Ihre Kontakte
Gemäss dem am 12. Februar 2019 vom Europäischen Datenschutzausschuss (EDSA) erschienenen Merkblatt wird im Falle eines No-Deal-Brexit das Vereinigte Königreich ab dem 30. März 2019 als Drittstaat angesehen. Aufgrund der von der EU kürzlich gewährten Verlängerung wird dies nun ab dem 12. April 2019 der Fall sein. Von diesem Moment an stellt sich die Frage, welche Vorkehrungen Unternehmen und öffentliche Stellen treffen müssen, wenn sie personenbezogene Daten aus einem EU/EWR-Mitgliedstaat in das Vereinigte Königreich übermitteln wollen. Dies ist von erheblicher praktischer Bedeutung, stellt doch die DSGVO strenge Anforderungen an die Datenübermittlung in Drittstaaten. In Bezug auf den Datentransfer aus der Schweiz hat der Brexit nach Ansicht des EDÖB keine unmittelbaren Folgen, da die Gesetzgebung des Vereinigten Königreichs weiterhin einen angemessenen Datenschutz gewährleiste.
Grundsätze zur Datenübermittlung in Drittstaaten
Die seit Ende Mai geltende Datenschutz-Grundverordnung enthält eine ausführliche Regelung für die Übermittlung von personenbezogenen Daten in Drittstaaten. Diese Vorgaben gelten zusätzlich zu den allgemeinen Regelungen der DSGVO. Mit anderen Worten muss sich jede Datenübermittlung in ein Drittland auf einen Erlaubnistatbestand abstützen und sind auch die übrigen Vorgaben, wie z.B. die Informationspflichten, einzuhalten (vgl. dazu allgemein MLL-News vom 30.7.2017).
Aus der besonderen Regelung für Datentransfers in Drittstaaten geht sodann hervor, dass eine solche Datenübermittlung zulässig ist, wenn die EU-Kommission das Datenschutzniveau eines Staats für angemessen erklärt (sog. Angemessenheitsbeschluss). Fehlt ein solcher Beschluss, ist die Datenübermittlung gleichwohl erlaubt, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (vgl. dazu MLL-News vom 21. Juli 2018).
Datentransfer aus der EU/EWR ins Vereinigte Königreich
In einem im Februar 2019 veröffentlichten Merkblatt erläutert der EDSA, wie mit diesen Vorgaben der DSGVO im Falle eines No-Deal-Brexit umgegangen werden kann. In einem ersten Schritt ist gemäss EDSA zu beurteilen, bei welchen Prozessen überhaupt eine Datenübermittlung in das Vereinigte Königreich erfolgt. Danach kann festgestellt werden, welches rechtliche Instrument gemäss der DSGVO zur Datenübertragung geeignet ist. Dieses Instrument muss entsprechend bis zum 30. März 2019 resp. 12. April 2019 ausgearbeitet, in die entsprechenden Vereinbarungen mit der britischen Empfängerin aufgenommen sowie in die internen Unterlagen und die eigene Datenschutzerklärung integriert werden.
Regulatorische Instrumentarien zur Datenübertragung
Der EDSA weist in der Folge darauf hin, dass mangels Angemessenheitsbeschluss eines der nachfolgenden Instrumente zum Einsatz gelangen muss.
- Standard- und Ad-hoc-Datenschutzklauseln
Der Datenübermittler kann sich mit dem Empfänger auf die Verwendung von standardisierten und von der Europäischen Kommission genehmigten Datenschutzklauseln einigen (vgl. die Entscheidungen 2010/87/EU, 2004/915/EG und 2001/497/EG). Es gilt zu beachten, dass diese Standarddatenschutzklauseln nicht verändert werden dürfen und entsprechend in der von der Kommission bewilligten Version unterzeichnet werden müssen. Sofern die Standards in einen umfassenden Vertrag aufgenommen werden, sei es gemäss EDSA jedoch erlaubt, dem Vertrag zusätzliche, nicht mit den Vertragsstandards im Widerspruch stehende Klauseln, hinzuzufügen.
Werden die Standardverträge jedoch weiter verändert, handelt es sich um Ad-hoc-Datenschutzklauseln. Die zuständigen nationalen Aufsichtsbehörden müssen diese nach Ansicht des EDSA genehmigen.
