News
AUSWIRKUNGEN AUF DAS DATENSCHUTZRECHT IM FALLE EINES No-Deal-BREXITS
Angesichts der derzeitigen Unsicherheiten in den Brexit-Verhandlungen müssen Unternehmen dringend sicherstellen, daß ein kontinuierlichen Datenfluss rechtlich sicher gestellt ist.
Seit dem Referendum 2016, bei dem die Wähler ihren Wunsch zum Ausdruck brachten, dass das Vereinigte Königreich die Europäische Union (die „EU“) verlassen soll, und der anschließenden Mitteilung des Vereinigten Königreichs vom 29. März 2017 an den Europäischen Rat über seine Absicht, gemäß Artikel 50 des Vertrags über die Europäische Union aus der Union auszusteigen (auch bekannt als „Brexit“), wurden intensive Verhandlungen zwischen dem Vereinigten Königreich und anderen EU-Ländern geführt, wobei eines der Hauptthemen der Diskussion der „Scheidungsvertrag“ war; mit anderen Worten, die Art und Weise, wie das Vereinigte Königreich die EU bis zum 29. März 2019 verlassen wird.
Ein solches Abkommen, auch „Austrittsabkommen“ genannt, umfasst hauptsächlich die Bedingungen für den Austritt des Vereinigten Königreichs, und die zugehörige „Politische Erklärung“ enthält Bestimmungen über die künftigen Beziehungen zwischen dem Vereinigten Königreich und der EU, die das Ergebnis von achtzehn (18) Monaten Verhandlungen waren. Das Abkommen wurde im November von der britischen Regierung und den Staats- und Regierungschefs der anderen 27 EU-Länder genehmigt, und Brüssel erklärte, dass dies der einzige Weg zu einem geordneten Brexit ist.
Die Wirkung eines Brexit-Deals würde eine Übergangs- oder Umsetzungsfrist bis Ende 2020 (vorbehaltlich einer Verlängerung) bedeuten, während der viele bestehende Vereinbarungen bestehen bleiben und das Vereinigte Königreich weiterhin die EU-Vorschriften einhalten müsste.
Der Datenschutz ist sowohl im Austrittsabkommen als auch in der Politischen Erklärung enthalten und spiegelt die Bedeutung der Datenschutzbestimmungen sowohl für die EU als auch für das Vereinigte Königreich wider. Insbesondere Titel VII (Artikel 70-74) der Austrittsvereinbarung enthält einige spezifische Bestimmungen zum Datenschutz. Diese sind auch von anderen Bestimmungen im gesamten Text des Abkommens betroffen, einschließlich von Artikel 127, der insbesondere vorsieht, dass das Unionsrecht (d.h. die DSGVO) während der Übergangszeit im Vereinigten Königreich anwendbar sein wird. Das bedeutet, dass personenbezogene Daten bis Ende 2020 weiter fließen werden, bis eine längerfristige Lösung gefunden werden kann. Nach Ablauf der Übergangszeit sieht Artikel 71 des Austrittsabkommens ausdrücklich vor, dass das Vereinigte Königreich die EU-Datenschutzvorschriften auf personenbezogene Daten weiterhin anwenden muss, bis die EU durch eine Angemessenheitsentscheidung festgestellt hat, dass das britische Datenschutzsystem für personenbezogene Daten angemessene Garantien bietet.
Das britische Parlament hat jedoch seine Ablehnung einer solchen Brexit-Vereinbarung deutlich zum Ausdruck gebracht, indem es zweimal gegen sie gestimmt hat, am 15. Januar und am 12. März 2019, und intensivierte damit die Diskussionen und Vorbereitungen für einen möglichen No-Deal-Brexit.
Welchen Einflusshätte dies also auf das Datenschutzrecht, welche praktischen Auswirkungen hätte dies auf den Datenfluss von der EU nach Großbritannien, und wie wären Unternehmen betroffen, wenn das Vereinigte Königreich ohne Abkommen aus der EU ausscheidet, wodurch die EU das Vereinigte Königreich ab 00:00 Uhr MEZ am 30. März 2019 als „ein Drittland für alle Zwecke“ betrachten würde?
