EDSA-Informationen zur Datenübermittlung ins Vereinigte Königreich im Falle eines No-Deal-Brexit


Ihre Kontakte

Gemäss dem am 12. Februar 2019 vom Europäischen Datenschutzausschuss (EDSA) erschienenen Merkblatt wird im Falle eines No-Deal-Brexit das Vereinigte Königreich ab dem 30. März 2019 als Drittstaat angesehen. Aufgrund der von der EU kürzlich gewährten Verlängerung wird dies nun ab dem 12. April 2019 der Fall sein. Von diesem Moment an stellt sich die Frage, welche Vorkehrungen Unternehmen und öffentliche Stellen treffen müssen, wenn sie personenbezogene Daten aus einem EU/EWR-Mitgliedstaat in das Vereinigte Königreich übermitteln wollen. Dies ist von erheblicher praktischer Bedeutung, stellt doch die DSGVO strenge Anforderungen an die Datenübermittlung in Drittstaaten. In Bezug auf den Datentransfer aus der Schweiz hat der Brexit nach Ansicht des EDÖB keine unmittelbaren Folgen, da die Gesetzgebung des Vereinigten Königreichs weiterhin einen angemessenen Datenschutz gewährleiste.

Grundsätze zur Datenübermittlung in Drittstaaten

Die seit Ende Mai geltende Datenschutz-Grundverordnung enthält eine ausführliche Regelung für die Übermittlung von personenbezogenen Daten in Drittstaaten. Diese Vorgaben gelten zusätzlich zu den allgemeinen Regelungen der DSGVO. Mit anderen Worten muss sich jede Datenübermittlung in ein Drittland auf einen Erlaubnistatbestand abstützen und sind auch die übrigen Vorgaben, wie z.B. die Informationspflichten, einzuhalten (vgl. dazu allgemein MLL-News vom 30.7.2017).

Aus der besonderen Regelung für Datentransfers in Drittstaaten geht sodann hervor, dass eine solche Datenübermittlung zulässig ist, wenn die EU-Kommission das Datenschutzniveau eines Staats für angemessen erklärt (sog. Angemessenheitsbeschluss). Fehlt ein solcher Beschluss, ist die Datenübermittlung gleichwohl erlaubt, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (vgl. dazu MLL-News vom 21. Juli 2018).

Datentransfer aus der EU/EWR ins Vereinigte Königreich

In einem im Februar 2019 veröffentlichten Merkblatt erläutert der EDSA, wie mit diesen Vorgaben der DSGVO im Falle eines No-Deal-Brexit umgegangen werden kann. In einem ersten Schritt ist gemäss EDSA zu beurteilen, bei welchen Prozessen überhaupt eine Datenübermittlung in das Vereinigte Königreich erfolgt. Danach kann festgestellt werden, welches rechtliche Instrument gemäss der DSGVO zur Datenübertragung geeignet ist. Dieses Instrument muss entsprechend bis zum 30. März 2019 resp. 12. April 2019 ausgearbeitet, in die entsprechenden Vereinbarungen mit der britischen Empfängerin aufgenommen sowie in die internen Unterlagen und die eigene Datenschutzerklärung integriert werden.

Regulatorische Instrumentarien zur Datenübertragung

Der EDSA weist in der Folge darauf hin, dass mangels Angemessenheitsbeschluss eines der nachfolgenden Instrumente zum Einsatz gelangen muss.

  1. Standard- und Ad-hoc-Datenschutzklauseln

Der Datenübermittler kann sich mit dem Empfänger auf die Verwendung von standardisierten und von der Europäischen Kommission genehmigten Datenschutzklauseln einigen (vgl. die Entscheidungen 2010/87/EU, 2004/915/EG und 2001/497/EG). Es gilt zu beachten, dass diese Standarddatenschutzklauseln nicht verändert werden dürfen und entsprechend in der von der Kommission bewilligten Version unterzeichnet werden müssen. Sofern die Standards in einen umfassenden Vertrag aufgenommen werden, sei es gemäss EDSA jedoch erlaubt, dem Vertrag zusätzliche, nicht mit den Vertragsstandards im Widerspruch stehende Klauseln, hinzuzufügen.

Werden die Standardverträge jedoch weiter verändert, handelt es sich um Ad-hoc-Datenschutzklauseln. Die zuständigen nationalen Aufsichtsbehörden müssen diese nach Ansicht des EDSA genehmigen.

