Neben den allgemeinen Rechtmäßigkeitsanforderungen an die Datenverarbeitung sind die spezifischen Vorgaben zum Drittlandstransfer zu beachten.
Das praktisch in letzter Sekunde geschlossene Handels- und Kooperationsabkommen mit UK sieht für den Umgang mit Datenübermittlungen abermals eine Verlängerung des durch das Austrittsabkommen zum Brexit geschaffenen status quo vor.
Ab dem 1. Januar 2021 sollen Datenübermittlungen von und nach UK für eine Übergangsphase von vier Monaten, folglich bis zum 30. April 2021 weiterhin nicht Drittlandtransfers im Sinne der DSGVO behandelt werden (vorausgesetzt die am 31.12.2020 geltende datenschutzrechtliche Rechtslage in UK bleibt unverändert). Datenübermittlungen nach UK können in diesem Zeitraum daher wie gehabt ohne Beachtung besonderer Anforderungen stattfinden. Diese Übergangsphase soll für weitere zwei Monate einmalig und stillschweigend verlängert werden können, wenn keine der Parteien widerspricht.
Das Abkommen sieht ferner vor, dass im Laufe dieser Übergangsphase ein Angemessenheitsbeschluss der Kommission gem. Art. 45 DSGVO für UK erlassen wird. Dies war bereits so im Austrittsabkommen vorgesehen. Gespräche und Bemühungen hierfür laufen zwar seit März 2020, bisher blieb ein Erfolg aber aus. Kommt es zu einem Angemessenheitsbeschluss vor Ablauf der oben genannten Übergangsfristen, werden die Transfers zu echten Drittlandtransfers Sinne der DSGVO; gleichzeitig wird durch den Angemessenheitsbeschluss eine Grundlage für rechtmäßige Datentransfers nach UK im Einklang mit Kapitel V der DSGVO geschaffen.
Aber auch bei rechtzeitigem Angemessenheitsbeschluss zusätzliche Anforderungen für Datentransfers nach UK zu beachten, die bislang nicht galten. So müssen Unternehmen, die Daten nach UK übermitteln, unabhängig von einem Angemessenheitsbeschluss bspw. auf solche Drittlandtransfers in ihren Datenschutzerklärungen hinweisen und ausdrücklich hierüber informieren, wenn Betroffene ihr Auskunftsrecht gem. Art. 15 DSGVO geltend machen.
Das gilt natürlich erst Recht, wenn die Übergangsphase ohne Angemessenheitsbeschluss enden sollte. Dann sind mangels Angemessenheitsbeschlusses zusätzliche Garantien zu ergreifen, wie bspw. Standarddatenschutzklauseln (SCC) oder genehmigte verbindliche unternehmensinterne Datenschutzvorschriften nach Maßgabe des Art. 46 DSGVO. In bestimmten Fällen können zwar Ausnahmen vom Erfordernis des Angemessenheitsbeschlusses oder der geeigneten Garantien bestehen; diese kommen allerdings nur sehr selten in Betracht. Verantwortliche sollten vorsichtig prüfen, ob sie ihr Tagesgeschäft auf solche Ausnahmen stützen können.
Festhalten lässt sich, dass Datentransfers nach UK spätestens mit Ablauf des 30. Juni 2020 Drittlandtransfers im Sinne der DSGVO werden und damit die Art. 44 ff. DSGVO greifen. In jedem Fall bedeutet dies für betroffene Unternehmen eine Pflicht zur Prüfung ihrer Datentransfers, sowohl im Falle eines Angemessenheitsbeschlusses als auch ohne einen solchen. Ersterer Ausgang wäre gleichwohl mit erheblichen Erleichterungen verbunden.
Darüber hinaus müssen Datenexporteure ggf. selbst das UK-Datenschutzrecht (Data Protection Act – „DPA 2018“) zu beachten. Dieses ist der DSGVO nachgebildet. Internationale Datenverarbeitung können sowohl der DSGVO als auch dem DPA 2018 unterliegen, sodass Verantwortliche hier zusätzliche Aspekte zu berücksichtigen haben.
Angemessenheits-Beschluss - Art. 45 DSGVO
Die Übermittlung personenbezogener Daten
an ein Drittland ist nach Art. 45 DSGVO
möglich, wenn die europäische Kommission
per Beschluss festgestellt hat, dass das
entsprechende Drittland ein angemessenes
Schutzniveau bietet.
Das Handels- und Kooperationsabkommen mit UK sieht in Teil 7 Art. FINPROV.10A vor, dass während der am 1. Januar 2021 beginnenden Übergangsphase ein solcher Beschluss erlassen werden soll, mit welchem diese Übergangsphase dann auch endet.
