Kategorien
Neueste Beiträge
„Brexit“: Bedeutung für den Datenschutz in der EU
Bereits vier Jahre ist es her, dass sich das britische Volk für den Austritt aus der Europäischen Union (EU) entschieden hat. Welche Bedeutung der „Brexit“ für den Datenschutz in der EU hat und welche Konsequenzen sich hieraus für Verantwortliche innerhalb der EU ergeben, lesen Sie hier.
Derzeitige Rechtslage (Übergangszeitraum)
Seit dem 01.02.2020 bis einschließlich 31.12.2020 gilt der so genannte Übergangszeitraum. Das bedeutet, dass das Vereinigte Königreich (VK) trotz offiziellem Austritt am 31.01.2020 bis zum Ende dieses Zeitraumes grundsätzlich wie zuvor nach den Regelungen der DSGVO behandelt wird. Der Grund hierfür ist, dass der „Brexit“ „geregelt“ abläuft, da es ein Austrittsabkommen im Sinne von Art. 50 Abs. 2 EUV i. V. m. Art. 218 Abs. 3 AEUV zwischen der EU und dem VK gibt. Dieses Abkommen beinhaltet in Art. 127 Abs. 1 die Fortgeltung des EU-Rechts.
Diese Phase hätte einmalig um ein oder zwei Jahre verlängert werden können, wenn bis zum 01.07.2020 ein entsprechender Beschluss gefasst worden wäre. Dies ist jedoch nicht geschehen.
Voraussichtliche Rechtslage ab dem 01.01.2021
Nach dem Ende der Übergangszeit für den Austritt des VK aus der EU ergeben sich hinsichtlich der Datenverarbeitung einige Änderungen. Dies betrifft jedoch nur solche Szenarien, die eine Datenübermittlung bzw. –weitergabe an das VK betreffen.
Rechtmäßigkeit der Datenübermittlung
Zunächst ist das VK nach der Übergangszeit natürlich kein Mitgliedstaat der EU mehr, womit es aus DSGVO-Sicht als Drittland anzusehen ist. So werden Staaten bezeichnet, die nicht zur EU gehören und damit nicht in den räumlichen Anwendungsbereich der DSGVO fallen.
Vor der Übermittlung personenbezogener Daten in ein Drittland ist immer eine zweistufige Prüfung vorzunehmen.
- Im ersten Schritt muss die Verarbeitungstätigkeit an sich auf einer Rechtsgrundlage aus Art. 6 Abs. 1 S. 1 DSGVO beruhen.
- Sodann ist die Rechtmäßigkeit der Datenübermittlung zu prüfen.
Erlässt die Europäische Kommission beispielsweise einen so genannten Angemessenheitsbeschluss, würde die Neueinordnung des VK als Drittland keinerlei Auswirkungen auf Datenübermittlungen dorthin haben. Ein solcher Beschluss sagt aus, dass die Datenschutzmaßnahmen in dem entsprechenden Staat vom Schutzniveau her denen der DSGVO entsprechen. Die personenbezogenen Daten seien daher ähnlich gut geschützt, wie in der EU.
Ergeht hingegen kein Angemessenheitsbeschluss der Europäischen Kommission für das VK, so ist die Rechtmäßigkeit der Datenübermittlung nicht ohne Weiteres gegeben. Das Drittland wird als unsicher angesehen. In dieser Konstellation müssen Verantwortliche aus der EU aktiv Vorkehrungen treffen. In Betracht kommen gemäß Art. 46 ff. DSGVO sogenannte geeignete Garantien etwa in Form von Standarddatenschutzklauseln. Dass die Datenübermittlung ohne Angemessenheitsbeschluss problematisch sein kann, zeigt der Umgang mit der Schrems-II-Entscheidung des EuGH insbesondere in Bezug auf die USA (zum Beitrag).
Eine letzte Möglichkeit, ohne derartige Maßnahmen personenbezogene Daten rechtskonform zu übermitteln, können die in Art. 49 DSGVO niedergeschriebenen Ausnahmetatbestände sein. Liegt einer der dort genannten Fälle vor, so ist die Datenübermittlung zulässig. Die Tatbestände sind jedoch restriktiv auszulegen.
Weiterer Handlungsbedarf
Neben der Sicherstellung der Rechtmäßigkeit der Datenübermittlung sind folgende Maßnahmen zu treffen, um DSGVO-konformes Verhalten sicherzustellen:
Datenschutzhinweise
Daraus ergibt sich für Unternehmer oder sonstige Verantwortliche sämtlicher Einrichtungen aus der EU, dass sie zunächst ihre Datenschutzhinweise hinsichtlich der Übermittlung von personenbezogenen Daten an Drittländer erweitern müssen. Betroffene Personen sind hierüber zu informieren.
Verzeichnis von Verarbeitungstätigkeiten
Weiter gilt gemäß Art. 30 Abs. 1 S. 1 lit. d) und e) DSGVO für Verantwortliche und gemäß Art. 30 Abs. 2 lit. c) DSGVO für Auftragsverarbeiter, dass im Verzeichnis von Verarbeitungstätigkeiten entsprechende Anmerkungen zur Datenübermittlung zu machen sind.
Datenschutz-Folgenabschätzung
Aufgrund der Datenübermittlung in ein Drittland können Datenschutz-Folgenabschätzungen vorzunehmen sein. Solche sind dann erforderlich, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entstehen kann.
Und nun?
Wenn Sie sich unsicher sind, ob Sie aufgrund der fortschreitenden Zeit bis zum Ende der Übergangszeit nach dem „Brexit“ tätig werden müssen, können Sie sich gern an uns wenden. Wir helfen Ihnen, auch zukünftig rechtskonform Daten in das VK zu übermitteln.