Der Europäische Datenschutzrat hat entsprechende Leitlinien in Form einer Informationsschrift über die Datenübermittlung im Rahmen der GDPR für den Fall eines No-Deal-Brexits zur Verfügung gestellt. Darüber hinaus hat das Information Commissioner's Office (ICO) im Vereinigten Königreich auch Anleitungen für Organisationen und Unternehmen mit Sitz im Vereinigten Königreich bereitgestellt.
Sofern in einer ratifizierten Austrittsvereinbarung kein anderer Zeitpunkt für den Rücktritt festgelegt ist oder der Europäische Rat gemäß Artikel 50 Absatz 3 des Vertrags über die Europäische Union und im Einvernehmen mit dem Vereinigten Königreich einstimmig beschließt, dass die Verträge zu einem späteren Zeitpunkt außer Kraft treten, wird das gesamte Primär- und Sekundärrecht der Union ab dem 30. März 2019, 00:00 Uhr (MEZ), auf das Vereinigte Königreich keine Anwendung mehr finden. Das Vereinigte Königreich gilt als solches als Drittland. Zu diesem Zweck wird das EU-Recht zusätzliche Maßnahmen vorschreiben, die von britischen Unternehmen ergriffen werden müssen, wenn personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) in das Vereinigte Königreich übermittelt werden, um sie rechtmäßig zu machen.
Die letzte Maßnahme, die ein Schutzniveau gewährleistet, das dem der Union im Wesentlichen gleichwertig ist, ist die Annahme einer Angemessenheitsentscheidung durch die Europäische Kommission gemäß Artikel 45 des GDPR. Unternehmen und Organisationen, die in Ländern mit Angemessenheitsabkommen tätig sind, genießen einen ununterbrochenen Verkehr personenbezogener Daten mit der EU (und Norwegen, Liechtenstein und Island bzw. dem EWR) an dieses Drittland, ohne dass weitere Schutzmaßnahmen erforderlich sind. Mit anderen Worten, die Übermittlung in das betreffende Land wird der Übermittlung von Daten innerhalb der EU gleichgestellt. Beispiele für Länder, für die eine Angemessenheitsentscheidung getroffen wurde, sind Länder wie Andorra, Argentinien, Färöer, Guernsey, Israel, Neuseeland, Schweiz, Uruguay, Isle of Man, Jersey, Kanada und Japan.
Eine Bewertung der Angemessenheit kann jedoch erst erfolgen, wenn das Vereinigte Königreich die EU verlassen hat, und solche Bewertungen und Verhandlungen können mindestens mehrere Monate dauern. Bis zu einer Angemessenheitsentscheidung muss die Übermittlung personenbezogener Daten aus dem EWR an das Vereinigte Königreich ab 30. März 2019, 0:00 Uhr (MEZ) auf Grundlage von einer der folgenden Methoden erfolgen, die als ausreichende Schutzmaßnahmen angesehen werden:
1. Standard-Datenschutzklauseln
Die Europäische Kommission hat bereits drei (3) Sätze von Standardklauseln zum Datenschutz angenommen, die als gebrauchsfertiges Instrument gelten und gültig bleiben, bis sie durch neue Versionen ersetzt oder geändert werden, die dem stärker vorschriftsgebundenen Rahmen der Verordnung entsprechen. Diese Klauseln umfassen Folgendes:
a) EWR-Controller an Drittland-Controller
- 2001/497/EG
- 2004/915/EG
b) EWR-Controller an Drittland-Verarbeiter
- 2010/87/EU
Diese Klauseln dürfen nicht geändert werden und müssen wie vorgesehen unterzeichnet werden. Sie können jedoch im Rahmen eines umfassenderen Vertrags aufgenommen werden, und es können zusätzliche Klauseln hinzugefügt werden, sofern diese nicht direkt oder indirekt mit den Standarddatenschutzklauseln in Verbindung stehen.
Im Falle einer Änderung der Standarddatenschutzklauseln gelten diese als Ad-hoc-Vertragsklauseln, die zunächst von der zuständigen nationalen Aufsichtsbehörde nach Stellungnahme der EDPB als geeignete Garantien für die jeweilige Situation genehmigt werden müssen.
