Dresden – Datenchaos nach hartem Brexit

Geschrieben von: Rechtsanwalt Thilo Zachow, Fachanwalt für IT - Recht, Fachanwalt für Urheber- und Medienrecht, TÜV Nord zertifizierter Datenschutzbeauftragter

Veröffentlicht am: 2. März 2019

Dresden – Datenchaos nach hartem Brexit

Am 30.03.2019 ist es möglicherweise soweit, der harte Brexit könnte Realität sein. Unternehmen, Institutionen sowie Behörden sehen sich mit großen Fragezeichen konfrontiert soweit sie Daten und insbesondere personenbezogene Daten mit Stellen in Großbritannien austauschen, übermitteln oder empfangen.

Dresden, Datenschutzbeauftragter (TÜV), FA – IT-Recht, FA – Urheber- und Medienrecht

Klar ist, dass

Großbritannien dann als Nicht-EU-Land anzusehen

wäre.

Die Übermittlung und der Empfang von personenbezogenen Daten wird hierdurch kompliziert.

Verfügt das vereinigte Königreich als Drittland über ein angemessenes Datenschutzniveau nach Art. 44 DS-GVO?

 „Art. 44 DSGVO Allgemeine Grundsätze der Datenübermittlung

Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation.

Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“

Die Datenschutzaufsicht hat den vorgenannten Art. 44 DS-GVO ohne Übergangszeit anzuwenden.

Der europäische Datenschutzausschuss regt an, dass  Unternehmen, Institutionen und Behörden zunächst prüfen (Quelle: https://edpb.europa.eu/news/news_de):

  1. wie werden an Großbritannien übermittelte personenbezogene Daten verarbeitet (check),
  2. geeignetes Transfermittel regeln (plan),
  3. geplantes Transfermittel zum 30.03.2019 umsetzen (do),
  4. die Übermittlungen dokumentieren (check, act),
  5. vorhandene Datenschutzerklärungen anpassen (check).

    Ich bin TÜV-zertifizierter Datenschutzbeauftragter, Fachanwalt für Urheber- und Medienrecht sowie Fachanwalt für IT-Recht in Dresden. Wenn Sie einen externen Datenschutzbeauftragten suchen oder Rechtsrat zum Thema Datenschutz wünschen, sind Sie bei mir richtig.

Der europäische Datenschutzausschuss verweist auf die üblichen Transferinstrumente, welche bei Datentransfers von personenbezogenen Daten in ein  unsicheres Drittland immer einzusetzen sind, um ein angemessenes Datenschutzniveau zu erreichen. Hierzu finden sich Regelungen in den Art. 44 ff. DS-GVO.

  1. Art. 45 DS-GVO (-) Großbritannien ist kein sicheres Drittland, da es keinen Angemessenheitsbeschluss der Europäischen Kommission gibt (bspw. wie für die Schweiz).

  2. Es gibt kein bilaterales Abkommen wie mit den USA  (privacy shield).

  3. Art. 46 Abs. 2 DS-GVO (+) Datensender und Datenempfänger vereinbaren von der EU-Kommission erlassene oder genehmigte Standardklauseln (Standarddatenschutzklauseln = SDSK). Die Klauseln dürfen inhaltlich nicht verändert werden, da sie sonst durch die Datenschutzaufsicht genehmigt werden müssten (Adhoc-Klauseln). Die Dauer eines solchen Genehmigungsverfahrens ist derzeit nicht absehbar, da die Datenschutzaufsichtsbehörden überlastet sind.

  4. Art. 46 Abs. 2,  47 DS-GVO (+) Für Konzerne empfiehlt sich im Konzernverbund mit binding corporate rules als interne Datenschutzregelungen zu arbeiten. Aber auch diese sind von der Datenschutzaufsicht erst zu genehmigen, bevor eine Datenverarbeitung hierauf gestützt werden kann.

  5. Zertifizierungen, Art. 46 Abs. 2, 42 DS-GVO (-), gibt es noch nicht.

  6. genehmigte Verhaltensregeln (-), Art. 46 Abs. 2, 40 DS-GVO, sind ebenfalls noch nicht erfolgt.

  7. Ausnahmeregelung nach Art. 49 DS-GVO  (+) Ist nur für die Abwicklung einzelner Verträge empfehlenswert, da hier die Einwilligung der Betroffenen erforderlich ist, eine wiederholte Übermittlung ausgeschlossen ist und auch keine unbegrenzte Anzahl von Personen betroffen sein darf.

„Art. 49 DSGVO Ausnahmen für bestimmte Fälle
Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,

c) die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,

e) die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

g) die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 – einschließlich der verbindlichen internen Datenschutzvorschriften – gestützt werden könnte und keine der Ausnahmen für einen bestimmten Fall gemäß den Buchstaben a bis g des vorliegenden Absatzes anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.

Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis.

Der Verantwortliche unterrichtet die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen; dies erfolgt zusätzlich zu den der betroffenen Person nach den Artikeln 13 und 14 mitgeteilten Informationen.

Eine andere Möglichkeit wäre eine Alternative zum Export von personenbezogenen Daten nach Großbritannien ins Auge zu fassen.

Großbritannien hat einen Data Potection Act 2018 erlassen, welcher Bezug auf die DS-GVO Bezug nimmt und britische Unternehmen, Behörden und Institutionen bindet. Daher erscheint ein Angemessenheitsbeschluss des EU-Kommission hinsichtlich des Datenschutzniveaus in Großbritannien möglich.

Für Rückfragen stehe ich zur Verfügung.

Ihr Fachanwalt für Informationstechnologierecht, Fachanwalt für Urheber- und Medienrecht, IT-Compliance Officer, Datenschutzbeauftragter TÜV in Dresden

Thilo Zachow

Über den Author:

Ich bin Fachanwalt für IT-Recht sowie Fachanwalt für Urheber- und Medienrecht und habe mich auf das IT-Recht (Fachanwaltslehrgang), Internetrecht und damit zusammenhängend auf das Markenrecht, Urheberrecht und Medienrecht (Fachanwaltslehrgang) sowie Wettbewerbsrecht spezialisiert. Ich bin seit dem April 2009 Partner eines social media Unternehmens und Inhaber des Onlineportals www.aa13.info. Der TÜV Nord hat mich als Datenschutzbeauftragter (TÜV) zertifiziert. Ihr Rechtsanwalt Thilo Zachow Dresden - 7 Tage - 24 h. 0351 21066970