Brexit
© TheDigitalArtist / pixabay.com
Das Vereinigte Königreich Großbritannien und Nordirland (das Vereinigte Königreich) ist am 31. Januar 2020 aus der Europäischen Union (EU) ausgetreten (sog. „Brexit“). Die britische Regierung hatte auf der Grundlage des am 23. Juni 2016 durchgeführten Referendums am 29. März 2017 den Europäischen Rat von der Absicht unterrichtet, aus der EU auszutreten. Damit wurde offiziell das Verfahren nach Art. 50 des Vertrags über die Europäische Union eingeleitet. Der ursprüngliche Austrittstermin am 29. März 2019 wurde zunächst auf den 31. Oktober 2019 und dann auf den 31. Januar 2020 verschoben.
Das Unionsrecht über den Schutz personenbezogener Daten gilt während des Übergangszeitraums weiter
Der sog. „kalte“ Brexit ist ausgeblieben. Mit dem Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft vom 31. Januar 2020 (EU-Amtsblatt 2020/L 29/7 ff.), welches gemäß der Mitteilung über das Inkrafttreten des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft vom selben Tag zum 1. Februar 2020 in Kraft trat (EU-Amtsblatt 2020/L 189), wurden u.a. auch Regelungen zur Anwendung des Datenschutzrechts getroffen. Während eines Übergangszeitraums bis zum 31. Dezember 2020 galt das Unionsrecht über den Schutz personenbezogener Daten im Vereinigten Königreich für die Verarbeitung der personenbezogenen Daten betroffener Personen außerhalb des Vereinigten Königreichs im Rahmen des Art. 71 Abkommen weiter (Art. 126, Art. 127 Abkommen), solange und soweit die EU-Kommission keine entsprechenden Angemessenheitsbeschlüsse gemäß Art. 45 Abs. 3 DS-GVO bzw. Art. 36 Abs. 3 JI-Richtlinie erlassen hat (Art. 71 Abs. 2 Abkommen). Das Vereinigte Königreich galt also nicht als Drittland im Sinne von Kapitel V DS-GVO. Die einschlägigen Vorschriften mussten von Verantwortlichen oder Auftragsverarbeitern in der EU, die personenbezogene Daten in den Inselstaat übermitteln, daher bisher nicht berücksichtigt werden.
Unter dem Begriff „Unionsrecht über den Schutz personenbezogener Daten“ fallen gemäß Art. 70 Abkommen die Datenschutz-Grundverordnung mit Ausnahme ihres Kapitels VII, die JI-Richtlinie, die Datenschutz-Richtlinie für elektronische Kommunikation und alle sonstigen Bestimmungen des Unionsrechts über den Schutz personenbezogener Daten. Gemäß Art. 132 Abkommen wäre die Verlängerung des Übergangszeitraums einmalig um ein oder zwei Jahre möglich gewesen. Der Beschluss darüber hätte vor dem 1. Juli 2020 gefasst werden müssen, was jedoch nicht geschehen war. Die genannten Angemessenheitsbeschlüsse hat die EU-Kommission bisher ebenfalls nicht erlassen.
Rechtslage nach dem Ende des Übergangszeitraums am 31.12.2020
Im Rahmen eines Handels- und Zusammenarbeitsabkommens haben jetzt das Vereinigte Königreich und die EU vor dem Ende dieser Übergangsfrist in den Schlussbestimmungen eine neue Übergangsregelung für Datenübermittlungen vorgesehen, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt (Article FINPROV.10A Interim provision for transmission of personal data to the United Kingdom, S. 414f.). Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich für eine weitere Übergangsperiode nicht als Übermittlungen in ein Drittland angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Angemessenheitsentscheidungen nach Art. 45 Abs. 3 DS-GVO und Art. 36 Abs. 3 JI-Richtlinie getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.
Datenübermittlungen in das Vereinigte Königreich sind damit vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Auch wenn auf eine Angemessenheitsentscheidung der EU-Kommission gehofft werden kann, darauf verlassen sollten sich die Verantwortlichen und Auftragsverarbeiter in der EU nicht. Die Empfehlungen der Datenschutzaufsichtsbehörden vom 12. Februar 2019 und vom 30. März 2019 gelten weiterhin. Sie sind in dem Licht zu lesen, dass der Austritt inzwischen vollzogen wurde und, dass das Vereinigte Königreich nach dem Übergangszeitraum als Drittland zu behandeln sein wird.
