Brexit und Datenschutz

28. Januar 2021

Datenschutz verstehen – Brexit und Datenschutz

Was ist überhaupt der Brexit? Brexit ist eine Wortneuschöpfung aus „Britain“ und „Exit“. Kurz geschildert bedeutet Brexit, dass das Vereinigte Königreich, also Großbritannien, aus der Europäischen Union austreten will. Warum 52% der wahlberechtigten Bürger für den Brexit stimmten, wissen die meisten europäischen Bürger auch nicht so wirklich. Vielleicht sehen sich viele Briten nach dem alten British Empire und fühlen sich nicht zugehörig in der Europäischen Union. Ein interessantes Zitat von Winston Churchill, lautete einst, wohlgemerkt 1944: „Wann immer wir zwischen Europa und dem offenen Meer wählen müssen, sollen wir uns immer für das offene Meer entscheiden.“

Dennoch machten immerhin 48 % ihr Kreuzchen bei „Remain“, was den Aufenthaltsort in der Europäischen Union für die Briten bedeutet hätte.
Am 31. Januar 2020 kam es dann doch zum Austritt des Vereinigten Königreichs aus der EU mit einer Übergangszeit bis zum 31.Dezember 2020, welche nun mit dem neuen Jahr 2021 abgelaufen ist. Somit tritt am 01. Januar das neue Abkommen zwischen Großbritannien und der EU in Kraft. Welche Änderungen nun auf uns zukommen erfahren Sie in diesem Beitrag.

Inhalt:

Datenschutz und der Brexit-Deal
Datenübermittlung nach Großbritannien
Checkliste: Was müssen europäische Unternehmen jetzt tun?
Hinweise in der Datenschutzerklärung Brexit
Verzeichnis der Verarbeitungstätigkeiten nach dem Brexit
Auskunftsersuchen nach dem Brexit

Datenschutz und der Brexit-Deal

Abgesehen von den außerordentlichen Ergebnissen der Börse in Verbindung mit der Stabilität des Euros, sind alle europäischen Unternehmen nun angehalten zu agieren. Denn die allermeisten Unternehmen verfügen über eine Niederlassung in Großbritannien, setzen Dienstleister aus Großbritannien zur Ausführung Ihrer Leistungen ein oder nutzen in Großbritannien digitale Dienste wie beispielsweise Online-Marketing-Tools ein. Bei all diesen Fällen werden in der Regel personenbezogene Daten ausgetauscht. Das bedeutet, es muss hierbei die Datenschutz-Grundverordnung eingehalten werden. Die DSGVO regelt den Datentransfer innerhalb der Europäischen Union und ebenfalls Übermittlungen von personenbezogenen Daten in ein Drittland, was für das Vereinigte Königreich jetzt zutreffend ist. Der Brexit-Deal beschäftigt sich in seinem Vertrag (PDF), auch wenn zeitlich begrenzt, um den Datenschutz.

Glücklicherweise hat sich der No-Deal-Brexit nicht verwirklicht und es ist zunächst mit einem Soft-Brexit zu verfahren. Doch was bedeutet dies konkret für Unternehmen der EU?

Vorerst können Unternehmen bis zum 30. April 2021 ihre Verarbeitungsvorgänge beibehalten, denn es gilt zunächst eine weitere Schonfrist von 4 Monaten. Somit können personenbezogene Daten im Zusammenhang mit dem Vereinigten Königreich verarbeitet werden. Des Weiteren ist eine automatische Verlängerung der Schonfrist um 2 weitere Monate vorgesehen. Hier ist jedoch Vorsicht geboten, da beide Vertragsparteien der Veränderung widersprechen können, wodurch die rechtliche Problematik schlussendlich doch eintreten würde. Letzten Endes besteht jedoch aufgrund des Abkommens kein Zurück mehr und es müssen zwangsläufig Anpassungen für die Verarbeitung personenbezogener Daten in Bezug auf Großbritannien vorgenommen werden – früher oder später.

