Datenschutz nach dem Brexit

Großbritannien und die EU-DSGVO

14.01.2021 von Michael Rath  
Unternehmen,die mit Großbritannien in Geschäftsverbindungen stehen, sollten ihre Verträge hinsichtlich der Datenschutzbestimmungen überprüfen. Hier lesen Sie, welche das sind.

Bis zum Brexit war Großbritannien ein Mitgliedsstaat in der EU. Bis dahin galt dort - genauso wie in Deutschland - die Datenschutzgrundverordnung (DSGVO) direkt und unmittelbar. Die DSGVO regelt Rechte und Pflichten zum Schutz personenbezogener Daten und sanktioniert Verstöße mit erheblichen Bußgeldern. Das mit der DSGVO geschaffene Schutzniveau in der EU soll nicht dadurch untergraben werden, dass Daten ins Ausland übermittelt werden, wo möglicherweise andere Datenschutzbestimmungen gelten, die dem von der DSGVO geforderten Schutz nicht entsprechen. Innerhalb der EU gelten für den Datentransfer hingegen keine besonderen Voraussetzungen.

Mit dem Brexit müssen Unternehmen, die in Großbritannien Daten verarbeiten, genau prüfen, ob die nötigen Maßnahmen zum Datenschutz eingehalten werden.
Foto: Ivan Marc - shutterstock.com

Internationaler Datenverkehr

Zu internationalen Datenübertragungen kommt es beispielsweise dann, wenn Dienstleister im Ausland als Auftragsverarbeiter eingesetzt werden, aber auch und insbesondere dann, wenn Cloud-Lösungen genutzt werden, bei denen sich die Server in der Regel im Ausland befinden. Laut einer im Jahr 2019 veröffentlichten Studie im Auftrag von Bitkom ließen elf Prozent der deutschen Unternehmen personenbezogene Daten in Großbritannien verarbeiten, davon planten zu diesem Zeitpunkt aber nur zwei Prozent die Datenverarbeitung in Großbritannien nach dem Brexit fortzuführen.

Mit dem Austritt Großbritanniens aus der EU stellte sich die Frage, wie grenzüberschreitende Daten geschützt werden können, ohne Hemmung des Marktes zu bewirken. Auf der einen Seite durfte das mit der DSGVO geschaffene Schutzniveau in der EU nicht dadurch untergraben werden, dass Daten ins Ausland übermittelt werden, wo möglicherweise andere Datenschutzbestimmungen gelten, die dem von der DSGVO geforderten Schutz nicht entsprechen. Auf der anderen Seite war die Relevanz des internationalen Datenflusses für den internationalen Handel zu beachten. Unter Berücksichtigung dieser Interessen entschieden sich die EU und Großbritannien zunächst für eine maximal sechs Monate währende Übergangslösung. Im Anschluss folgten am 28. Juni 2021 - kurz vor Ablauf der Frist - schließlich die erforderlichen Angemessenheitsbeschlüsse im Hinblick auf die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung. Der Beschluss gilt für die kommenden vier Jahre, soweit er nicht aufgehoben oder für nichtig erklärt wird.

Übergangslösung für maximal sechs Monate

Doch wie kam es zu diesem Angemessenheitsbeschluss? Eine Woche vor dem Ende der Übergangszeit und dem Austritt Großbritanniens aus der EU einigten sich die Parteien zunächst auf ein Handelsabkommen. In dem "EU-UK Trade and Cooperation Agreement" vom 24.12.2020 legten sie fest, dass für die grenzüberschreitende Übermittlung der Daten zwischen Großbritannien und der EU zunächst eine Übergangszeit gilt, in der Großbritannien datenschutzrechtlich vorerst nicht als Drittland, sondern weiterhin als EU-Mitgliedsland behandelt wird. Dies sollte bis zu dem Zeitpunkt gelten, in dem die Europäische Kommission einen Angemessenheitsbeschluss für das Königreich erlässt oder eine Frist von vier Monaten abläuft, wobei sich diese Frist automatisch um zwei weitere Monate verlängern sollte, falls keiner der Vertragsparteien der automatischen Fristverlängerung widerspricht.

