DER BREXIT UND SEINE AUSWIRKUNGEN AUF DEN DATENSCHUTZ - SCWP Schindhelm
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NEWSLETTER BREXIT DER BREXIT UND SEINE AUSWIRKUNGEN AUF DEN DATENSCHUTZ Nach mehr als vier Jahren scheinbar endloser Königreich. Soweit der Anwendungsbereich Verhandlungen seit der Entscheidung des briti- der DSGVO eröffnet ist, also insbesondere in schen Referendums von 2016, die Europäische Bezug auf Verantwortliche oder Auftragsverar- Union zu verlassen, schlossen die Parteien zum beiter mit Sitz in UK, die Personen im EWG letztmöglichen Zeitpunkt am 24. Dezember Waren oder Dienstleistungen anbieten oder de- 2020 ein Handels- und Kooperationsabkommen ren Verhalten beobachten, bleibt sie weiterhin (im Folgenden als „TCA“ bezeichnet) ab. Das gültig. TCA legt Regelungen zu verschiedenen Berei- chen fest, einschließlich der Verarbeitung von Das Vereinigte Königreich hat zudem eine bri- personenbezogenen Daten. tische Variante der DSGVO zum 01.01.2021 in Kraft gesetzt, das sog. „UK-GDPR“, welches I. DIE FOLGEN FÜR im Wesentlichen die Regelungen der DSGVO DATENÜBERTRAGUNGEN übernommen hat. Ferner gilt auch der „UK Data Protection Act 2018“ (DPA 2018) im Vereinig- Nach dem seit dem 1. Januar 2021 geltenden ten Königreich und auch für Verantwortliche TCA wurde eine Übergangsphase bis zum 30. und Auftragsverarbeiter, die wiederum Briten Juni 2021 vereinbart, während der jegliche Waren oder Dienstleistungen anbieten oder de- Übertragung von personenbezogenen Daten ren Verhalten beobachten. vom EWG in das UK nicht als Datenübertra- gung in ein Drittland angesehen wird. Dies er- III. ZUSTÄNDIGE BEHÖRDE FÜR möglicht eine Übertragung von personenbezo- GRENZÜBERSCHREITENDE genen Daten in das Vereinigte Königreich unter ANGELEGENHEITEN Beachtung der DSGVO aber ohne weitere Be- schränkungen. Ohne diese Vereinbarung würde Um bei grenzüberschreitenden Streitigkeiten das UK als Drittland gelten. Sobald die Über- zwischen der EU und dem UK nach dem 01. Ja- gangsphase endet und die Europäischen Kom- nuar 2021 in den Genuss der “One-stop Shop- mission keinen Angemessenheitsbeschluss Regelung” innerhalb der EU zu kommen, ist es fasst, müssen andere Maßnahmen nach den Art. für in dem UK ansässige Verantwortliche und 44 ff. DSGVO ergriffen werden, um Daten- Auftragsverarbeiter erforderlich, auch eine Nie- transfers von der EU in das UK als Drittland zu derlassung in einem Mitgliedsstaat der EU zu legitimieren. haben. II. ANWENDBARES RECHT IV. EU-VERTRETER Als Europäisches Recht gilt die DSGVO seit Ab dem 1. Januar 2021 ist es für Verantwortli- dem 1. Januar 2021 nicht mehr im Vereinigten che und Auftragsverarbeiter, die ihren Sitz im Seite 1/5
NEWSLETTER BREXIT Vereinigten Königreich haben und auf welche ein angemessenes Datenschutzniveau vorliegt. die DSGVO nach Art. 3 Abs. 2 Anwendung fin- Angemessenheit ist gegeben, wenn die Maß- det, erforderlich, einen Vertreter nach Art. 27 nahmen zum Schutz der Daten und die daraus DSGVO zu bestimmen. resultierenden Rechte der Betroffenen, denen in der EU entsprechen. Sie sollten überlegen, wel- V. ANGEMESSENHEITSBESCHLUSS che alternativen Sicherungsmaßnahmen nach den Art. 44 ff. DSGVO für Sie in Betracht kom- Auch das UK unterliegt dem Angemessenheits- men, sollte die Europäische Kommission kei- erfordernis der DSGVO, wonach Datenübertra- nen Angemessenheitsbeschluss erlassen gungen in ein Drittland voraussetzen, dass dort Seite 2/5
