Nur noch ein Monat - der Brexit naht unaufhaltsam, wenn sich die britische Politik nicht noch in letzter Minute umentscheidet. Neben den vielfältigen wirtschaftlichen und politischen Dimensionen dieses Vorgangs stellt sich für den Datenschützer die Frage: Was passiert am 30. März 2019 in Bezug auf den Austausch personenbezogener Daten zwischen der EU und Großbritannien?
Die Grundidee der DSGVO besteht darin, in ihrem territorialen Anwendungsbereich eine Art "sicheren Hafen" zu sehen. Wo Daten innerhalb des Europäischen Wirtschaftsraumes fließen, ist die Datenverarbeitung als solche zwar legitimationsbedürftig - ob die Daten aber nun in Deutschland, Bulgarien oder Spanien verarbeitet werden, ist prinzipiell nicht von Belang. Anders bei einem Transfer von personenbezogenen Daten in andere, sogenannte "Drittländer": Neben der Frage, ob die Übermittlung überhaupt datenschutzrechtlich zulässig ist (1. Stufe) stellt sich die Frage, ob gerade die Übermittlung in ein Drittland gerechtfertigt werden kann (2. Stufe). Nur wer beide Hürden nimmt, kann sich auf eine zulässige Übermittlung berufen.
Brexit-Abkommen hätte Lösung geboten
Das ausgehandelte Brexit-Abkommen sah für dieses Problem an sich eine komfortable Lösung vor. Gemäß Artikel 71 des Übergangsabkommens sollte die DSGVO auch im Vereinigten Königreich bis zum Ende der Übergangsperiode (mindestens bis Ende 2020) fortgelten. Danach hätte sich das UK verpflichten sollen, adäquate nationale Datenschutzbestimmungen zu erlassen, was die EU im Gegenzug mit einem Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO hätte "belohnen" sollen. Danach hätte dann in Großbritannien nur noch das nationale Gesetz und nicht länger die DSGVO gelten sollen.
Für den Austausch von Daten zwischen EU und dem Vereinigten Königreich hätte sich damit kein besonderer Handlungsbedarf ergeben: Bis zu einer Angemessenheitsentscheidung der EU-Kommission wäre die Übermittlung wie eine Übermittlung innerhalb der EU behandelt worden. Nach einem Angemessenheitsbeschluss hätte der Drittlandsaspekt ebenfalls keine besonderen datenschutzrechtlichen Probleme aufgeworfen, weil ein Angemessenheitsbeschluss automatisch zu einem Überspringen der "2. Stufe" führt.
Was tun bei einem harten Brexit? - Die Notfall-Checkliste
Nun, da ein Abkommen immer unwahrscheinlicher wird, müssen sich Verantwortliche, die Daten mit Stellen im Vereinigten Königreich austauschen, auf einen harten Brexit einstellen. Doch was bedeutet das datenschutzrechtlich, und was kann man tun?
TOP 1: Standardvertragsklauseln abschließen
Je nachdem, ob eine Auftragsverarbeitung oder eine Übermittlung von Verantwortlichem zu Verantwortlichem vorliegt, müssen die sog. "Standardvertragsklauseln" abgeschlossen werden. Dabei handelt es sich um ein (oder genauer gesagt, mehrere) Vertragsmuster, die von der EU-Kommission verabschiedet wurden, und die auf vertraglichem Wege ein vergleichbares Datenschutzniveau herstellen sollen.
Die Standardvertragsklauseln für Auftragsverarbeiter in Drittländern finden sich hier.
Die Standardvertragsklauseln für eine Übermittlung an einen Verantwortlichen in einem Drittland finden sich hier (Set I) und hier (Set II), wobei Set II von den deutschen Datenschutzbehörden traditionell, insbesondere für den Bereich von Arbeitnehmerdaten, kritisch beäugt wurde. Stichwort kritisch beäugt: Auch die Standardvertragsklauseln sind teils ebenfalls harscher Kritik ausgesetzt (mit dem nicht ganz von der Hand zu weisenden Argument, dass sie letztlich ein Placebo darstellen und beispielsweise staatliche Zugriffe in tatsächlichen oder vermeintlichen "Schurkenstaaten" auf dort vorhandene personenbezogene Daten nicht verhindern können). Es gibt aber keine brauchbare Alternative, und soweit ersichtlich werden die Standardvertragsklauseln bis dato von den Behörden akzeptiert.
Somit müssen praktisch alle Datenübermittlungsvorgänge in das Vereinigte Königreich mit den Standardvertragsklauseln unterlegt werden (ggf. zusätzlich zu einer ohnehin bereits bestehenden Auftragsverarbeitungsvereinbarung).