Dieser Mechanismus in seiner Ad-hoc-Form wird wahrscheinlich eine wichtige Rolle bei der Entwicklung des Vertragsweges für Transfers mit einigen Technologieunternehmen spielen, die bereits eine Vorreiterrolle bei der Idee gespielt haben, die Zustimmung der zuständigen nationalen Aufsichtsbehörde zur Ausarbeitung ihrer eigenen Datenübertragungsvereinbarungen zu erhalten. Der Vorteil eines solchen Ansatzes bietet den Unternehmen offensichtlich mehr Flexibilität in Bezug auf die Art und Weise, wie sie sich vertraglich zum Schutz personenbezogener Daten verpflichten, und ermöglicht es ihnen, pragmatischere vertragliche Verpflichtungen einzugehen, die sie weniger wahrscheinlich verletzen.
2. Verbindliche Unternehmensregeln (Binding Corporate Rules – BCRs)
Dabei handelt es sich um Richtlinien zum Schutz personenbezogener Daten, die von einer Gruppe von Unternehmen wie multinationalen Konzernen (Controller oder Verarbeiter) befolgt werden, um angemessene Garantien für die Übermittlung personenbezogener Daten innerhalb dieser Gruppe und außerhalb des EWR zu gewährleisten.
Unternehmensgruppen, die bereits über BCRs verfügen oder mit Verarbeitern zusammenarbeiten, die BCRs verwenden, die nach der vorherigen Richtlinie 95/46/EG zugelassen wurden, können sich weiterhin auf sie verlassen, da sie bis auf weiteres gültig bleiben. Für diejenigen Unternehmensgruppen, die über keine BCR verfügen, müssen diese von der zuständigen nationalen Aufsichtsbehörde nach Stellungnahme der EDPB genehmigt werden.
3. Verhaltenskodexe und Zertifizierungsmechanismen
Gemäß Artikel 40 der GDPR können Verhaltenskodizes und Zertifizierungsmechanismen angemessene Garantien für die Übermittlung personenbezogener Daten bieten, sofern sie verbindliche und durchsetzbare Verpflichtungen der Organisation (Controller oder Verarbeiter) im Drittland zum Nutzen der Personen enthalten. Es wird erwartet, dass die EDPB zu gegebener Zeit Leitlinien für das spezifische Instrument herausgibt, um die betreffenden harmonisierten Bedingungen und Verfahren näher zu erläutern.
4. Ausnahmeregelungen
In Ermangelung eines angemessenen Schutzniveaus oder geeigneter Garantien kann eine Übermittlung personenbezogener Daten gemäß Artikel 49 des GDPR unter bestimmten Bedingungen erfolgen. Zu diesen Ausnahmeregelungen gehört es, die ausdrückliche Zustimmung der Person eingeholt zu haben, nachdem sie vollständig über die mit der Übertragung verbundenen Risiken informiert wurde, oder wenn eine solche Übertragung für die Vertragserfüllung erforderlich ist, wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses oder zum Zwecke zwingender legitimer Interessen der Organisation erforderlich ist. Dennoch sollten solche Ausnahmeregelungen restriktiv ausgelegt und angewandt werden, da sie Ausnahmen von der Regel der Einführung geeigneter Garantien darstellen. Daher beziehen sich die Ausnahmen hauptsächlich auf gelegentliche und nicht wiederkehrende Verarbeitungstätigkeiten.
Abgesehen von den oben genannten Ausnahmen und gemäß Artikel 46 der GDPR gibt es bestimmte Mechanismen, die den Behörden im Rahmen der Übermittlung personenbezogener Daten an das Vereinigte Königreich zur Verfügung gestellt werden, je nach ihrer Anwendbarkeit auf ihre Situation. Behörden können rechtsverbindliche und durchsetzbare Instrumente wie beispielsweise ein Verwaltungsabkommen oder ein bilaterales oder multilaterales internationales Abkommen, als Rechtsgrundlage nutzen. Darüber hinaus haben sie die Möglichkeit, Verwaltungsvereinbarungen wie eine Absichtserklärung zu nutzen, die zwar nicht rechtsverbindlich ist, aber durchsetzbare und wirksame Rechte der betroffenen Person vorsehen muss. Diese Verwaltungsvereinbarungen bedürfen der Genehmigung durch die zuständige nationale Aufsichtsbehörde nach Stellungnahme der EDPB.
