Home / Veröffentlichungen / Auswirkungen des Brexits auf Datentransfers zwischen...

Auswirkungen des Brexits auf Datentransfers zwischen der EU und dem Vereinigten Königreich

01/03/2019

Der wahrscheinlich bevorstehende Brexit konfrontiert nicht nur viele Unternehmer, sondern auch so manchen Praktiker mit schwierigen datenschutzrechtlichen Problemen. Im Mittelpunkt steht dabei die Frage, welche Maßnahmen grenzüberschreitend tätige Unternehmen ergreifen müssen, um auch nach dem Brexit DSGVO-konform zu sein. Der vorliegende Beitrag erläutert, inwieweit Handlungsbedarf besteht und worauf besonders Acht zu geben ist.

Den nachstehenden Überlegungen ist zunächst vorauszuschicken, dass ein geordneter Brexit, der dem zwischen der britischen Regierung und der EU ausgehandelten Brexit-Vertrag unterliegt, zur Anwendbarkeit der DSGVO im Vereinigten Königreich für zwei weitere Jahre nach dem Austritt führen würde. Datenschutzrechtlich gäbe es diesfalls zumindest vorläufig keinen Handlungsbedarf. Daher wird im Weiteren nur der ungeordnete, der sogenannte Hard Brexit besprochen.

Übermittlung personenbezogener Daten

Die DSGVO unterscheidet grundsätzlich zwischen Datenübermittlungen an einen anderen Verantwortlichen einerseits und an einen Auftragsverarbeiter andererseits. Solche Datenübermittlungen sind jeweils nur unter bestimmten Voraussetzungen zulässig. Sofern der empfangende Verantwortliche oder Auftragsverarbeiter in einem Drittland, also außerhalb der EU/des EWR ansässig ist, muss zusätzlich vom Sender der Daten ein angemessenes Datenschutzniveau sichergestellt werden.

Daraus ergibt sich für Datenübermittlungen in Drittländer eine zweistufige Zulässigkeitsprüfung:

  • Auf erster Stufe wird geprüft, ob der Transfer an den Empfänger rechtmäßig ist. Bei einer Übermittlung an einen anderen Verantwortlichen bedarf es dafür einer Rechtsgrundlage iSd Art 6 Abs DSGVO (bzw. Art 9 DSGVO bei besonderen Datenkategorien). In der DSGVO gibt es kein Konzernprivileg, das gruppeninterne Datentransfers generell rechtfertigen würde. Werden Daten hingegen an einen Auftragsverarbeiter übermittelt, bedarf es dafür keiner gesonderten Rechtsgrundlage, sondern nur des Abschlusses eines Auftragsverarbeitungsvertrags gemäß Art 28 DSGVO.
  • Bei Übermittlungen an Verantwortliche oder Auftragsverarbeiter in einem Drittland muss auf zweiter Stufe eine Prüfung des angemessenen Datenschutzniveaus erfolgen. Demgegenüber sieht die DSGVO keine besonderen Regelungen für die Gewährleistung eines angemessenen Datenschutzniveaus bei Übermittlungen innerhalb der EU/des EWR vor. Irrelevant ist in dieser Hinsicht auch, ob die betreffenden Daten in Österreich oder in einem anderen Mitgliedstaat erhoben wurden. Da die DSGVO in allen Mitgliedstaaten dasselbe Datenschutzniveau vorsieht, besteht in diesem Zusammenhang auch keine Veranlassung für Sonderregelungen.

Extraterritorialer Anwendungsbereich der DSGVO

Ein Kuriosum der DSGVO, das aber innerhalb der EU verständlicherweise wenig sichtbar wurde, ist gemäß Art 3 Abs 2 lit a DSGVO deren Anwendbarkeit auf die Verarbeitung personenbezogener Daten von in der EU aufhältigen Personen durch Unternehmen in Drittländern, wenn diese Unternehmen Waren oder Dienstleistungen in der EU anbieten. So haben etwa zahlreiche US-Unternehmen, insbesondere auch die großen Vertreter der Digital Economy, zur Verwunderung der US-amerikanischen Konsumenten plötzlich Compliance mit der weitgehend unbekannten DSGVO demonstriert. Art 3 Abs 2 lit a DSGVO wird nach einem Hard Brexit auf demselben Weg auch für Unternehmen im Vereinigten Königreich gelten, die ihre Produkte und Dienste in der EU anbieten und zu diesem Zweck personenbezogene Daten von in der EU aufhältigen Personen verarbeiten.