Welche verantwortlichen Stellen sind betroffen?
Betroffen sind alle öffentlichen und nicht-öffentliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, also nicht nur Behörden und Konzerne, sondern auch kleine und mittelständische Unternehmen, Vereine, Universitäten usw. Personenbezogene Daten sind zum Beispiel Name, Anschrift, Geburtsdatum, Religionszugehörigkeit, Bankdaten und zwar sowohl von Kunden, Beschäftigten, Vertragspartnern als auch von Vereinsmitgliedern, Studenten usw. Auch die Inanspruchnahme von IT-Dienstleistungen durch britische Unternehmen (z.B. Microsoft Europe mit diversen Cloud-Lösungen) oder die Durchführung einer Auftragsverarbeitung durch ein europäisches Unternehmen für einen Verantwortlichen im Vereinigten Königreich stellen eine Datenübermittlung dar, die den Anwendungsbereich des Kapitel V Datenschutz-Grundverordnung eröffnet.
Weshalb müssen die verantwortlichen Stellen tätig werden?
Die Aufsichtsbehörden haben ergänzende Befugnisse im Falle der Nichteinhaltung von Vorgaben für Datenübermittlungen in Drittländer. Sie können die Datenübermittlung gemäß Art. 58 Abs. 2 lit. j DS-GVO aussetzen und haben gemäß Art. 83 Abs. 5 lit. c DS-GVO eine zusätzliche Möglichkeit, eine Geldbuße zu verhängen, wenn es zu Verstößen gegen die Vorgaben für Datenübermittlungen in Drittländer kommt. Da das Datenschutzniveau im Vereinigten Königreich sehr hoch ist, ist es nicht sehr wahrscheinlich, dass von diesen Maßnahmen Gebrauch gemacht werden muss. Es ist aber dennoch möglich und damit für den Einzelfall nicht ausgeschlossen.
Was ist zu tun?
An Vorschriften für die Datenübermittlung in Drittländer sind insbesondere die folgenden zu berücksichtigen, die einen mal mehr und mal weniger großen Umsetzungsaufwand für die betroffenen Stellen bedeuten:
1.Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung in ein Drittland zu informieren.
2.Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO auch über die Datenübermittlung in Drittländer zu beauskunften.
3.Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DS-GVO bzw. Art. 30 Abs. 2 lit. c DS-GVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
4.Ggf. sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das Vereinigte Königreich als Drittland geht (Art. 35 DS-GVO).
5.Wenn die EU-Kommission keinen Angemessenheitsbeschluss erlassen hat, sind geeignete Garantien zum Schutz personenbezogener Daten bei der Übermittlung in ein Drittland zu schaffen, wenn nicht Ausnahmetatbestände greifen. Kurz gesagt ist Kapitel V DS-GVO (Art. 44 ff. DS-GVO) anzuwenden.
Was bedeutet Kapitel V?
Für eine rechtskonforme Datenübermittlung in ein Drittland müssen neben allen übrigen Anforderungen der DS-GVO in ihren vorderen Kapiteln (sog. 1. Stufe) zusätzlich die Anforderungen nach Kapitel V an die Übermittlung personenbezogener Daten in Drittländer beachtet werden (sog. 2. Stufe). Dies gilt auch bei einer Weiterübermittlung der personenbezogenen Daten durch die empfangende Stelle im Drittland (Art. 44 S. 1 2. HS DS-GVO (siehe auch Erwägungsgrund 101)). Die verantwortlichen Stellen müssen also geeignete Garantien im Sinne der Art. 46 ff. DS-GVO schaffen, um Datenübermittlungen datenschutzkonform fortführen zu können.
Gibt es Ausnahmen?
Ausnahmsweise darf die Datenübermittlung in ein Drittland auch ohne Vorliegen geeigneter Garantien zum Schutz der Daten erfolgen, wenn die Voraussetzungen für einen der folgenden Ausnahmetatbestände des Art. 49 DS-GVO erfüllt sind:
•wirksame Einwilligung der betroffenen Person
•Erforderlichkeit zur Vertragserfüllung
•wichtige Gründe des öffentlichen Interesses
•Verfolgung von Rechtsansprüchen
•Schutz lebenswichtiger Interessen
•Wahrung zwingender berechtigter Interessen