Im Hinblick auf die derzeitigen britischen Datenschutzstandards und im Falle eines No-deal-Bexits gäbe es keine sofortige Änderung. Das aktuelle Datenschutzgesetz von 2018, das im Vereinigten Königreich zeitgleich mit dem Inkrafttreten der GDPR in Kraft trat, hat einige Bestimmungen der Verordnung umgesetzt und in nationales Recht umgesetzt.
Nach dem Ausscheiden des Vereinigten Königreichs wird mit dem EU-Austrittsabkommen die GDPR in das nationale Recht des Vereinigten Königreichs aufgenommen, um neben ihm zu gelten. Die britische Regierung beabsichtigt, die GDPR in britisches Recht umzusetzen, mit den notwendigen Änderungen, um ihre Bestimmungen für das Vereinigte Königreich anzupassen, da in ihrer derzeitigen Form zahlreiche Verweise auf EU-Rechtsvorschriften und -Institutionen gemacht werden und das Vereinigte Königreich als EU-Mitglied angesehen wird. Aufgrund des bestehenden Grades der Angleichung zwischen den Datenschutzsystemen des Vereinigten Königreichs und der EU würde das Vereinigte Königreich jedoch zum Zeitpunkt des Ausscheidens weiterhin den freien Verkehr personenbezogener Daten aus dem Vereinigten Königreich in die EU ermöglichen.
Angesichts der derzeitigen Unsicherheiten in den Brexit-Verhandlungen müssen die Unternehmen daher dringend sicherstellen, dass sie über die rechtlichen Mechanismen verfügen, die einen kontinuierlichen Datenfluss ermöglichen, der zur Unterstützung ihres internationalen Handels und Geschäftsbetriebs notwendig ist. Relevante Hinweise dazu geben sowohl die EDPB als auch das ICO, deren Websites bei Bedarf regelmäßig besucht werden sollten.
Article provided by EuroCloud partner Alexandra Kokkinou (Lawyer, tassos papadopoulos & associates llc)
News Archiv
- Alle zeigen
- April 2024
- März 2024
- Februar 2024
- Jänner 2024
- Dezember 2023
- November 2023
- Oktober 2023
- September 2023
- August 2023
- Juli 2023
- Juni 2023
- Mai 2023
- April 2023
- März 2023
- Februar 2023
- Jänner 2023
- Dezember 2022
- November 2022
- Oktober 2022
- September 2022
- August 2022
- Juli 2022
- Mai 2022
- April 2022
- März 2022
- Februar 2022
- November 2021
- September 2021
- Juli 2021
- Mai 2021
- April 2021
- Dezember 2020
- November 2020
- Oktober 2020
- Juni 2020
- März 2020
- Dezember 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Jänner 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- November 2016
- Oktober 2016
- September 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Jänner 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Jänner 2015
- Dezember 2014
- November 2014
- Oktober 2014
- September 2014
- August 2014
- Juli 2014
- Juni 2014
- Mai 2014
- April 2014
- März 2014
- Februar 2014
- Jänner 2014
- Dezember 2013
- November 2013
- Oktober 2013
- September 2013
- August 2013
- Juli 2013
- Juni 2013
- Mai 2013
- April 2013
- März 2013
- Februar 2013
- Jänner 2013
- Dezember 2012
- November 2012
- Oktober 2012
- September 2012
- August 2012
- Juli 2012
- Juni 2012
- Mai 2012
- April 2012
- März 2012
- Februar 2012
- Jänner 2012
- Dezember 2011
- November 2011
- Oktober 2011
- September 2011
- Juli 2011
- Juni 2011
- Mai 2011
- April 2011
- März 2011
- Februar 2011
- Jänner 2011
- November 2010
- Oktober 2010
- September 2010
- Juli 2010