2. Verbindliche interne Datenschutzvorschriften

Verbindliche interne Datenschutzvorschriften («Binding Corporate Rules», BCR) sind Richtlinien zum Datenschutz, die von einer Unternehmensgruppe (d.h. multinationalen Unternehmen) aufgestellt werden. Damit sollen angemessene Garantien für die Übermittlung personenbezogener Daten innerhalb der Gruppe gewährleistet werden, auch wenn sich eine Gruppengesellschaft ausserhalb der EU/EWR befindet.

Der EDSA weist darauf hin, dass sich die Unternehmen auch unter der DSGVO auf BCR berufen können, die noch nach der alten EU-Datenschutzrichtlinie zugelassen wurden. Im Falle des Ausbleibens eines Brexit-Deals müssten sie jedoch aktualisiert werden, damit sie den DSGVO-Bestimmungen entsprechen. Auch hier gilt es zu beachten, dass neu erschaffene verbindliche interne Datenschutzvorschriften zuerst von der zuständigen nationalen Aufsichtsbehörde nach Stellungnahme der EDSA genehmigt werden müssen.

3. Verhaltenskodex und Zertifizierungsmechanismus

Des Weiteren sind auch Verhaltenskodizes und Zertifizierungsmechanismen geeignet, angemessene Garantien für die Datenübermittlung zu gewährleisten, solange sie verbindliche und durchsetzbare Verpflichtungen für die jeweilige Organisation bzw. Unternehmung beinhalten. Der EDSA weist im Merkblatt darauf hin, dass zu diesen Instrumenten Leitlinien in Bearbeitung seien. Die Leitlinien zu Verhaltenskodizes wurden mittlerweile veröffentlicht.

4. Ausnahmeregelungen

Neben den oben genannten geeigneten Garantien besteht auch ein Ausnahmekatalog, welcher unter restriktiven Bedingungen die Datenübermittlung ermöglicht. Detaillierte Informationen dazu finden sich in den Leitlinien der EDSA zu Art. 49 EU-DSGVO (MLL-News vom 21. Juli 2018).

5. Datenschutzinstrumente, die ausschliesslich Behörden zur Verfügung stehen

Für Behörden besteht schliesslich die Möglichkeit, durchsetzbare und rechtsverbindliche Verwaltungsabkommen und bilaterale oder multilaterale internationale Abkommen abzuschliessen. Weiter ist es möglich, nicht rechtsverbindliche Verwaltungsvereinbarungen zu unterzeichnen. Diese müssen jedoch durchsetzbare Rechte der betroffenen Personen beinhalten und nach Stellungnahme der EDSA von der zuständigen nationalen Behörde genehmigt werden.

Datentransfer vom Vereinigten Königreich in EU/EWR-Mitgliedstaaten

Im Merkblatt des EDSA wird abschliessend kurz auf den Datentransfer vom Vereinigten Königreich in EU/EWR-Mitgliedstaaten eingegangen. Diesbezüglich hat die Regierung des Vereinigten Königreichs versichert, dass die derzeitige Praxis auch im Falle eines No-Deal-Szenarios fortgeführt werde. Somit wäre es weiterhin möglich, personenbezogene Daten ohne besondere Vorkehrungen in EU/EWR-Mitglieder zu transferieren.

Datentransfer aus der Schweiz ins Vereinigte Königreich

Der EDÖB hat in einer Mitteilung vom 22.01.2019 die Folgen des Brexit für den grenzüberschreitenden Datenverkehr aus der Schweiz ins Vereinigte Königreich klargestellt. Er hält darin fest, dass die grenzüberschreitende Bekanntgabe von Personendaten nach wie vor in Art. 6 DSG geregelt sein wird. Gemäss Art. 7 VDSG ist es Sache des EDÖB zu bestimmen, ob das Datenschutzniveau in einem Staat angemessen und die Datenübermittlung somit zulässig ist. Das Vereinigte Königreich gehört derzeit zu den Ländern mit einem angemessenen Niveau und der EDÖB sieht keine Hinweise darauf, dass sich dieser Status in naher Zukunft ändern könnte. Sollten allerdings Daten ins Vereinigte Königreich versandt werden, die ursprünglich aus dem EU-/EWR-Raum stammen, werden sich Schweizer Unternehmen voraussichtlich weiterhin an der DSGVO orientieren müssen.

Weitere Informationen:


Artikel teilen




Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.