informiert wurde, oder wenn eine solche Übertragung für die Vertragserfüllung erforderlich ist, wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses oder zum Zwecke zwingender legitimer Interessen der Organisation erforderlich ist. Dennoch sollten solche Ausnahmeregelungen restriktiv ausgelegt und angewandt werden, da sie Ausnahmen von der Regel der Einführung geeigneter Garantien darstellen. Daher beziehen sich die Ausnahmen hauptsächlich auf gelegentliche und nicht wiederkehrende Verarbeitungstätigkeiten.
Abgesehen von den oben genannten Ausnahmen und gemäß Artikel 46 der GDPR gibt es bestimmte Mechanismen, die den Behörden im Rahmen der Übermittlung personenbezogener Daten an das Vereinigte Königreich zur Verfügung gestellt werden, je nach ihrer Anwendbarkeit auf ihre Situation. Behörden können rechtsverbindliche und durchsetzbare Instrumente wie beispielsweise ein Verwaltungsabkommen oder ein bilaterales oder multilaterales internationales Abkommen, als Rechtsgrundlage nutzen. Darüber hinaus haben sie die Möglichkeit, Verwaltungsvereinbarungen wie eine Absichtserklärung zu nutzen, die zwar nicht rechtsverbindlich ist, aber durchsetzbare und wirksame Rechte der betroffenen Person vorsehen muss. Diese Verwaltungsvereinbarungen bedürfen der Genehmigung durch die zuständige nationale Aufsichtsbehörde nach Stellungnahme der EDPB.
Im Hinblick auf die derzeitigen britischen Datenschutzstandards und im Falle eines No-deal-Bexits gäbe es keine sofortige Änderung. Das aktuelle Datenschutzgesetz von 2018, das im Vereinigten Königreich zeitgleich mit dem Inkrafttreten der GDPR in Kraft trat, hat einige Bestimmungen der Verordnung umgesetzt und in nationales Recht umgesetzt.
Nach dem Ausscheiden des Vereinigten Königreichs wird mit dem EU-Austrittsabkommen die GDPR in das nationale Recht des Vereinigten Königreichs aufgenommen, um neben ihm zu gelten. Die britische Regierung beabsichtigt, die GDPR in britisches Recht umzusetzen, mit den notwendigen Änderungen, um ihre Bestimmungen für das Vereinigte Königreich anzupassen, da in ihrer derzeitigen Form zahlreiche Verweise auf EU-Rechtsvorschriften und -Institutionen gemacht werden und das Vereinigte Königreich als EU-Mitglied angesehen wird. Aufgrund des bestehenden Grades der Angleichung zwischen den Datenschutzsystemen des Vereinigten Königreichs und der EU würde das Vereinigte Königreich jedoch zum Zeitpunkt des Ausscheidens weiterhin den freien Verkehr personenbezogener Daten aus dem Vereinigten Königreich in die EU ermöglichen.
Angesichts der derzeitigen Unsicherheiten in den Brexit-Verhandlungen müssen die Unternehmen daher dringend sicherstellen, dass sie über die rechtlichen Mechanismen verfügen, die einen kontinuierlichen Datenfluss ermöglichen, der zur Unterstützung ihres internationalen Handels und Geschäftsbetriebs notwendig ist. Relevante Hinweise dazu geben sowohl die EDPB als auch das ICO, deren Websites bei Bedarf regelmäßig besucht werden sollten.
Article provided by EuroCloud partner Alexandra Kokkinou (Lawyer, tassos papadopoulos & associates llc)