Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union (EU) ausgetreten. Auf Grundlage des Austrittsübereinkommens vom 17. Oktober 2019 gilt das Recht der EU – und somit auch die Datenschutz-Grundverordnung (DS-GVO) – für eine Übergangszeit bis zum 31. Dezember 2020 fort. Die aktuellen Entwicklungen deuten jedoch darauf hin, dass zu Beginn des neuen Jahres das Vereinigte Königreich als datenschutzrechtliches Drittland anzusehen ist und somit für Datenübermittlungen die gleichen Anforderungen wie beispielsweise in die USA gelten.
RECHTSLAGE BIS ZUM 31. DEZEMBER 2020
Gemäß Art. 4 in Verbindung mit Art. 67 Abs. 1 lit. b des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft gelten die Regelungen der DS-GVO im Vereinigten Königreich und Nordirland bis zum 31. Dezember 2020 fort. Während dieses Übergangszeitraums sind für Datenübermittlungen an andere verantwortliche Stellen und Auftragsverarbeiter neben dem Vorliegen einer einschlägigen Übermittlungsgrundlage (z.B. Vertrag zur Auftragsverarbeitung) keine datenschutzrechtlichen Besonderheiten zu beachten. Die Regelungen des Kapitel V der DS-GVO hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind im genannten Zeitfenster mithin nicht einschlägig.
RECHTSLAGE AB DEM 01. JANUAR 2021
Mit Ablauf des Übergangszeitraums gilt das Vereinigte Königreich mangels eines weiteren internationalen Abkommens als datenschutzrechtliches Drittland im Sinne des Kapitel V der DS-GVO. Neben einer einschlägigen Übermittlungsgrundlage bedarf es auf der zweiten Stufe somit zusätzlich der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Da zum gegenwärtigen Zeitpunkt seitens der Europäischen Kommission jedoch kein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DS-GVO verabschiedet wurde, welcher den nationalen datenschutzrechtlichen Regelungen des Vereinigten Königreichs ein gleichwertiges Niveau zu denen der DS-GVO attestiert, scheidet die „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“ als besondere Voraussetzung einer Datenübermittlung an Verantwortliche und Auftragsverarbeiter im Vereinigten Königreich bereits aus.
Zur Gewährleistung einer datenschutzkonformen Übermittlung personenbezogener Daten sind durch den Verantwortlichen somit regelmäßig geeignete Garantien im Sinne des Art. 46 DS-GVO vorzuweisen. Hierzu zählen insbesondere folgende Garantien:
– durch die zuständige Aufsichtsbehörde zu genehmigende verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (BCR), gemäß Art. 47 DS-GVO;
– Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, unter besonderer Berücksichtigung der aktuellen EuGH-Rechtsprechung hinsichtlich der Ergänzung durch zusätzliche technische und organisatorische Maßnahmen im Rahmen der Datenübermittlung, z.B. der Verschlüsselung personenbezogener Daten;
– genehmigte Verhaltensregeln gemäß Art. 40 DS-GVO oder ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DS-GVO;
– einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden.
Liegen keine geeigneten Garantien im Sinne des Art. 46 DS-GVO vor, so ist eine Datenübermittlung in ein datenschutzrechtliches Drittland gemäß Art. 49 DS-GVO ausnahmsweise insbesondere dann zulässig, sofern:
– die betroffene Person in die Datenübermittlung ausdrücklich einwilligt, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde,
– die Übermittlung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig oder
– die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Die aufgeführten Ausnahmetatbestände des Art. 49 DS-GVO sind jedoch durchweg restriktiv auszulegen und stellen keinesfalls eine belastbare Grundlage für regelmäßige Datenübermittlungen dar.
DIESE MAßNAHMEN SIND NUN ERFORDERLICH
Verantwortliche Stellen, die personenbezogene Daten an andere verantwortliche Stellen oder Auftragsverarbeiter mit Sitz im Vereinigten Königreich übermitteln, sollten zeitnah überprüfen, ob neben einer Übermittlungsgrundlage ebenfalls mindestens eine der in Art. 44 ff. DS-GVO aufgeführten Voraussetzungen zur Übermittlung personenbezogener Daten in ein Drittland vorliegt. Im Regelfall wird es diesbezüglich auf den Abschluss von Standarddatenschutzklauseln hinauslaufen, welche im Idealfall durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden. Zur Erstellung von Standardvertragsklauseln stellt die britische Datenschutzaufsichtsbehörde auf ihrer Internetseite einen entsprechenden Generator zur Verfügung.
Unter Umständen kann die Übermittlung personenbezogener Daten in ein Drittland auch durch einen Wechsel zu einem Dienstleister mit Sitz innerhalb der EU grundsätzlich vermieden werden.
Im Falle der Aufrechthaltung des Drittlandtransfers sind weiterhin folgende Maßnahmen zu treffen:
– die Ergänzung der Datenschutzinformationen gemäß Art. 13 oder Art. 14 DS-GVO hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland unter Nennung der im Einzelfall einschlägigen Voraussetzung der Artt. 44 ff. DS-GVO,
– die Ergänzung einer vollständigen Darstellung der Datenübermittlung im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO,
– gegebenenfalls die Vornahme von oder die Prüfung und Ergänzung bereits erfolgter Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO,
– die vollständige Beauskunftung der Drittlandübermittlung im Rahmen der Beantwortung von Auskunftsansprüchen gemäß Art. 15 DS-GVO.
UPDATE VOM 04. JANUAR 2021
In einer Pressemitteilung vom 28. Dezember 2020 weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hinsichtlich des Handels- und Zusammenarbeitsabkkommens zwischen dem Vereinigten Königreich und der Europäischen Union auf eine Übergangsregelung bezüglich Datenübermittlungen hin. Demnach sind Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich und Nordirland für einen Übergangszeitraum von maximal sechs Monaten nicht als Übermittlung in ein datenschutzrechtliches Drittland anzusehen. Der Sächsische Datenschutzbeauftragte Andreas Schurig hierzu: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden.“
FAZIT
Sämtliche verantwortliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln sollten zeitnah das Vorliegen der besonderen datenschutzrechtlichen Voraussetzungen des Kapitel V der DS-GVO überprüfen und die dargestellten notwendigen Maßnahmen ergreifen. Die Aufsichtsbehörden können im Falle von Verstößen Datenübermittlungen aussetzen sowie hierzu ergänzend Bußgelder verhängen. Das Aussitzen der datenschutzrechtlichen Folgen des Brexit und das (erfolglose?) Warten auf einen Angemessenheitsbeschluss der Kommission stellt somit keine ernsthafte Alternative dar.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.
