Der Schock war groß, als sich die Bürger Großbritanniens am 23. Juni 2016 für den Austritt aus der Europäischen Union entschieden haben. Die Folgen für Großbritannien und die Europäische Union werden erheblich sein und betreffen auch das Datenschutzrecht. Mit dem Wegfall des vereinheitlichten Rechtsrahmens für das Datenschutzrecht stellt sich für Unternehmen in der Europäischen Union die Frage nach der künftigen Rechtfertigung von Datentransfers nach Großbritannien.
Aktuell ergeben sich die Anforderungen für internationale Datentransfers aus der EU-Datenschutzrichtlinie bzw. deren Umsetzung in den nationalen Datenschutzgesetzen der EU-Mitgliedsstaaten. Diese werden mit Wirkung zum 25. Mai 2018 durch die DSGVO ersetzt. Inhaltlich übereinstimmend liegt beiden Regelungswerken eine Differenzierung der Anforderung internationaler Datentransfers zugrunde mit erheblichen Privilegierungen für den innereuropäischen Datentransfer. Diese Fallen mit einem Austritt Großbritanniens aus der Europäischen Union zunächst weg.
1. Datentransfers innerhalb des Europäischen Wirtschaftsraums
Jeder Datentransfer erfordert eine datenschutzrechtliche Rechtfertigung. Ob der Datenempfänger dabei in dem gleichen oder einem anderen Mitgliedsstaat des Europäischen Wirtschaftsraums sitzt, ist grundsätzlich unbeachtlich, da sowohl EU-Datenschutzrichtlinie als auch die DSGVO davon ausgehen, dass innerhalb des Europäischen Wirtschaftsraums ein angemessenes Datenschutzniveau herrscht.
Auch die Einschaltung von Auftragsverarbeitern innerhalb des Europäischen Wirtschaftsraums ist gegenüber der Einschaltung von außerhalb des EWR ansässigen Dienstleistern privilegiert. Aktuell werden Auftragsverarbeiter unter den Voraussetzungen gemäß § 11 BDSG als Teil der verantwortlichen Stelle behandelt; es müssen also im Vergleich zur Datenübermittlung an Dritte geringere Anforderungen an die datenschutzrechtliche Rechtfertigung erfüllt werden. Dies ändert sich auch mit Inkrafttreten der DSGVO grundsätzlich nicht (siehe Art. 4 Nr. 7, 8 und Art. 28 DSGVO).
Bisher gilt dies auch für Datentransfers nach Großbritannien und die Einschaltung von Auftragsverarbeitern in Großbritannien. Nach dem Austritt aus der Europäischen Union und dem Europäischen Wirtschaftsraum fallen diese Privilegierungen für Großbritannien weg. Unternehmen innerhalb des Europäischen Wirtschaftsraums müssen diese Datentransfers daher künftig auf eine alternative Rechtfertigung stützen.
2. Datentransfers nach Großbritannien auf Grundlage einer Angemessenheitsentscheidung
Für Staaten außerhalb des Europäischen Wirtschaftsraums (Drittland) gehen EU-Datenschutzrichtlinie und die DSGVO zunächst davon aus, dass dort keine angemessenen, europäischen Standards entsprechenden Datenschutzgarantien bestehen (unsichere Drittländer).
Die Europäische Kommission kann jedoch gemäß Art. 25 Abs. 6 EU-Datenschutzrichtlinie bzw. künftig gemäß Art. 45 Abs. 1 DSGVO prüfen ob und feststellen, dass ein Drittland ein angemessenes Datenschutzniveau hat (Angemessenheitsentscheidung). Diese Entscheidung ist verbindlich, kann aber natürlich durch den Europäischen Gerichtshof (EuGH) überprüft und ggf. aufgehoben werden. Dies ist jüngst geschehen im Fall der Safe Harbor Entscheidung für Datenübermittlungen in die USA [hierzu im Blog die Beiträge von Freund und Schmidt].