2. Verbindliche interne Datenschutzvorschriften
Verbindliche interne Datenschutzvorschriften («Binding Corporate Rules», BCR) sind Richtlinien zum Datenschutz, die von einer Unternehmensgruppe (d.h. multinationalen Unternehmen) aufgestellt werden. Damit sollen angemessene Garantien für die Übermittlung personenbezogener Daten innerhalb der Gruppe gewährleistet werden, auch wenn sich eine Gruppengesellschaft ausserhalb der EU/EWR befindet.
Der EDSA weist darauf hin, dass sich die Unternehmen auch unter der DSGVO auf BCR berufen können, die noch nach der alten EU-Datenschutzrichtlinie zugelassen wurden. Im Falle des Ausbleibens eines Brexit-Deals müssten sie jedoch aktualisiert werden, damit sie den DSGVO-Bestimmungen entsprechen. Auch hier gilt es zu beachten, dass neu erschaffene verbindliche interne Datenschutzvorschriften zuerst von der zuständigen nationalen Aufsichtsbehörde nach Stellungnahme der EDSA genehmigt werden müssen.
3. Verhaltenskodex und Zertifizierungsmechanismus
Des Weiteren sind auch Verhaltenskodizes und Zertifizierungsmechanismen geeignet, angemessene Garantien für die Datenübermittlung zu gewährleisten, solange sie verbindliche und durchsetzbare Verpflichtungen für die jeweilige Organisation bzw. Unternehmung beinhalten. Der EDSA weist im Merkblatt darauf hin, dass zu diesen Instrumenten Leitlinien in Bearbeitung seien. Die Leitlinien zu Verhaltenskodizes wurden mittlerweile veröffentlicht.
4. Ausnahmeregelungen
Neben den oben genannten geeigneten Garantien besteht auch ein Ausnahmekatalog, welcher unter restriktiven Bedingungen die Datenübermittlung ermöglicht. Detaillierte Informationen dazu finden sich in den Leitlinien der EDSA zu Art. 49 EU-DSGVO (MLL-News vom 21. Juli 2018).
5. Datenschutzinstrumente, die ausschliesslich Behörden zur Verfügung stehen
Für Behörden besteht schliesslich die Möglichkeit, durchsetzbare und rechtsverbindliche Verwaltungsabkommen und bilaterale oder multilaterale internationale Abkommen abzuschliessen. Weiter ist es möglich, nicht rechtsverbindliche Verwaltungsvereinbarungen zu unterzeichnen. Diese müssen jedoch durchsetzbare Rechte der betroffenen Personen beinhalten und nach Stellungnahme der EDSA von der zuständigen nationalen Behörde genehmigt werden.
Datentransfer vom Vereinigten Königreich in EU/EWR-Mitgliedstaaten
Im Merkblatt des EDSA wird abschliessend kurz auf den Datentransfer vom Vereinigten Königreich in EU/EWR-Mitgliedstaaten eingegangen. Diesbezüglich hat die Regierung des Vereinigten Königreichs versichert, dass die derzeitige Praxis auch im Falle eines No-Deal-Szenarios fortgeführt werde. Somit wäre es weiterhin möglich, personenbezogene Daten ohne besondere Vorkehrungen in EU/EWR-Mitglieder zu transferieren.
Datentransfer aus der Schweiz ins Vereinigte Königreich
Der EDÖB hat in einer Mitteilung vom 22.01.2019 die Folgen des Brexit für den grenzüberschreitenden Datenverkehr aus der Schweiz ins Vereinigte Königreich klargestellt. Er hält darin fest, dass die grenzüberschreitende Bekanntgabe von Personendaten nach wie vor in Art. 6 DSG geregelt sein wird. Gemäss Art. 7 VDSG ist es Sache des EDÖB zu bestimmen, ob das Datenschutzniveau in einem Staat angemessen und die Datenübermittlung somit zulässig ist. Das Vereinigte Königreich gehört derzeit zu den Ländern mit einem angemessenen Niveau und der EDÖB sieht keine Hinweise darauf, dass sich dieser Status in naher Zukunft ändern könnte. Sollten allerdings Daten ins Vereinigte Königreich versandt werden, die ursprünglich aus dem EU-/EWR-Raum stammen, werden sich Schweizer Unternehmen voraussichtlich weiterhin an der DSGVO orientieren müssen.
Weitere Informationen: