Wenn’s hart kommt, was gilt? Hinweise für sachsen-anhaltische Unternehmen zur Vorbereitung auf einen ungeregelten Brexit

Pressemitteilung des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 13.03.2019

Das Vereinigte Königreich Großbritannien und Nordirland hat am 29. März 2017 den Austritt aus der Europäischen Union (EU) erklärt. Im Falle eines ungeregelten Austritts (No-Deal-Brexit) wird das Vereinigte Königreich ab dem 30. März 2019 ab 00.00 Uhr „Drittland“ im Sinne des Kapitels V der Datenschutz-Grundverordnung (DS-GVO) sein (oder ggf. etwas später im Falle einer Verschiebung des Austrittsdatums).

Im Folgenden stelle ich speziell für die kleinen und mittleren Unternehmen mit Sitz oder Niederlassung in Sachsen-Anhalt vorsorglich die maßgeblichen Möglichkeiten dar, die Prozesse des grenzüberschreitenden Datenverkehrs auch ab dem 30. März 2019 datenschutzkonform weiterführen zu können. Letztlich sollten alle Beteiligten zusammenwirken, um negative wirtschaftliche Auswirkungen zu vermeiden.

Die DS-GVO hält ein Spektrum von Instrumenten zur Rechtfertigung von Datenübermittlungen in Länder außerhalb der EU vor. Neben altbewährten Instrumenten wie Angemessenheitsentscheidungen der EU-Kommission (Art. 45 DS-GVO), Standardvertragsklauseln (Art. 46 Abs. 2 lit. c und d DS-GVO) oder Binding Corporate Rules (Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO) können Übermittlungen auch auf genehmigte Verhaltensregeln und Zertifizierungen (Art. 46 Abs. 2 lit. e und f DS-GVO) gestützt werden. Vorzugswürdig, weil mit relativ geringem Aufwand umsetzbar, dürfte regelmäßig die Vereinbarung von Standarddatenschutzklauseln sein:

1. Denn eine Angemessenheitsentscheidung, die von der EU-Kommission ausgesprochen wird, bestätigt zwar, dass im Drittland ein mit der DS-GVO vergleichbares Datenschutzniveau existiert und erlaubt so den Datenexport ohne weitere Genehmigungen. Der Angemessenheitsentscheidung geht aber ein umfangreiches Prüfverfahren voraus, welches erst nach dem Brexit begonnen werden kann. Daher ist zumindest für eine nicht genau zu prognostizierende Übergangszeit ein anderes datenschutzrechtliches Instrument zu wählen.

2. Binding Corporate Rules (BCR) sind bindende Unternehmensrichtlinien, welche konzern- oder unternehmensinterne Datentransfers erlauben. Die Einführung von BCR, einschließlich der Genehmigung der Aufsichtsbehörde, ist ein langwieriger Prozess, der sich eher für große Konzerne und Unternehmensgruppen eignet.

3. Mit der DS-GVO neu hinzugekommen ist gemäß Art. 46 Abs. 2 lit. e DS-GVO die Möglichkeit, Datenübermittlungen auf Grundlage von branchenspezifischen Verhaltensregeln gemäß Art. 40 DS-GVO zu legitimieren, sofern diese mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters versehen und von der zuständigen Aufsichtsbehörde genehmigt worden sind.

Auch Zertifizierungen nach Art. 42 DS-GVO können nun gemäß Art. 46 Abs. 2 lit. f DS-GVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters als rechtliche Grundlage für einen Datentransfer in ein Drittland herangezogen werden, wenn die Zertifizierungsmechanismen zuvor genehmigt worden sind.

Die praktische Anwendung dieser Instrumente ist im Hinblick auf rechtliche Rahmenbedingungen und Verfahrensfragen noch nicht hinreichend erprobt. Daher können sie in der aktuellen Situation des Brexits nicht als schnell umzusetzendes Instrument empfohlen werden.

4. Die DS-GVO enthält auch Ausnahmeregelungen für Datenübermittlungen in bestimmten Einzelfällen. Personenbezogene Daten dürfen z. B. zur Durchführung eines Vertrags mit der betroffenen Person oder in ihrem Interesse sowie zur Durchsetzung oder Verteidigung von Rechtsansprüchen an Stellen außerhalb der EU übermittelt werden. Die Datenübermittlung muss allerdings zur Erreichung der vorgenannten Zwecke tatsächlich erforderlich sein und darf nur gelegentlich und nicht wiederkehrend erfolgen.

Letztendlich können Kunden oder Nutzer auch um die Einwilligung in die Verarbeitung von Daten im Vereinigten Königreich gebeten werden. Die Betroffenen müssen in einfacher Sprache über den Zweck der Datenverarbeitung und ihr Widerrufsrecht belehrt, auf mögliche Risiken der Übermittlung der Daten hingewiesen werden und dann z.B. im Onlineformular die Einwilligung per Checkbox ausdrücklich erteilen (Art. 49 Abs. 1 S. 1 lit. a DS-GVO).

Demnach empfehle ich insbesondere auf Grund der Kürze der verbleibenden Zeit und auf Basis des Kurzpapiers Nr. 4 der Datenschutzkonferenz „Datenübermittlung in Drittländer“ (http://lsaurl.de/KP04Drittlaender):

5. Die Vereinbarung von Standarddatenschutzklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c und d DS-GVO) ist regelmäßig das geeignete Instrument. Diese können, wenn sie unverändert angewandt werden, ohne aufsichtsbehördliches Genehmigungserfordernis bilateral zügig vereinbart werden. Voraussetzung ist allerdings, dass die Klauseln auf die konkrete Verarbeitungssituation passen und dass die Vertragsparteien die dort niedergelegten Anforderungen erfüllen.

Die EU stellt Standarddatenschutzklauseln zum einen für den Fall zur Verfügung, dass der britische Empfänger Auftragsdatenverarbeiter ist (http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087), zum anderen für den Fall, dass der britische Empfänger selbst Verantwortlicher ist (Zwei Versionen: http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32001D0497 oder http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32004D0915, wobei die zweite Version die neuere und inhaltlich auch vorzugswürdigere ist).

Die Standarddatenschutzklauseln enthalten Verpflichtungen sowohl für den (britischen) Datenimporteur als auch den (sachsen-anhaltischen) Datenexporteur und rechtfertigen aufbauend auf der Zulässigkeit der Datenverarbeitung nach der DS-GVO den Export der Daten ins Vereinigte Königreich.

Ich verweise zudem auf Informationen des Europäischen Datenschutzausschusses (Anlage 1) und der Datenschutzkonferenz (Anlage 2), des Gremiums der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, denen weitere Hinweise zur Übermittlung personenbezogener Daten in das Vereinigte Königreich zu entnehmen sind.

Die vorstehenden Erläuterungen werden auch den gewerblichen Kammern im Land Sachsen-Anhalt zur Verfügung gestellt, damit diese die Informationen an ihre Mitglieder weiterleiten können. Sie befinden sich auch auf meiner Homepage unter https://datenschutz.sachsen-anhalt.de/landesbeauftragter/pressemitteilungen-datenschutz/.