DWF logo

Search

DWF logo

              EU-Kommission zum Datenschutzrecht nach dem Brexit: Das Vereinigte Königreich wird Drittland

              Das Legal Update gibt einen Kurzüberblick über die Auswirkungen der Entscheidung der EU-Kommission, dass das Vereinigte Königreich als „Drittland“ eingestuft wird.

              Date: 22/02/2018

              Über die Auswirkungen des Austritts des Vereinigten Königreichs aus der EU für das Datenschutzrecht. Eine Nachricht aus Brüssel mit weitreichenden Konsequenzen. Die Generaldirektion für Justiz der EU-Kommission erklärte am 9. Januar 2018 in ihrer Mitteilung, dass das Vereinigte Königreich nach dem Vollzug des Austritts aus der EU zu einem „Drittland“ im Sinne der Datenschutz-Grundverordnung wird. Unter der Bezeichnung „Drittland“ sind jene Länder zu verstehen, die nicht EU-Mitgliedstaaten sind. Sollte es bei dem zurzeit geplanten Austrittsdatum bleiben, bedeutet dies, dass ein Datenaustausch mit Unternehmen aus dem Vereinigten Königreich ab dem 30. März 2019, 00:00 Uhr (MEZ) rechtlich nicht mehr so zu behandeln ist wie ein Datenaustausch mit einem in Deutschland oder in einem anderen Mitgliedstaat der EU ansässigen Unternehmen. Vielmehr müssten weitere Vorkehrungen getroffen werden, um die Übermittlung von Daten in das Vereinigte Königreich rechtlich zu legitimieren.

              Rechtslage nach dem Austritt

              Die Datenschutz-Grundverordnung („DS-GVO“) verfolgt unter anderem den Zweck, das Datenschutzrecht in der EU zu vereinheitlichen. Da die datenschutzrechtlichen Regelungen dadurch für EU-Mitgliedstaaten gleich sind, ist ein Datentransfer zwischen Unternehmen, die in Mitgliedstaaten ihren Sitz haben deutlich erleichtert. Ab Tag eins nach dem Austritt des Vereinigten Königreichs aus der EU hat dieses als „Nicht-EU-Mitglied“ den Status eines Drittlandes. Dies hat zur Folge, dass der Transfer von Daten zu Unternehmen mit Sitz im Vereinigten Königreich an zusätzliche Voraussetzungen geknüpft ist, die über die rechtlichen Vorgaben der DS-GVO hinsichtlich eines Datentransfers innerhalb der EU hinausgehen. Ein Unternehmen, welches Daten nach England, Schottland, Wales oder Nordirland übermitteln möchte, muss dann dafür Sorge tragen, dass diese weiteren Voraussetzungen erfüllt sind.

              Wer ist davon betroffen?

              Diese Nachricht ist für solche Unternehmen von großer Relevanz, die fortlaufend personenbezogene Daten in das Vereinigte Königreich übermitteln. Denkbar ist dies etwa, wenn die Konzernmutter oder aber ein anderes Unternehmen derselben Unternehmensgruppe ihren bzw. seinen Sitz im Vereinigten Königreich hat und die Personaldaten der Angestellten der deutschen Tochtergesellschaft zentral dort verwaltet werden. Kritisch wird diese Konstellation vor allem dann, wenn bereits Daten aus Bewerbungsunterlagen in das Drittland übermittelt werden. 

              Ebenfalls wichtig ist die Entwicklung für solche Unternehmen, die Daten im Rahmen einer Auftragsdatenverarbeitung in das Vereinigte Königreich übermitteln. Dies mag bei der Verwendung von cloudbasierten IT-Lösungen der Fall sein, wenn dabei z. B. personenbezogene Daten von Kunden auf einem Server gespeichert werden, der im Vereinigten Königreich steht.

              Folgen der Datenübermittlung ohne Legitimation

              Erfolgt eine Datenübermittlung zu einem Datenempfänger im Vereinigten Königreich ohne rechtliche Legitimierung, so liegt ein Verstoß gegen die DS-GVO vor. Aufgrund eines solchen Verstoßes kann die zuständige Aufsichtsbehörde ein Bußgeld i. H. v. bis zu EUR 20.000.000,00 oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen. Mindestens genauso schwer dürfte allerdings der damit einhergehende Imageschaden für das datenverantwortliche Unternehmen wiegen.

              Anforderungen an eine rechtskonforme Daten-übermittlung in das Vereinigte Königreich

              Der Umstand, dass der Empfänger von personenbezogenen Daten nicht innerhalb der EU, sondern in einem Drittland ansässig ist, führt allerdings nicht dazu, dass eine Datenübermittlung unter keinen Umständen zulässig sein kann. Vielmehr nennt die DS-GVO verschiedene Voraussetzungen, unter deren Einhaltung eine Datenübermittlung legal erfolgen kann. Zum besseren Verständnis dieser von der DS-GVO vorgesehenen Möglichkeiten sind diese vor dem Hintergrund zu betrachten, dass eine Datenübermittlung bei fehlendem angemessenen Datenschutzniveau grundsätzlich unzulässig ist. Es muss also gewährleistet werden, dass ein angemessenes Datenschutzniveau i. S. d. DS-GVO vorliegt.