NEWSLETTER BREXIT DATENÜBERTRAGUNGEN IN DRITTLÄNDER Nach den Vorgaben der DSGVO ist eine Über- das Fehlen eines Angemessenheitsbe- mittlung personenbezogener Daten in ein Dritt- schlusses und angemessener Sicherheits- land (das ist ein Staat außerhalb der EU) nur maßnahmen hingewiesen wurden; oder dann zulässig, wenn dieses Drittland ein ange- – bei Fehlen eines Angemessenheitsbeschlus- messenes Schutzniveau gewährleistet und das ses und angemessener Sicherheitsmaßnah- durch die DSGVO gewährleistete Schutzniveau men: Durchführung oder Abschluss eines für natürliche Personen nicht untergraben wird. Vertrags, Übermittlung aus wichtigen Regelungen zur Zulässigkeit einer Datenüber- Gründen des öffentlichen Interesses oder mittlung in ein Drittland finden sich in den Geltendmachung, Ausübung oder Verteidi- Art. 44-49 DSGVO. Da Großbritannien kein gung von Rechtsansprüchen. EU-Mitglied mehr ist, gilt es mit dem Ende der vereinbarten Übergangsphase nach dem 30. Zu klären ist, welche der von der DSGVO vor- Juni 2021 grundsätzlich als Drittland. gesehenen, alternativen Rechtsgrundlagen für den Datentransfer geeignet ist. Dafür bedarf es I. ANGEMESSENHEITSBESCHLUSS einer Prüfung im Einzelfall samt Risikoevaluie- rung (Häufigkeit des Datentransfers, Datenar- Wie dargestellt, erfolgt die Feststellung, ob für ten, sonstige Verarbeitungskriterien etc.). die Datenübermittlung in ein Drittland ein an- gemessenen Schutzniveau gewährleistet ist, u. Im Hinblick auf die kürzlich ergangene “Sch- a. per Angemessenheitsbeschluss. Anerkennt rems”-Entscheidung des EuGH ist bei dem Ein- die Europäische Kommission mit einem Ange- satz der EU-Standardvertragsklauseln darauf zu messenheitsbeschluss, dass ein ausreichendes achten, dass stets eine Risikobewertung im Hin- Schutzniveau in einem Drittland gewährleistet blick darauf erfolgen muss, ob das geltende ist, dürfen Verantwortliche aus EU-Mitglied- Recht im Zielland ein angemessenes Daten- staaten personenbezogene Daten in dieses Dritt- schutzniveau gewährleistet. Was das für die land übermitteln, ohne dass darüber hinaus zu- Praxis bedeutet, bleibt abzuwarten. sätzliche Garantien erforderlich sind. III. SANKTIONEN BEI VERLETZUNG II. ALTERNATIVE RECHTS- VON ART. 44 FF. DSGVO GRUNDLAGEN Wenn keine valide Rechtsgrundlage für eine Neben einem Angemessenheitsbeschluss kom- Datenübertragung gegeben ist, liegt ein Verstoß men bspw. noch folgende Rechtsgrundlagen in gegen die DSGVO vor und es droht eine Strafe Betracht: in Höhe von bis zu 20 Millionen EUR oder 4% – Standarddatenschutzklauseln, des weltweiten Jahresumsatzes. – Ad-hoc-Verträge, die durch die zuständige Datenschutzbehörde autorisiert wurden, Unternehmen müssen daher unverzüglich rea- – Binding Corporate Rules (BCR), die durch gieren, sollte die Kommission nach Ende der die zuständige Datenschutzbehörde autori- Übergangsphase keinen Angemessenheitsbe- siert wurden, schluss zu Großbritannien fassen. – Einholung der ausdrücklichen Einwilligung von betroffenen Personen, soweit sie auf Seite 3/7
NEWSLETTER BREXIT VEREINBARUNG MIT DEM VEREINIGTEN KÖNIGREICH ÜBER DIE GRENZÜBERSCHREITENDE DATENVERARBEITUNG I. DAS HANDELS- UND installieren für den Fall, dass kein Angemessen- KOOPERATIONSABKOMMEN heitsbeschluss ergehen sollte. Die Datenüber- tragungsmechanismen, die eine alternative Lö- Die wichtigste Bestimmung des TCA zum Da- sung bieten können, sind in den Artikeln 46 bis tenschutz sieht vor, dass personenbezogene Da- 50 der DSGVO festgelegt. Diese Bestimmun- ten für einen Zeitraum von vier Monaten ab dem gen regeln die generellen Anforderungen der Ende der Übergangszeit (1. Januar 2021) ohne Übertragung personenbezogener Daten vom weitere Garantien von der EU in das Vereinigte EWG in ein Drittland, d.h. ein Land außerhalb Königreich übertragen werden dürfen. Auch des EWG. Die Einstufung des UK als Drittland vereinbart wurde, dass diese viermonatige Frist ist durch die vereinbarte Übergangsphase ver- automatisch um weitere zwei Monate verlängert schoben. wird, sofern sich weder die EU noch Großbri- tannien anderweitig erklärt. IV. WEITERE KOOPERATION II. ANGEMESSENHEITSBESCHLUSS Die EU und das Vereinigte Königreich haben außerdem vereinbart, auf bilateraler und multi- Ein Angemessenheitsbeschluss ist eine formelle lateraler Ebene in Datenschutzfragen durch Er- Entscheidung der Europäischen Kommission fahrungsaustausch und Kriminalitätsbekämp- gemäß Art. 45 DSGVO, welche bestätigt, dass fung zusammenzuarbeiten. In Bezug auf den ein Drittland über ein angemessenes Daten- Ort der Datenspeicherung einigten sich beide schutzniveau verfügt, wie es von der DSGVO Parteien, dass keiner von ihnen die Speicherung gefordert wird. Großbritannien bemüht sich ge- oder Verarbeitung personenbezogener Daten in genwärtig um den Erhalt eines solchen Ange- ihrem Hoheitsgebiet verlangt. messenheitsbeschlusses. Der Angemessenheits- beschluss führt dazu, dass personenbezogene Daten von der EU (inklusive Norwegen, Liech- tenstein und Island) in das Drittland ohne wei- tere Schutzmaßnahmen übertragen werden kön- nen. Sobald die Europäische Kommission einen Angemessenheitsbeschluss erlässt, endet die mit dem TCA vereinbarte Übergangsphase. III. ALTERNATIVLÖSUNGEN Die britische Datenschutzbehörde (das Infor- mation Commissioner's Office), wies darauf hin, dass Unternehmen sich während der Über- gangsphase auch darauf vorbereiten sollten, al- ternative Datenübertragungsmechanismen zu Seite 4/7
NEWSLETTER BREXIT NEUE DATENSCHUTZREGELN IM UK: DER UK-VERTRETER Wohl hat die Briten einiges an der EU gestört. dem UK. Das soll vermeiden, dass man durch Die DSGVO gehörte aber offensichtlich nicht Überwindung der Landesgrenzen bei der Kom- dazu, denn zum 1. Januar 2021 wurde eine munikation zu viel Zeit verliert. „UK-GDPR“ in Kraft gesetzt, die ihrer Vorgän- gerin inhaltlich sehr ähnelt. II. QUALIFIKATION DES VERTRETERS I. DER UK-VERTRETER Der Vertreter kann eine Firma oder natürliche Übernommen wurde insbesondere auch das Er- Person sein, die in dem UK niedergelassen oder fordernis eines „Vertreters“, wie wir es aus Art. wohnhaft ist. Er ist schriftlich gegenüber der 27 DSGVO für nicht in der EU ansässige Fir- britischen Datenschutzbehörde zu benennen. Er men kennen. muss Zugriff auf das Verarbeitungsverzeichnis des Unternehmens haben (Art. 30 UK-GDPR) Unternehmen, die keine Niederlassung in Groß- und umfassend bevollmächtigt sein, für das Un- britannien haben, aber Waren oder Dienstleis- ternehmen zu handeln. Entsprechend sollte er tungen gegenüber UK-Bürgern anbieten oder über ausreichend Kenntnisse im Datenschutz- deren Verhalten überwachen, haben nach Art. recht verfügen. Er muss zudem in der Daten- 27 UK-GDPR einen Vertreter zu bestellen. Dies schutzerklärung des Unternehmens mit seinen umfasst insbesondere Anbieter aus dem On- Kontaktdaten genannt werden. linebereich wie aber auch IT-Unternehmen, die derartige Daten für ihre Kunden verarbeiten. Es III. MÖGLICHE SANKTIONEN gilt selbst dann, wenn das IT-Unternehmen nur eine Auftragsverarbeitung vornimmt, also die Die Sanktionen bei einem Verstoß gegen die Daten im Namen eines Dritten verarbeitet. UK-GDPR sind ähnlich drakonisch wie die nach der DSGVO: Es können Bußgelder bis zu Wie sein europäisches Vorbild soll der UK-Ver- GBP 8.700.000 bzw. 2% des weltweiten Jahres- treter als Ansprechpartner vor Ort fungieren und umsatzes eines Unternehmens verhängt werden. ggf. anfallende Kommunikation mit der briti- Ergo sollten auch bei personenbezogenen Daten schen Datenschutzbehörde „British Information von Personen aus dem Vereinigten Königreich Commissioner's Office“ übernehmen. Er ist zu- die gleichen Schutzmaßnahmen ergriffen und dem Zustellungsempfänger für den gesamten Prinzipien angewendet werden wie bei Daten Schriftverkehr mit Bezug zum Datenschutz in von EU-Bürgern. Seite 5/7
NEWSLETTER BREXIT IHRE BREXIT-CHECKLISTE IN SACHEN DATENSCHUTZ Die folgende Liste soll eine Hilfestellung ge- – Müssen Maßnahmen ergriffen werden, um ben, um zu eruieren, welche Schritte Ihr Unter- ein angemessenes Datenschutzniveau si- nehmen zur Anpassung an die durch den cherzustellen? Liegen Ihnen seitens der Brexit verursachte neue Rechtslage ergreifen Unternehmen, mit denen Sie in dieser Hin- muss. sicht zusammenarbeiten, ausreichende In- formationen vor? – Welche Daten Ihres Unternehmens wer- den in dem Vereinigten Königreich verar- – Sind Datenschutzerklärungen (Mitarbeiter, beitet? Webseite, Kunden) zu ergänzen bezgl. ei- nes Hinweises auf die Datenverarbeitung – Welche Daten von britischen Staatsbür- in dem UK oder auf einen UK-Vertreter? gern werden durch Ihr Unternehmen ver- arbeitet? – Ist bei Auskunftsanfragen von Betroffenen nach Art. 15 DSGVO sichergestellt, dass – Liegt für jeden Verarbeitungsprozess eine die Betroffenen auch über eine Datenver- Rechtsgrundlage vor? arbeitung in Großbritannien informiert werden? – Ist im Verarbeitungsverzeichnis Großbri- tannien als neues Drittland vermerkt? – Müssen bezgl. einzelner Verarbeitungs- prozesse neue Datenschutz-Folgenab- – Bei Einwilligungen: Sind diese ausrei- schätzungen durchgeführt bzw. diese aktu- chend dokumentiert oder müssen Informa- alisiert werden? tionen zu der neuen Rechtslage nachge- reicht werden? Seite 6/7
NEWSLETTER BREXIT KONTAKT Bulgarien: Polen: Cornelia Draganova Anna Materla Cornelia.Draganova@schindhelm.com Anna.Materla@sdzlegal.pl Deutschland: Rumänien: Karolin Nelles Helge Schirkonyer Karolin.Nelles@schindhelm.com Helge.Schirkonyer@schindhelm.com Sarah Schlösser Spanien: Sarah.Schloesser@schindhelm.com José Tornero J.Tornero@schindhelm.com Frankreich: Maurice Hartmann Tschechien/Slowakei: Maurice.Hartmann@schindhelm.com Monika Wetzlerova Wetzlerova@scwp.cz Italien: Tommaso Olivieri Türkei: Tommaso.Olivieri@schindhelm.com Müge Şengönül Muge.Sengonul@schindhelm.com Österreich: Michael Pachinger Ungarn: M.Pachinger@scwp.com Beatrix Fakó B.Fako@scwp.hu Julia Spitzbart J.Spitzbart@scwp.com Seite 7/7
Sie können auch lesen