- Der sog. European Union Withdrawal Act aus UK übernimmt Datenschutzgrundverordnung größtenteils in britisches Recht. UK hat den DPA 2018 erlassen.
- Aufgrund der Befugnisse der Geheimdienste von UK bestehen Zweifel, ob ein der Europäischen Union vergleichbares Datenschutzniveau besteht, denn die in Bezug auf nationale Sicherheit einschlägigen Rechtsvorschriften eines Landes sind bei der Prüfung des Schutzniveaus zu berücksichtigen.
- Der EuGH urteilte in diesem Zusammenhang jüngst, dass die pauschalen und flächendeckenden Datenverarbeitungsbefugnisse britischer Geheimdienste unzulässig seien (Urt. v. 6. 10. 2020, C 623/17), was den Angemessenheitsbeschluss weiter verzögern könnte.
Vorteile:
- Öffentlich einsehbarer Beschluss bzgl. Drittland bietet Rechtssicherheit
- Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses bedarf keiner weiteren Genehmigung
Nachteile:
- Ein Angemessenheitsbeschluss setzt ein (zeit-)aufwendiges Prüfverfahren seitens der Europäischen Kommission voraus.
- Die Dauer des Prüfverfahrens lt. Kommission ist ein bis zwei Jahre.
- Da Bemühungen und Gespräche um einen entsprechenden Angemessenheitsbeschluss für UK schon seit März 2020 laufen, ist eine Entscheidung der Kommission im Frühling 2021, also innerhalb der hierfür im Abkommen vorgesehenen Übergangsfristen, grundsätzlich möglich und realistisch.
Geeignete Garantien – ART. 46 DSGVO
Ohne Beschluss kann eine Übermittlung an Drittland gem. Art. 46 DSGVO erfolgen, wenn geeignete Garantien zum Schutz der personenbezogenen Daten vorgesehen sind; diese sind insbesondere:
- SCC
- Interne verbindliche Datenschutzvorschriften nach Maßgabe des Art. 47 DSGVO
- Genehmigte Vertragsklauseln gem. Art. 45 Abs.3 lit. a) DSGVO
- Genehmigte Verhaltensregeln zur ordnungsgemäßen Anwendung der Datenschutzgrundverordnung
- Zertifizierte Verpflichtungen Gem. Art. 42 DSGVO
Standarddatenschutzklauseln – Art. 46 Abs. 2 Lit. c) DSGVO
Die Europäische Kommission kann SCC festlegen, auf deren Grundlage Datenübermittlung erfolgen kann.
Vorteile:
- Einigung hierüber direkt mit Vertragspartnern möglich
- Keine erneute Genehmigung durch die Aufsichtsbehörden erforderlich
Nachteile:
- SCC nur für Übermittlung Verantwortliche an Verantwortliche (Controller-Controller) sowie für Übermittlung Verantwortliche an Auftragsverarbeiter (Controller-Processor); die aktuell im Entwurf vorliegenden SCC 2021 sehen darüber hinaus aber auch eine Übermittlung Auftragsverarbeiter an Auftragsverarbeiter (Processor – Processor) vor, sodass auch diese Konstellation in Zukunft erfasst sein dürfte.
- Bei Übermittlung an unselbstständige Niederlassung in UK ist kein Vertrag möglich, da kein selbstständiges Rechtssubjekt.
- Mit der Schrems II-Entscheidung hat der EuGH klargestellt, dass SCC nicht in allen Fällen für angemessenen Datenschutzstandard ausreichend sind.
- Datenexporteur und -importeur bleiben für tatsächlichen Schutzstandard und Umsetzung/Einhaltung der SCC im Drittland verantwortlich; insofern sind die dafür erlassenen Empfehlungen des Europäischen Datenschutzausschusses zur Umsetzung des EuGH Urteils Schrems II dringend zu beachten.
Weitere geeignete Garantien – Art. 46 DSGVO
Andere in Art. 46 DSGVO genannte Garantien sind bspw. Vertragsklauseln zwischen der datenübermittelnden Stelle und der datenempfangenden Stelle; diese bedürfen allerdings der Genehmigung der zuständigen Aufsichtsbehörde.
Benennung eines Datenschutz-Vertreters
Wer muss nach britischem Recht einen Vertreter benennen?