Durch as Abkommen erkannte die EU an, dass das datenschutzrechtliche Niveau Großbritanniens zum Zeitpunkt des Abschlusses der Vereinbarung dem Niveau der DSGVO entsprach, weshalb eine Übermittlung personenbezogener Daten zunächst weiterhin zulässig war.

Angemessenheitsbeschluss der Europäischen Kommission

Im Vorfeld der Verhandlungen zu den Angemessenheitsbeschlüssen war lange Zeit fraglich, ob die Kommission einen Angemessenheitsbeschluss für Großbritannien nach dem Brexit erlassen würde. Mit dem britischen "Investigatory Powers Bill" von 2016 und der damit einhergehenden umfassenden Möglichkeit zur Vorratsdatenspeicherung sowie der fehlenden Geltung des EU-US-Privacy-Shield für Datenübermittlungen im Verhältnis zwischen Großbritannien und USA existieren erhebliche Risiken für personenbezogene Daten, die es in dieser Form in der EU bisher nicht gab. Großbritannien begann jedoch bereits im Vorfeld des Austritts damit, die Regelungen der DSGVO weitestgehend ins nationale Recht aufzunehmen, um sein datenschutzrechtliches Schutzniveau dem der EU anpassen zu können.

Ungeachtet dieser Anpassung lehnte das EU-Parlament zunächst unter Hinweis auf die vorgenannten Risiken einen Angemessenheitsbeschluss ab. Entgegen der Ablehnung des EU-Parlaments erließ die EU-Kommission am 28. Juni 2021 die Angemessenheitsbeschlüsse. In der dazugehörigen Begründung stellte die EU-Kommission darauf ab, dass sie die Umsetzung der Regelungen der DSGVO ins nationale britische Recht grundsätzlich als ausreichend anerkenne, um für einen hinreichenden Schutz der Daten der betroffenen Personen im Rahmen der grenzüberschreitenden Übermittlung der Daten zu sorgen. Trotz des Ausritts Großbritanniens aus der EU seien die Bestimmungen zum Schutz personenbezogener Daten weiterhin dieselben. Einschränkend gilt die Garantie aber nur solange, wie Großbritannien nicht von der Umsetzung der Regelungen im nationalen Recht abweicht. Ein sofortiges Einschreien der Kommission wäre ansonsten zu erwarten.

Aufhebung der Angemessenheitsbeschlüsse

Es mag bezweifelt werden, ob der Angemessenheitsgeschluss eine verlässliche, vn den europäischen Gerichten dauerhaft akzeptierte Lösung darstellen wird. So hat der EuGH in vergangenen Entscheidungen etwa die Befugnisse zur Datenverarbeitung durch die britischen Geheimdienste teils für unzulässig befunden und damit das britische Datenschutzniveau erheblich angezweifelt. Werden die Angemessenheitsbeschlüsse aufgehoben, müssen Unternehmen auf andere Lösungsansätze ausweichen. In einem solchen Fall bliebe für Unternehmen die Möglichkeit "geeignete Garantien" nach Artikel 46 DSGVO nachzuweisen:

Darüber hinaus hätten die Unternehmen nach Artikel 49 der DSGVO auch in einigen Fällen die Möglichkeit, z.B. eine Einwilligung der Betroffenen einzuholen, um die Daten zulässig grenzüberschreitend übermitteln zu können. Diese Bestimmung hat jedoch einen Ausnahmecharakter und kann nur restriktiv und mit hohem Aufwand angewendet werden.

Standarddatenschutzklauseln
Standarddatenschutzklauseln (Standard Contractual Clauses, "SCC") sind von der Europäischen Kommission genehmigte Vertragswerke. Der Verantwortliche kann mit seinem Vertragspartner in Großbritannien deren Geltung vereinbaren, darf aber keine Änderungen vornehmen, sondern muss die Standardvertragsklauseln so übernehmen, wie sie genehmigt wurden.
Seit dem 4. Juni 2021 sind neue SCC der EU-Kommission veröffentlicht. In Abkehr vom bisherigen Modell der alten SCC sind die neuen SCC als "Module" strukturiert und decken Übermittlungen in allen vier Konstellationen ab. Der Einsatz der novellierten SCC wird ab dem 27. Dezember 2022 für neue Vereinbarungen obligatorisch. Durchzuführen ist im Rahmen des SCC-Abschlusses auch eine Risikoeinschätzung in Form eines Transfer Impact Assessments (TIA). Evaluiert wird so das im Drittland geltende Datenschutzniveau.