Datenübermittlung nach Großbritannien

Wie bereits erwähnt wird Großbritannien durch den Brexit über Nacht zum Drittland. Das bringt erhebliche Aufwände für die europäischen Unternehmen mit sich, denn die Übermittlung von personenbezogenen Daten nach Großbritannien war bisher unproblematisch anzusehen. Europäische Unternehmen müssen daher jetzt beginnen, neue Grundlagen für die Datenübermittlung nach Großbritannien vorzubereiten. Grundsätzlich existieren gesetzliche Erlaubnistatbestände, die Datentransfers in Drittländer, und damit auch nach Großbritannien, erlauben. Dennoch wird die Bewertung, ob eine Datenverarbeitung getätigt werden darf und auf welcher Grundlage diese durchgeführt werden darf, zunächst ungewiss. Denn viele der gesetzlichen Erlaubnis-Grundlagen aus Artikel 45 ff. DSGVO müssen zwischen den Aufsichtsbehörden, der Kommission und Großbritannien verhandelt werden, damit Unternehmen die Erlaubnis-Grundlagen heranziehen dürfen. Im Regelfall können folgende Grundlagen herangezogen:

Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren erlassen werden
Genehmigte Verhaltensregel gemäß Artikel 40 DSGVO
Einwilligungen der betroffenen Personen
Angemessenheitsbeschluss der Europäischen Kommission
Zertifizierungen gem. Art. 46 Abs. 2 lit. f) DSGVO
Sonstige Garantien: Binding-Corporate-Rules

Die Einstufung eines Drittlandes in ein sog. sicheres Drittland könnte also durch einen Angemessenheitsbeschluss im Sinne des Art. 46 DSGVO erfolgen. Großbritannien würde hierdurch den Status eines Drittlandes nicht verlieren, jedoch aus datenschutzrechtlicher Sicht als sicher eingestuft werden. Es bleibt allerdings abzuwarten, wann und ob überhaupt dieser Beschluss folgen wird. Andernfalls würden die gleichen Bedenken hinsichtlich des Datenschutzes entstehen, wie auch in den USA durch das nicht mehr gültigen EU-US-Privacy Shield. Dies kann nicht gänzlich ausgeschlossen werden, da Großbritannien, ähnlich wie die USA weitreichende staatliche Befugnisse hat, die einen Angemessenheitsbeschluss instabil machen könnten. Vergleichen Sie hierfür auch das Urteil des EuGH zum EU-US-Privacy Shield.

Sollten weder ein Angemesseneheitsbeschluss noch geeignete Garantien bis nach der Schonfrist vorliegen, könnten in bestimmten Einzelfällen, Datenübermittlungen durch sog. Ausnahmen gem. Art. 49 DSGVO erfolgen. Hiernach ist eine Übermittlung gestattet, wenn eine Einwilligung des Betroffenen vorliegt, dies für die Erfüllung eines Vertrages, für die Geltendmachung von Rechtsansprüchen oder zum Schutz lebenswichtiger Interessen notwendig ist.

Britische Unternehmen müssen ebenfalls handeln

Wichtig ist, dass britische Unternehmen sich weiter an die Bestimmungen der DSGVO halten und diese befolgen, damit europäische Unternehmen weiter geschäftsmäßig in Betracht kommen. Für den Datentransfer aus der EU/EWR nach Großbritannien, müssen Überprüfung des Datentransfers auf ausreichende Sicherheitsvorkehrungen getroffen werden. Ebenfalls müssen für den Datentransfer von Großbritannien in die EU/EWR die Bestimmungen des UK Data Protection Act 2018 zum internationalen Datentransfer (Chapter 5) beachtet werden. Konzerne, welche mehrere Standorte in ganz Europa halten, sollten ihre Verarbeitungstätigkeiten überprüfen, um zu beurteilen, wie sich der Austritt Großbritanniens aus der EU auf die für sie geltenden Datenschutzbestimmungen auswirken wird.

Checkliste: Was müssen europäische Unternehmen jetzt tun?