              Angemessenheitsbeschluss der EU-Kommission

              Die für Unternehmen wohl einfachste Lösung wäre ein sog. Angemessenheitsbeschluss der EU. Durch einen solchen Beschluss stellt die EU-Kommission fest, dass das Drittland, in dem der Datenempfänger sitzt, ein angemessenes Schutzniveau für personenbezogene Daten aus der EU bietet. Besteht ein solcher Angemessenheitsbeschluss, kann der in der EU sitzende Datenverantwortliche die Daten ohne weitere Maßnahmen an ein Unternehmen im Drittland übermitteln und hat dabei lediglich die Vorgaben des europäischen Datenschutzrechtes zu beachten, die auch für eine innereuropäische Übertragung gelten. Allerdings kann aus dem Umstand, dass die EU-Kommission die Mitteilung vom 9. Januar 2018 veröffentlicht hat, geschlossen werden, dass – Stand jetzt – nicht mit einem sofortigen Angemessenheitsbeschluss nach der Statusänderung des Vereinigten Königreichs zu rechnen ist.

              Datenübermittlung vorbehaltlich geeigneter Garantien

              Sofern kein Angemessenheitsbeschluss zur rechtlichen Absicherung des Datentransfers besteht, kann die Datenübermittlung durch geeignete Garantien hinsichtlich des Schutzes der Daten im Drittland sichergestellt werden. Die DS-GVO kennt verschiedene Möglichkeiten für die an der Übermittlung beteiligten Unternehmen, eine solche Garantie zu erbringen:

              1. Verwendung von EU-Standarddatenschutzklauseln

              Die beteiligten Unternehmen können die von der EU-Kommission bereitgestellten Standardvertragsklauseln zum Datenschutz verwenden. Dabei handelt es sich um einen Mustervertrag, der zwischen den Beteiligten abgeschlossen werden muss. Entscheidend ist allerdings nicht bloß der Abschluss des Vertrags, sondern auch, dass der Datenempfänger die vertraglichen Verpflichtungen zum Datenschutz auch tatsächlich umsetzt und einhält. Ist dies der Fall, gilt für den Datenempfänger im Drittland ein angemessenes Datenschutzniveau.

              2. Verbindliche Unternehmensvorschriften – Binding Corporate Rules


              Bei Bestehen von verbindlichen Vorschriften für Unternehmen derselben Unternehmensgruppe können diese innerhalb dieser Gruppe personenbezogene Daten auch in ein Drittland übermitteln. Diese Unternehmensvorschriften müssen einen bestimmten Anforderungskatalog erfüllen und sind von der zuständigen Aufsichtsbehörde zu genehmigen.

              3. Genehmigte Verhaltensregeln – Code of Conduct

              Eine weitere geeignete Garantie zum Schutz personenbezogener Daten kann durch die Verwendung von genehmigten Verhaltensregeln erfolgen. Diese Verhaltensregeln sind von Verbänden und Vereinigungen aufzustellen und müssen insbesondere Rechtsschutzmöglichkeiten für die Betroffenen der Datenverarbeitung umfassen. Der Datenverantwortliche hat dafür Sorge zu tragen, dass sich der Datenempfänger an diese Verhaltensregeln bindet. Dies kann etwa durch eine vertragliche Vereinbarung geschehen. 

              4. Zertifizierung

              Zudem ist es möglich, bestimmte Verarbeitungsvorgänge zertifizieren zu lassen. Durch diese Zertifizierung wird dem Datenempfänger eine Datenverarbeitung nach den Vorgaben der DS-GVO bescheinigt. Zusätzlich zur Zertifizierung muss allerdings auch rechtlich verbindlich – etwa durch einen Vertrag – sichergestellt werden, dass der Datenempfänger die Zertifizierungskriterien auch tatsächlich einhält.

              Ausnahme für bestimmte Fälle

              Die DS-GVO kennt zudem noch einige Ausnahmetatbestände. So kann die Datenübermittlung etwa dann zulässig sein, wenn der Betroffene ausdrücklich in die Übertragung einwilligt. Zur Wirksamkeit der Einwilligung muss diese zunächst an den allgemeinen Voraussetzungen der DS-GVO für eine Datenübermittlung innerhalb der EU gemessen werden. Zusätzlich muss der Betroffene vor Abgabe seiner Einwilligung über die bestehenden Risiken der Datenübermittlung ohne Vorliegen eines Schutzmechanismus der DS-GVO unterrichtet werden. Dies mag bisweilen impraktikabel sein. Zudem ist zu berücksichtigen, dass das Modell der Einwilligung in die Datenübertragung zu einem Empfänger in einem Drittland als Ausnahme-Erlaubnistatbestand restriktiv anzuwenden ist.

              Was ist zu tun?

              „Preparing for the withdrawal is not just a matter for EU and national authorities but also for private parties“ lässt die EU-Kommission am Ende ihrer Mitteilung verlauten. Die verantwortlichen Personen eines Unternehmens sollten überprüfen, ob ihr Unternehmen Daten zu Empfängern in England, Schottland, Wales oder Nordirland übermittelt. Ist dies der Fall, gilt es im Frühjahr 2019 eine rechtliche Legitimierung für diesen Datentransfer parat zu haben und für den Fall gewappnet zu sein, dass die EU-Kommission keinen Angemessenheitsbeschluss erlässt. Für diesen Fall stellen die in dieser Übersicht beschriebenen Möglichkeiten eine gesetzliche Grundlage für die Datenübertragung dar.  

              Kontaktieren Sie uns

              Sprechen Sie uns gerne an, wenn Sie Fragen zur Datenschutz-Grundverordnung haben. Unsere Experten helfen Ihnen gerne bei der Umsetzung der neuen rechtlichen Vorgaben zum Datenschutz in Ihrem Unternehmen.

              Sollten Sie Fragen zu dem Legal Update haben, können Sie sich gerne jederzeit an Klaus Brisch wenden.

              Related people

              Klaus Brisch, LL.M. (USA)

              • Partner // Global Head of Technology // Fachanwalt für Informationstechnologierecht