Neues zum Datenschutzrecht
14.12.2018
Brexit: Datenschutzrelevanz kommt bald zum Tragen
Der Austritt Großbritanniens aus der EU – mit oder ohne Abkommen – rückt in greifbare Nähe und damit auch die datenschutzrechtlichen Konsequenzen. Mit dem Ausscheiden aus der EU wird Großbritannien unter datenschutzrechtlichen Gesichtspunkten zum Drittland. Betroffen sind Unternehmen, die personenbezogene Daten von Kunden, Geschäftspartnern und Beschäftigten nach Großbritannien übermitteln oder IT-Leistungen in Anspruch nehmen, die von Anbietern in Großbritannien erbracht werden.
Voraussetzungen für eine rechtmäßige Datenübermittlung
Die Übermittlung personenbezogener Daten aus Staaten der EU in Drittländer unterliegt besonderen rechtlichen Vorgaben. Diese Anforderungen gemäß Art. 44 ff. DSGVO müssen zusätzlich zu den allgemeinen Voraussetzungen für eine rechtmäßige Datenverarbeitung erfüllt sein. Die Zulässigkeit einer Datenübermittlung in Drittländer ist zweistufig zu prüfen.
Auf der ersten Stufe wird die Frage der Zulässigkeit der Datenübermittlung unabhängig von deren Bestimmungsort gestellt und anhand der allgemeinen Grundsätze gemäß Art. 5 DSGVO und der Vorgaben gemäß Art. 6 ff. DSGVO beantwortet. Nach Art. 6 Abs. 1 DSGVO bedarf es eines Erlaubnistatbestands in Form einer Einwilligung der betroffenen Person oder einer sonstigen zulässigen Rechtsgrundlage.
Auf der zweiten Stufe ist die Einhaltung der zusätzlichen Anforderungen für eine Datenübermittlung in Drittländer zu prüfen. Die entsprechenden Vorgaben sind in Art. 44 ff. DSGVO geregelt.
Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Das wäre mit Blick auf den Brexit die einfachste Lösung für das zukünftige Drittland Großbritannien, setzt aber zunächst eine entsprechende Umsetzung durch die EU-Kommission voraus.
Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorgesehen werden und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können unter anderem bestehen in: verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules), in Standarddatenschutzklauseln oder in genehmigten Verhaltensregeln nach Art. 40 DSGVO mit rechtsverbindlichen und durchsetzbaren Verpflichtungen zu deren Anwendung im Drittland. Darüber hinaus können die Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus auch in individuellen vertraglichen Vereinbarungen über die Datenverarbeitung zwischen den Verantwortlichen bzw. dem Verantwortlichen und dem Auftragsverarbeiter bestehen, wenn diese von der zuständigen Datenschutzaufsichtsbehörde genehmigt wurden.
Ohne Angemessenheitsbeschluss der EU-Kommission oder geeignete Garantien gem. Art. 46 DSGVO darf eine Übermittlung personenbezogener Daten in Drittländer ausnahmsweise nur dann erfolgen, wenn ein Ausnahmetatbestand gemäß Art. 49 Abs. 1 DSGVO vorliegt.
Weitere relevante Aspekte für die Datenschutzorganisation
Abgesehen von der Frage der Zulässigkeit einer Übermittlung personenbezogener Daten in ein Drittland sind weitere Besonderheiten zu beachten, die im weitesten Sinne unter dem Stichwort „Datenschutzorganisation“ gefasst werden können. Hierzu zählen unter anderem
- Anpassung der Informationen zur Datenverarbeitung, da über eine Datenübermittlung in ein Drittland zu informieren ist (Art. 13 Abs. 1 lit. f, Art. 14 Abs. 1 lit. f DSGVO)
- Berücksichtigung bei Auskunftsprozess, da auch eine Datenübermittlung in Drittländer Gegenstand des Auskunftsanspruchs ist (Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO)
- Anpassung des Verzeichnisses von Verarbeitungstätigkeiten, da Datenübermittlungen in Drittländer aufzunehmen sind (Art. 30 Abs. 1 lit. d und lit. e DSGVO, Art. 30 Abs. 2 lit. c DSGVO)
- Überprüfung, ob aufgrund des Umstands, dass Großbritannien zum Drittland wird, Datenschutz-Folgenabschätzungen durchzuführen und bereits durchgeführte Datenschutz-Folgenabschätzungen erneut durchzuführen sind
Resümee
Zusammenfassend ist festzuhalten: Der Austritt Großbritanniens aus der EU hat nicht unerhebliche datenschutzrechtliche Konsequenzen. Die damit verbundenen Probleme lassen sich jedoch lösen, wenn sie erkannt und angegangen werden.
Sollten Sie Fragen zu den datenschutzrechtlichen Konsequenzen des Austritts Großbritanniens aus der EU haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.