TOP 2: Verzeichnis der Verarbeitungstätigkeiten anpassen
Dies zieht wiederum Folgeänderungen nach sich. Gemäß Art. 30 Abs. 1 DSGVO führt jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Gemäß Absatz 1 Satz 2 lit. e) muss das Verzeichnis auch Angaben enthalten über "Übermittlungen von personenbezogenen Daten an ein Drittland [...], sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien".
Somit müssen die betroffenen Einträge im Verzeichnis der Verarbeitungstätigkeiten um den Aspekt der Übermittlung in das Vereinigte Königreich ergänzt werden, z. B. bei einem Eintrag zur outgesourcten Lohnbuchhaltung über einen in UK ansässigen Dienstleister so:
"Die o.g. Daten werden auf Basis der EU-Standardvertragsklauseln für Auftragsverarbeiter (Beschluss 2010/87) an die John Doe Ltd., London, UK, übermittelt."
TOP 3: Datenschutzinformationen anpassen
In ähnlicher Weise sehen die Artikel 13 und 14 DSGVO vor, dass der Betroffene über die Absicht zu informieren ist, die personenbezogenen Daten an einen Empfänger in einem Drittland zu übermitteln. Hier muss zudem auf die Standardvertragsklauseln verwiesen werden, einschließlich eine Möglichkeit für den Betroffenen, eine Kopie von diesen zu erhalten.
Derartige Datenschutzinformationen sind typischerweise gegenüber
- Mitarbeitern
- Webseitenbesuchern (Stichwort: Datenschutzerklärung)
- Kunden oder Ansprechpartnern bei Kunden
- Lieferanten oder Ansprechpartnern bei Lieferanten
auszureichen.
Somit sollten die entsprechenden Prozesse mit folgendem beispielhaften Hinweis versehen werden:
"Die o.g. Daten werden auf Basis der EU-Standardvertragsklauseln für Auftragsverarbeiter (Beschluss 2010/87) an die John Doe Ltd., London, UK, übermittelt. Ein Muster der EU-Standardvertragsklauseln erhalten Sie online unter dem Link https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex%3A32010D0087 oder auf Wunsch eine Kopie bei unserem Datenschutzbeauftragten, den Sie unter den oben angegebenen Kontaktdaten erreichen können."
TOP 4: Standardprozess zur Auskunftserteilung anpassen
Bekanntlich kann der Betroffene gemäß Art. 15 DSGVO eine Auskunft über die ihn betreffenden personenbezogenen Daten verlangen. Als Bestandteil der Auskunft muss der Verantwortliche die Empfänger oder Kategorien von Empfängern benennen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern. Zudem hat der Betroffene das Recht, über die geeigneten Garantien, hier also im Regelfall die EU-Standardvertragsklauseln, unterrichtet zu werden.
In der Sache kann hier auf die bereits unter TOP 3 genannten Informationen zurückgegriffen werden, die somit ebenfalls bei der Erteilung von Auskünften zu berücksichtigen sind.
TOP 5: Einwilligungen prüfen
Soweit Sie Daten auf Basis von Einwilligungen Betroffener verarbeiten, ist zu prüfen, ob diese den Drittlandsaspekt angemessen berücksichtigen. Sollte dies nicht der Fall sein, wäre im Einzelfall zu prüfen, ob die Einwilligungen erneuert werden müssen.
TOP 6: Betriebsvereinbarungen prüfen
Für mitbestimmungspflichtige Tatbestände (z. B. die Einführung von IT-Systemen) bestehen meist Betriebsvereinbarungen. Mitunter beinhalten diese Regelungen, denen zufolge Mitarbeiterdaten nur innerhalb der EU oder des EWR verarbeitet werden dürfen. Sollte dies der Fall sein, empfiehlt sich die Kontaktaufnahme mit dem Betriebsrat, um mit diesem - z. B. über einen Nachtrag - zu vereinbaren, wie im Falle eines harten Brexit der Fortbestand der Nutzung sichergestellt werden kann.
Fazit: Kein Ding der Unmöglichkeit
Die Vorbereitung auf einen harten Brexit stellt Unternehmen in der EU somit nicht vor unlösbare Probleme. Gleichwohl sollten Notfallmaßnahmen getroffen werden, nicht zuletzt vor dem Hintergrund der drakonischen Geldbußen, die die DSGVO für den Fall unrechtmäßiger Datenübermittlungen in ein Drittland vorsieht. Wer sich an die Notfall-Checkliste hält, hat hingegen wenig zu befürchten - im schlimmsten Fall war die Arbeit "für die Tonne".