Lesetipp: Schrems II Checkliste - So geht rechtskonformer Datentransfer

Problematisch war bisher, dass die neuen SCC nicht unmittelbar für Großbritannien anwendbar waren und auch von der dortigen Datenschutzaufsichtsbehörde (ICO) nicht anerkannt wurden. Ein Rückgriff auf die alten SCC blieb so erforderlich. Nun hat die britische Datenschutzaufsicht ICO nachjustiert: Ab dem 21. März 2022 können für einen Datentransfer nach UK-Datenschutzrecht auch die neuen SCC, verbunden mit einer speziellen Anlage (sog. "UK-Addendum"), abgeschlossen werden. Alternativ besteht die Möglichkeit zur Vereinbarung eines sog. International Data Transfer Agreements ("IDTA"). Die neuen SCC und das UK-Addendum sind insbesondere dann vorzuziehen, soweit die Datenschutzregelungen sowohl der EU als auch die Großbritanniens beachtet werden müssen, z.B. bei Datenübermittlungen innerhalb von Unternehmensgruppen. Transferiert dagegen lediglich ein lokales englisches Unternehmen Daten, bietet es sich an, das IDTA abzuschließen. Jedenfalls ab dem 21. September 2022 ist die Verwendung einer der beiden Optionen für neue SCC-Vereinbarungen sowie Vertragsänderungen verpflichtend.

Binding Corporate Rules
Unter Binding Corporate Rules (BCR) versteht man unternehmensinterne Regelungen (in einem multinationalen Unternehmen), mit denen sich ein Unternehmen zu Maßnahmen zum Schutz personenbezogener Daten verpflichtet. Bereits genehmigte BCR dürfen weiter genutzt werden, müssen aber angepasst werden. Falls noch keine BCR bestehen, müssen diese von der Aufsichtsbehörde genehmigt werden.

Genehmigte Verhaltensregeln und Zertifizierungen
Genehmigte Verhaltensregeln und Zertifizierungen haben gemeinsam, dass sie verbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland enthalten müssen. Es handelt sich dabei um mit der DSGVO eingeführte neue Instrumente zum Schutz personenbezogener Daten bei der Datenübermittlung, so dass hier Einzelheiten noch nicht feststehen.

Handlungsbedarf

Nach Erlass der oben genannten Angemessenheitsbeschlüsse gilt Großbritannien als sicheres Drittland. Die DSGVO bietet jedoch auch neben der Berufung auf die Angemessenheitsbeschlüsse weitere Möglichkeiten, die Datenübermittlung nach Großbritannien dauerhaft auf ein rechtlich sicheres Fundament zu stellen. Dabei kann auf die veröffentlichte Empfehlung des EDSA zurückgegriffen werden, die eine Anpassung an die neue Situation erleichtern soll. Insbesondere enthält die Empfehlung eine Anleitung zu einer möglichst reibungslosen Anpassung in sechs Schritten.

Der erste Schritt wäre in diesem Fall der Blick ins Verarbeitungsverzeichnis. Hieraus sollte sich ergeben, ob und welche Daten nach Großbritannien übermittelt werden. Anschließend müsste für jede Verarbeitung gründlich geprüft werden, ob die Übermittlung weiterhin DSGVO konform ist. Gegebenenfalls müssten Verträge mit Auftragsverarbeitern oder gemeinsamen Verantwortlichen aktualisiert werden. In jedem Fall sollte das Ergebnis der Prüfung schriftlich festgehalten werden, um der Rechenschaftspflicht nach der DSGVO gerecht werden zu können. Schließlich müssten auch Dokumente wie Verarbeitungsverzeichnis, Datenschutzerklärung und Datenschutz-Folgenabschätzung aktualisiert werden. (jd/bw)