Aktuell liegen solche Angemessenheitsentscheidungen für Andorra, Argentinien, Kanada, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey und Neuseeland vor. Für die USA gibt es einen entsprechenden Entwurf unter dem sogenannten Privacy Shield [hierzu im Blog Schmidt].
Mit einem Austritt von Großbritannien hat es zunächst den Status eines unsicheren Drittstaates. Möglich und wohl auch wahrscheinlich ist, dass z.B. im Rahmen der Austrittsverhandlungen eine Angemessenheitsentscheidung der EU Kommission getroffen wird und Großbritannien den Status eines sicheren Drittlandes – vergleichbar dem Status der Schweiz – bekommen wird. In der Sache erscheint das auch angemessen, soweit Großbritannien sein auf der EU-Datenschutzrichtlinie beruhendes Datenschutzgesetz in Kraft lässt und nicht wesentlich umgestaltet.
Damit wäre zunächst fast wieder alles beim Alten. Als Folge der Safe-Harbor-Entscheidung des EuGH sind die Aufsichtsbehörden jedoch verpflichtet, auch beim Vorliegen einer Angemessenheitsentscheidung für einzelne Datentransfers zu prüfen, ob ein angemessenes Datenschutzniveau tatsächlich gewährleistet ist. Hierbei sind auch Zugriffsbefugnisse von Behörden und Diensten auf personenbezogene Daten zu berücksichtigen.
Im Zweifel könnten auch Datentransfers nach Großbritannien – ähnlich dem Verfahren der Safe-Harbor-Entscheidung – durch den EuGH überprüft werden. Wie der EuGH in einem solchen Verfahren etwa eine mögliche Kooperation britischer Dienste mit US-Diensten bewerten würde, ist offen.
3. Datentransfers nach Großbritannien als unsicheres Drittland
Sollte Großbritannien im Rahmen der Austrittsverhandlungen keine Status als sicheres Drittland erhalten oder diesen wieder verlieren, müssten Datentransfers nach und die Einschaltung von Dienstleistern in Großbritannien nach der zwei Stufen Theorie gerechtfertigt werden.
Auf der ersten Stufe müssten die Voraussetzungen einer datenschutzrechtlichen Rechtfertigung wie für einen Datentransfer innerhalb des Europäischen Wirtschaftsraums oder in ein sicheres Drittland geschaffen werden.
Zudem müsste die datenexportierende Stelle dann das datenschutzrechtliche Schutzdefizit kompensieren. Hierfür erforderliche Maßnahmen hängen stets von den Umständen des Einzelfalls ab; in Betracht kommt jedoch insbesondere der Abschluss der Standardvertragsklauseln der Europäischen Kommission. Diese können grundsätzlich ohne Genehmigung von Datenschutzaufsichtsbehörden ein angemessenes Datenschutzniveau herstellen.
Für konzerninterne Datentransfers und konzerninterne Auftragsverarbeitung kommen zudem die Implementierung von sog. Binding Corporate Rules bzw. verbindlichen internen Datenschutzvorschriften (Art. 47 DSGVO) in Betracht, die jedoch von der zuständigen Aufsichtsbehörde genehmigt werden müssen, um eine Rechtfertigung der Datenübermittlung auf der zweiten Stufe zu schaffen.
4. Fazit und Praxisempfehlung
Der Brexit wird das Fundament der wirtschaftlichen Zusammenarbeit mit Großbritannien erschüttern und große Herausforderungen für betroffene Unternehmen mit sich bringen. Eine von vielen Aufgaben wird es sein, den Transfer von personenbezogenen Daten nach Großbritannien und die Einschaltung von Dienstleistern in Großbritannien datenschutzkonform zu gestalten. Wie groß diese Herausforderung werden wird, hängt nun vom Ausgang der Austrittsverhandlungen ab. Betroffene Unternehmen sollten diese im Blick behalten und sich schon heute auf die möglichen Szenarien vorbereiten.