Welche datenschutzrechtlichen Konsequenzen hat ein Hard Brexit für Datentransfers in das Vereinigte Königreich?

Nach einem Hard Brexit wird das Vereinigte Königreich ein Drittland im Sinne der DSGVO sein. Für Datenübermittlungen aus der EU in Drittländer muss – unabhängig von der Rechtsgrundlage bzw. dem Abschluss eines Auftragsverarbeitungsvertrags – wie eingangs dargestellt, ein angemessenes Datenschutzniveau im Drittland gewährleistet werden. Hierfür sieht die DSVGO unter anderem folgende Möglichkeiten vor:

  1. Für das Drittland besteht ein Angemessenheitsbeschluss der EU-Kommission. Solche Beschlüsse gibt es derzeit nur für Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz und Uruguay. Seit 23.01.2019 liegt auch ein Angemessenheitsbeschluss für Japan vor.
  2. Für Konzerne bieten sogenannte Binding Corporate Rules eine Alternative. Diese müssen jedoch vorher von der zuständigen Datenschutzbehörde genehmigt werden. Dabei ist eine Genehmigung sämtlicher Datenschutzbehörden erforderlich, in deren Jurisdiktionsgewalt das übermittelnde Unternehmen fällt.
  3. EU-Standarddatenschutzklauseln: Gibt es keinen Angemessenheitsbeschluss der EU-Kommission, stellen die EU-Standarddatenschutzklauseln die einfachste Maßnahme dar, um ein angemessenes Datenschutzniveau für Datenübermittlungen in Drittländer zu gewährleisten. Eine Genehmigung durch die Datenschutzbehörde wie nach dem früheren DSG 2000 ist nicht mehr erforderlich. Allerdings befinden sich die EU-Standarddatenschutzklauseln aktuell unter Beschuss. Ihnen droht die Aufhebung durch den EuGH, wie dies beim Safe-Harbour-Abkommen, dem Privacy-Shield-Vorgänger, der Fall war.
  4. Aufsichtsbehördliche Standarddatenschutzklauseln müssen von der einzelstaatlichen Aufsichtsbehörde angenommen und von der Kommission genehmigt werden.

In der Praxis werden am häufigsten die EU-Standarddatenschutzklauseln vereinbart, zumal dieses vorgefertigte Vertragswerk – zumindest aus Sicht des Übermittelnden – mit dem geringsten administrativen Aufwand verbunden ist. Derzeit ist noch nicht absehbar, ob und, wenn ja, wann die EU-Standarddatenschutzklauseln vom EuGH aufgehoben werden. Vorsichtshalber sollten Unternehmen aber schon jetzt eine Notfallstrategie vorbereiten.

Auf die Ausnahmen des Art 49 DSGVO über die Zulässigkeit von Datenübermittlungen in ein Drittland ohne das Vorliegen angemessener Garantien sei an dieser Stelle bloß hingewiesen.

Sonderproblem Zweigniederlassung

Eine österreichische Tochtergesellschaft als selbständige Zweigniederlassung einer englischen Muttergesellschaft ist vom Brexit zunächst selbst nicht unmittelbar betroffen. Die Tochtergesellschaft gilt als eigenständiger Verantwortlicher für die von ihr durchgeführten Datenverarbeitungen. Sofern eine Tochtergesellschaft jedoch personenbezogene Daten an die Muttergesellschaft im Vereinigten Königreich übermittelt, gelten auch hier die zuvor erwähnten Grundsätze, wonach der übermittelnde Verantwortliche ein angemessenes Datenschutzniveau sicherzustellen hat. Dasselbe gilt freilich auch im Fall einer Übermittlung von einer Muttergesellschaft in Österreich an eine Tochtergesellschaft im Vereinigten Königreich.

Was in der Praxis jedoch häufig übersehen wird: Unselbständige Zweigniederlassungen (also Betriebsstandorte ohne eigene Rechtspersönlichkeit) von Gesellschaften mit Sitz im Vereinigten Königreich können personenbezogene Daten grundsätzlich nicht eigenständig, also in von der Gesellschaft abgesonderter Verantwortung, verarbeiten. Sämtliche Datenverarbeitungen im Rahmen einer solchen Niederlassung sind jener Gesellschaft zuzurechnen, der auch die Zweigniederlassung zugeordnet ist. Die englische Muttergesellschaft bleibt auch für Datenverarbeitungen im Rahmen der unselbständigen österreichischen Zweigniederlassung Verantwortlicher im Sinne der DSGVO.

