Während der Endtermin für den Austritt des Vereinigten Königreichs aus der EU immer näher rückt, ist eine endgültige Lösung noch nicht absehbar. Mit der Bestellung des neuen Premierministers Boris Johnson, einem Brexit-Hardliner, wird ein Hard-Brexit zum 31.10.2019 immer wahrscheinlicher. Ohne ein Ausstiegsabkommen würde das Vereinigte Königreich aber über Nacht zum Drittland ohne angemessenes Datenschutzniveau. Wie kann man sich als betroffenes Unternehmen mit Datentransfer in das Vereinigte Königreich darauf vorbereiten?
Der Brexit hat einen wesentlichen Einfluss auf bereits bestehende oder geplante Datentransfers vom oder ins Vereinigte Königreich: Sowohl beim Einsatz von Auftragsverarbeitern – unabhängig davon, ob innerhalb der eigenen Unternehmensgruppe oder durch Hinzuziehung von Dritten – als auch bei der Übermittlung an einen anderen Verantwortlichen, ist stets zu prüfen, ob der Empfänger (i) innerhalb der EU niedergelassen ist oder (ii) ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Nur in diesen Fällen sind keine zusätzlichen Maßnahmen nach Art 44 ff DSGVO erforderlich.
Bis dato ist das Vereinigte Königreich EU-Mitgliedsstaat und ein Datentransfer daher an keine weiteren Voraussetzungen geknüpft. Sofern es aber im Zuge des Brexit zu einem Austritt ohne (Übergangs-)Regelung zum Datenverkehr kommt, sind über Nacht zahlreiche weitere Maßnahmen zur Absicherung des Datenaustausches von oder nach UK erforderlich. Um für dieses Szenario gewappnet zu sein und nicht kurzfristig Schritte setzen zu müssen, sollten Unternehmen folgende Vorbereitungen proaktiv als Vorbereitung auf den (Hard) Brexit setzen:
-
Erweiterung des Verarbeitungsverzeichnisses
Die Übermittlungen nach UK müssen als dann Drittland explizit hervorgehoben werden. Ebenso sind geeignete Schutzmaßnahmen – wie etwa der Abschluss von EU Standarddatenschutzklauseln – zu ergreifen und zu dokumentieren.
-
Adaption der Datenschutzhinweise
Die Übermittlung nach UK muss hervorgehoben und dem Betroffenen die Möglichkeit gegeben werden, weitere Unterlagen zu den getroffenen Schutzmaßnahmen anzufordern.
-
Aktualisierung von Datenschutz-Folgenabschätzungen
Der Übermittlung personenbezogener Daten nach UK als dann unsicheren Drittstaat müssen geeignete Maßnahmen zur Risikominimierung gegenüberstehen (zB Pseudonymisierung, Verschlüsselung oder geänderte Berechtigungskonzepte). Dies muss in bestehenden Datenschutzfolgeabschätzungen allenfalls ergänzt werden.
-
Kein Berufen auf die "Erfüllung einer rechtlichen Verpflichtung"
Basierte die Verarbeitung auf der Erfüllung einer gesetzlichen Verpflichtung im Vereinigten Königreich, fällt diese Rechtsgrundlage mit dem Brexit weg. So deckt die DSGVO nur Rechtsnormen der EU oder der EU-Mitgliedstaaten als taugliche Grundlage ab. Bestimmungen in Drittländern können eine Datenverarbeitung aber nie unmittelbar rechtfertigen. Dementsprechend muss bei Verarbeitungen, die sich auf Gesetze des Vereinigten Königreichs stützen, zukünftig auf eine andere Rechtfertigung wie zB berechtigtes Interesse oder – wo das nicht möglich ist – eine Einwilligung gestützt werden.
-
Benennung eines Vertreters
Unternehmen mit Sitz im Vereinigten Königreich müssen bei fortgesetzter Tätigkeit im Anwendungsbereich der DSGVO gemäß Art 27 einen Vertreter in der Union benennen. Alternativ kann auch eine (Tochter-)Gesellschaft in der EU neu gegründet werden, um von dieser ausgehend das europäische Geschäft zu betreiben.
-
Überarbeitung der Verträge
Verträge, die eine Beschränkung oder gar Verbot hinsichtlich eines Drittlanddatentransfers beinhalten, müssen entsprechend angepasst werden.
-
Implementierung geeigneter Garantien
Wenn das Vereinigte Königreich aus der EU austritt, ist es zunächst als unsicheres Drittland einzustufen. Eine Angemessenheitsentscheidung der EU ist auf Basis des in UK (noch) vorherrschenden Datenschutzstandards – schließlich hat das Vereinigte Königreich die DSGVO umgesetzt und war ihre Datenschutzbehörde einer der aktivsten in der EU – zwar höchstwahrscheinlich. Allerdings wird das formale Prozedere wohl auch einiges an Zeit beanspruchen. Dementsprechend sind weitere Maßnahmen für Datentransfers nach UK zu treffen. So sind geeignete Garantien nach Art 46 Abs 2 DSGVO zu implementieren. In der Praxis werden dies vorrangig (i) verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) oder (ii) Standarddatenschutzklauseln der EU-Kommission (Standard Contractual Clauses, SCC) sein. Weiterhin zulässig sind darüber hinaus Übermittlungen personenbezogener Daten an einen Empfänger im "unsicheren Drittland", die zur Erfüllung von (vor)vertraglichen Verpflichtungen iSd Art 49 Abs 1 lit b DSGVO erforderlich sind. Dies ist der Fall, wenn zB Leistungen im Drittland angeboten werden wie zB Hotelbuchungen oder Reisen.
Das Szenario bei einem möglichen Hard Brexit erinnert stark an den Fall des Safe-Harbour-Abkommens durch die EuGH Entscheidung vom 6.10.2015: Auch damals wurden Datentransfers an Safe-Harbour-zertifizierte US-Unternehmen über Nacht unzulässig. Anders als die EuGH Entscheidung ist der Entscheidungstag nun aber vorhersehbar. Dementsprechend sind zur Aufrechterhaltung der DSGVO-Compliance schon jetzt die erforderlichen Schritte zu setzen, um für den "B-Day" ausreichend gewappnet zu sein.