Nach Artikel 27 UK-GDPR alle Unternehmen (B2C oder B2B) ohne Niederlassung in UK, die dort Waren oder Dienstleistungen anbieten oder das Verhalten von Personen beobachten. Bereits das Anbieten einer an UK-Bürger ausgerichteten Website kann die Bestellpflicht auslösen. Anwendungsfälle:
- Tracking von UK-Bürgern, etwa mittels Cookies oder Device Fingerprints
- Auf UK ausgerichtete Suchmaschinenwerbung
- Bestellmöglichkeit von Waren oder Dienstleistungen in UK, britisches Pfund als Zahlungsmittel
- Durchführung von klinischen Studien oder Marktforschungen
Pflichten und Rolle des Vertreters
Der Vertreter ist lokaler Ansprechpartner für Bürgerinnen und Bürger sowie des British Information Commissioner's Office (ICO), der britischen Datenschutz-Aufsichtsbehörde. Zustellungen von Behördenschreiben können mit Rechtswirkung für das Unternehmen erfolgen. Der Vertreter muss:
- in UK niedergelassen sein
- schriftlich benannt werden
- ein Verarbeitungsverzeichnis (Artikel 30 UK GDPR) des Unternehmens bereithalten
- Vertretungsmacht besitzen.
To-Do's
- Nach dem neuen Abkommen sind Datenübermittlungen von/nach UK datenschutzrechtlich vorerst nicht als Übermittlungen an ein Drittland zu behandeln. Die Datenschutzkonferenz (DSK) weist in einer ersten Stellungnahme Unternehmen ausdrücklich darauf hin, dass für den durch das Abkommen bestimmten Zeitraum, also längstens bis zum 30. Juni 2021, Datenübermittlungen nach UK damit ohne zusätzliche Anforderungen stattfinden können. Dieser Zustand endet aber, sobald eine Entscheidung zum Angemessenheitsbeschluss gefällt wird oder die bestimmte Übergangsfrist ausläuft. Folglich sollten Unternehmen schon jetzt ihre Datenschutzkonzepte dahingehend ausrichten, dass Datenübermittlungen nach UK zukünftig als Drittlandtransfers i.S.d. DSGVO behandelt werden.
- Sofern Einwilligung der betroffenen Person zur Datenverarbeitung notwendig ist, muss diese die Datenübermittlung in das UK umfassen und es muss über bestehende Risiken aufgeklärt werden.
- Übermittlung in Drittland ist auch in den Datenschutzerklärungen (Information der betroffenen Person gem. Art. 13, 14 DSGVO) anzugeben.
- Falls Auskunftsverlangen gem. Art. 15 DGSVO gestellt, muss Auskunft umfassen, dass personenbezogene Daten an Drittland übermittelt werden.
- Das für Verarbeitungstätigkeit zu führende Verzeichnis, Art. 30 DSGVO, muss Drittlandtransfers beinhalten.
- Drittlandtransfer bei bzw. für die Datenschutzfolgenabschätzung gem. Art. 35 DSGVO zu beachten.
- Ggf. Datenschutz-Vertreter für UK bestellen.
Ausblick
- Auch wenn grundsätzlich mit dem Erlass eines Angemessenheitsbeschlusses bis zum 30. Juni 2021 gerechnet werden kann, sollten Unternehmen sich darauf einstellen, dass die Verhandlungen dazu entweder scheitern oder aber ein entsprechender Beschluss der Kommission nachträglich angegriffen und dann vom EuGH entsprechend überprüft werden könnte.
- Datentransfers müssten in Ermangelung eines Angemessenheitsbeschlusses dann auf anderen Garantien wie z.B. SCC basieren. Allerdings wird es nicht mehr möglich sein, wie bislang praktiziert, die SCC im Wege von "copy/paste" einzusetzen. Vielmehr müssen die aktuellen SCC gemäß der Empfehlungen des Europäischen Datenschutzausschusses zu Schrems II für jeden Einzelfall entworfen und verhandelt werden; alternativ können die im Entwurf vorliegenden und für Q1 2021 vorgesehenen überarbeiteten SCC genutzt werden, da diese die Besonderheiten von Schrems II bereits berücksichtigen und insofern eine deutlich höhere Komplexität vorweisen. Es lässt sich festhalten, dass bei Scheitern eines Angemessenheitsbeschlusses die Schwierigkeiten eines Datentransfers nach UK vergleichbar sind mit den aktuellen Herausforderungen von Datentransfers in die USA.
- Hinsichtlich „illegaler“ Datentransfers, d. h. wenn die durch die DSGVO und insbesondere in den Art. 44 aufgeführten Vorgaben nicht eingehalten werden, besteht die Gefahr, dass Bußgelder (Art. 83 DGSVO) verhängt werden; die Behörden haben dabei wenig Ermessensspielraum von der Verhängung von Bußgeldern abzusehen.