Auf die im Rahmen einer österreichischen Zweigniederlassung durchgeführten Datenerhebungen und -verarbeitungen ist aber jedenfalls die DSGVO anwendbar, zumal diese in der EU stattfinden. Einen Rückgriff auf den exterritorialen Anwendungsbereich der DSGVO bedarf es in diesem Fall nicht. Die englische Muttergesellschaft hat daher für ihre unselbständige Zweigniederlassung u.a. ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

Was ist im Falle eines Hard Brexit für Datenübermittlungen in das Vereinigte Königreich zu beachten und welche Maßnahmen sollten bis zum 29. März 2019 jedenfalls ergriffen werden?

  1. Ermittlung und Prüfung der betroffenen Verarbeitungstätigkeiten: International agierende Unternehmen sollten vor diesem Hintergrund im Vorfeld eines Hard Brexit alle Übermittlungsprozesse aus der EU in das Vereinigte Königreich, die personenbezogene Daten enthalten, in einem ersten Schritt identifizieren und sodann entsprechende Informationsschreiben oder Emails vorbereiten (siehe unten), die im Fall eines Hard Brexit kurzfristig abgesetzt werden können.
    Im Zuge solcher Anpassungsmaßnahmen lohnt es sich oftmals, die betreffenden Datenverarbeitungen und Datenübermittlungen zugleich einem generellen Compliance-Audit zu unterziehen, hat sich für die Autoren doch in einigen Fällen herausgestellt, dass hier bei vielen Unternehmen noch Nachbesserungsbedarf besteht.
    Besonderes Augenmerk sollte auf sensible Arbeits- und Lebensbereiche gelegt werden. Dazu gehören insbesondere Arbeitnehmerdaten, Kundendaten, Gesundheitsdaten, aber auch Tracking-Informationen
  2. Schaffung geeigneter Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus für Übermittlungen in das Vereinigte Königreich. Dazu gehört insbesondere der Abschluss von EU-Standarddatenschutzklauseln mit bestehenden Auftragsverarbeitern im Vereinigten Königreich.
  3. Informationspflichten: Art 13 DSGVO regelt die Informationspflichten des Verantwortlichen im Zeitpunkt der Erhebung der für die Verarbeitung oder Übermittlung personenbezogener Daten. Der Verantwortliche muss etwa über die Zwecke der Datenverarbeitung, die Rechtsgrundlage(n) der Verarbeitung, die Dauer der Verarbeitung sowie die diversen Rechte des Betroffenen aufklären.
    Neben der Angabe der Empfänger oder der Kategorien von Empfängern der personenbezogenen Daten des Betroffenen muss im Fall einer Übermittlung in ein Drittland auch über die Absicht zu einer solchen Übermittlung in ein Drittland informiert werden. In der Literatur wird hier weitgehend vertreten, dass das konkrete Drittland auch ausdrücklich genannt werden muss. Bei Übermittlungen in Drittländer muss dem Betroffenen auch die Information erteilt werden, wo eine Kopie der verwendeten angemessenen Garantien, z.B. der EU-Standarddatenschutzklauseln, verfügbar ist.
    Im Hinblick auf die Informationspflichten wird weitgehend vertreten, dass – scheinbar entgegen dem Wortlaut der Bestimmung – dem Betroffenen auch nachträgliche Änderungen der betreffenden Informationen bekanntgegeben werden müssen. Dies hat erhebliche Bedeutung für Datenübermittlungen in das Vereinigte Königreich nach einem Hard Brexit, zumal Betroffene nun nachträglich darüber informiert werden müssen, dass ihre Daten in das Vereinigte Königreich übermittelt werden.
  4. Ergänzung des Verzeichnisses der Verarbeitungstätigkeiten: Datenübermittlungen in Drittländer müssen entsprechend benannt und die von der DSGVO geforderten Angaben ergänzt werden. Ebenso muss die Datenschutzerklärung entsprechend aktualisiert werden.
  5. Eventuell ist auch eine Datenschutz-Folgenabschätzung durchzuführen oder zu aktualisieren. 

Autoren

Klaus-Pateter-CMS-AT
Klaus Pateter
Rechtsanwalt für Technologie, Medien & Telekommunikation (TMC), gewerblichen Rechtsschutz, Digitalisierung & Start-ups
Wien
Picture of Johannes Scharf
Johannes Scharf
Rechtsanwalt
Wien