Damit Unternehmen sich schnell auf einen möglichen No-Deal-Brexit vorbereiten können haben wir eine Checkliste mit den wichtigsten Aufgaben im Bereich Datenschutz zusammengetragen:

Analysieren Sie die Verarbeitungen, bei denen Sie personenbezogene Daten (Kunden, Nutzer, Mitarbeiter) nach Großbritannien übermitteln.

Prüfen Sie, ob Sie für diese Verarbeitungsprozesse über entsprechende gesetzliche Erlaubnisse verfügen nach Artikel 46 DSGVO.

Erfragen Sie bei den britischen Unternehmen, welche Garantien geboten werden (Standardschutzklauseln, Vorbereitung auf Brexit, Datenschutzkonzept).

Ergänzen Sie Ihr Verarbeitungsverzeichnis um die gesetzlichen Erlaubnisse.

Ergänzen Sie Ihre Datenschutzerklärung um die Hinweise auf Drittländer und Datenverarbeitungen in Großbritannien.

Aktualisieren Sie Ihre Einwilligungen, damit der Datentransfer in ein Drittland weiter getätigt werden darf.

Eventuell müssen Sie sogar Datenschutz-Folgenabschätzungen ergänzen.

Standard-Auskunftsersuchen müssen nun um den Punkt Übermittlung in ein Drittland erweitert werden.

Vertragsüberprüfung bei Datenverarbeitungen durch Dienstleister und Auftragsverarbeiter

Hinweise in der Datenschutzerklärung für Brexit

Sofern Sie personenbezogene Daten Ihrer Kunden, Mitarbeiter oder sonstigen Kooperationspartner nach Großbritannien übermitteln, müssen Sie jetzt hierfür einen entsprechenden Hinweis in Ihrer Datenschutzerklärung erbringen gemäß Art. 13 Abs. 1 Satz 1 lit. f) und 14 Abs. 1 Satz 1 lit. f) DSGVO. Ein Hinweis für die Datenschutzerklärung könnte wie folgt gestaltet sein:

Der Verantwortliche überträgt und verarbeitet personenbezogene Daten außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR) in ein Drittland. Dies erfolgt, nur wenn diese Übertragung und Verarbeitung zur Erfüllung einer vertraglichen Pflicht, auf Grundlage einer Einwilligung, aufgrund einer rechtlichen Verpflichtung oder auf Grundlage der berechtigten Interessen des Verantwortlichen geschieht. Sofern wir diese Verarbeitung nicht auf Grundlage einer Einwilligung oder einer vertraglichen Verpflichtung tätigen, vereinbaren wir mit dem Empfänger oder Auftragsverarbeiter aus dem Drittland geeignete Garantien gemäß Artikel 46 Abs. 2 DSGVO, um die Einhaltung der Datenschutz-Grundverordnung zu erfüllen. Geeignete Garantien bestehen, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in:
– einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,
– verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
– Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
– von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
– genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen,
– oder einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.

Verzeichnis der Verarbeitungstätigkeiten nach dem Brexit

Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in das Drittland Vereinigte Königreich und die weiteren in diesem Zusammenhang geforderten Angaben zu machen (Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO). Hierzu gehören insbesondere die Erlaubnis-Grundlagen gemäß Artikel 46 Abs. 2 DSGVO.

Auskunftsersuchen nach dem Brexit

Wenn eine betroffene Person (Kunde, Mitarbeiter, Lieferant) von ihrem Auskunftsrecht Gebrauch macht, ist sie auch über die Datenübermittlung in das Drittland Vereinigte Königreich und die verwendeten geeigneten Datenschutzgarantien zu informieren (Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO).

Wir weisen nochmal darauf hin, dass Verantwortliche, die personenbezogene Daten ohne die nach Kapitel V DSGVO notwendigen Sicherheiten in das Vereinigte Königreich übermitteln, rechtswidrig handeln. Die Aufsichtsbehörden könnten dann Datenübermittlungen per Anordnung aussetzen (Art. 58 Abs. 2 lit. j DSGVO) und Geldbußen verhängen (Art. 83 Abs. 5 lit. c DSGVO).

Um dies zu vermeiden, sollte dringend ein Datenschutzberater zu Rate gezogen werden.

Nils Möllers

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz