DER BREXIT UND SEINE AUSWIRKUNGEN AUF DEN DATENSCHUTZ - SCWP Schindhelm
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NEWSLETTER
BREXIT
DER BREXIT UND SEINE AUSWIRKUNGEN AUF DEN
DATENSCHUTZ
Nach mehr als vier Jahren scheinbar endloser Königreich. Soweit der Anwendungsbereich
Verhandlungen seit der Entscheidung des briti- der DSGVO eröffnet ist, also insbesondere in
schen Referendums von 2016, die Europäische Bezug auf Verantwortliche oder Auftragsverar-
Union zu verlassen, schlossen die Parteien zum beiter mit Sitz in UK, die Personen im EWG
letztmöglichen Zeitpunkt am 24. Dezember Waren oder Dienstleistungen anbieten oder de-
2020 ein Handels- und Kooperationsabkommen ren Verhalten beobachten, bleibt sie weiterhin
(im Folgenden als „TCA“ bezeichnet) ab. Das gültig.
TCA legt Regelungen zu verschiedenen Berei-
chen fest, einschließlich der Verarbeitung von Das Vereinigte Königreich hat zudem eine bri-
personenbezogenen Daten. tische Variante der DSGVO zum 01.01.2021 in
Kraft gesetzt, das sog. „UK-GDPR“, welches
I. DIE FOLGEN FÜR im Wesentlichen die Regelungen der DSGVO
DATENÜBERTRAGUNGEN übernommen hat. Ferner gilt auch der „UK Data
Protection Act 2018“ (DPA 2018) im Vereinig-
Nach dem seit dem 1. Januar 2021 geltenden ten Königreich und auch für Verantwortliche
TCA wurde eine Übergangsphase bis zum 30. und Auftragsverarbeiter, die wiederum Briten
Juni 2021 vereinbart, während der jegliche Waren oder Dienstleistungen anbieten oder de-
Übertragung von personenbezogenen Daten ren Verhalten beobachten.
vom EWG in das UK nicht als Datenübertra-
gung in ein Drittland angesehen wird. Dies er- III. ZUSTÄNDIGE BEHÖRDE FÜR
möglicht eine Übertragung von personenbezo- GRENZÜBERSCHREITENDE
genen Daten in das Vereinigte Königreich unter ANGELEGENHEITEN
Beachtung der DSGVO aber ohne weitere Be-
schränkungen. Ohne diese Vereinbarung würde Um bei grenzüberschreitenden Streitigkeiten
das UK als Drittland gelten. Sobald die Über- zwischen der EU und dem UK nach dem 01. Ja-
gangsphase endet und die Europäischen Kom- nuar 2021 in den Genuss der “One-stop Shop-
mission keinen Angemessenheitsbeschluss Regelung” innerhalb der EU zu kommen, ist es
fasst, müssen andere Maßnahmen nach den Art. für in dem UK ansässige Verantwortliche und
44 ff. DSGVO ergriffen werden, um Daten- Auftragsverarbeiter erforderlich, auch eine Nie-
transfers von der EU in das UK als Drittland zu derlassung in einem Mitgliedsstaat der EU zu
legitimieren. haben.
II. ANWENDBARES RECHT IV. EU-VERTRETER
Als Europäisches Recht gilt die DSGVO seit Ab dem 1. Januar 2021 ist es für Verantwortli-
dem 1. Januar 2021 nicht mehr im Vereinigten che und Auftragsverarbeiter, die ihren Sitz im
Seite 1/5NEWSLETTER
BREXIT
Vereinigten Königreich haben und auf welche ein angemessenes Datenschutzniveau vorliegt.
die DSGVO nach Art. 3 Abs. 2 Anwendung fin- Angemessenheit ist gegeben, wenn die Maß-
det, erforderlich, einen Vertreter nach Art. 27 nahmen zum Schutz der Daten und die daraus
DSGVO zu bestimmen. resultierenden Rechte der Betroffenen, denen in
der EU entsprechen. Sie sollten überlegen, wel-
V. ANGEMESSENHEITSBESCHLUSS che alternativen Sicherungsmaßnahmen nach
den Art. 44 ff. DSGVO für Sie in Betracht kom-
Auch das UK unterliegt dem Angemessenheits- men, sollte die Europäische Kommission kei-
erfordernis der DSGVO, wonach Datenübertra- nen Angemessenheitsbeschluss erlassen
gungen in ein Drittland voraussetzen, dass dort
Seite 2/5NEWSLETTER
BREXIT
DATENÜBERTRAGUNGEN IN DRITTLÄNDER
Nach den Vorgaben der DSGVO ist eine Über- das Fehlen eines Angemessenheitsbe-
mittlung personenbezogener Daten in ein Dritt- schlusses und angemessener Sicherheits-
land (das ist ein Staat außerhalb der EU) nur maßnahmen hingewiesen wurden; oder
dann zulässig, wenn dieses Drittland ein ange- – bei Fehlen eines Angemessenheitsbeschlus-
messenes Schutzniveau gewährleistet und das ses und angemessener Sicherheitsmaßnah-
durch die DSGVO gewährleistete Schutzniveau men: Durchführung oder Abschluss eines
für natürliche Personen nicht untergraben wird. Vertrags, Übermittlung aus wichtigen
Regelungen zur Zulässigkeit einer Datenüber- Gründen des öffentlichen Interesses oder
mittlung in ein Drittland finden sich in den Geltendmachung, Ausübung oder Verteidi-
Art. 44-49 DSGVO. Da Großbritannien kein gung von Rechtsansprüchen.
EU-Mitglied mehr ist, gilt es mit dem Ende der
vereinbarten Übergangsphase nach dem 30. Zu klären ist, welche der von der DSGVO vor-
Juni 2021 grundsätzlich als Drittland. gesehenen, alternativen Rechtsgrundlagen für
den Datentransfer geeignet ist. Dafür bedarf es
I. ANGEMESSENHEITSBESCHLUSS einer Prüfung im Einzelfall samt Risikoevaluie-
rung (Häufigkeit des Datentransfers, Datenar-
Wie dargestellt, erfolgt die Feststellung, ob für ten, sonstige Verarbeitungskriterien etc.).
die Datenübermittlung in ein Drittland ein an-
gemessenen Schutzniveau gewährleistet ist, u. Im Hinblick auf die kürzlich ergangene “Sch-
a. per Angemessenheitsbeschluss. Anerkennt rems”-Entscheidung des EuGH ist bei dem Ein-
die Europäische Kommission mit einem Ange- satz der EU-Standardvertragsklauseln darauf zu
messenheitsbeschluss, dass ein ausreichendes achten, dass stets eine Risikobewertung im Hin-
Schutzniveau in einem Drittland gewährleistet blick darauf erfolgen muss, ob das geltende
ist, dürfen Verantwortliche aus EU-Mitglied- Recht im Zielland ein angemessenes Daten-
staaten personenbezogene Daten in dieses Dritt- schutzniveau gewährleistet. Was das für die
land übermitteln, ohne dass darüber hinaus zu- Praxis bedeutet, bleibt abzuwarten.
sätzliche Garantien erforderlich sind.
III. SANKTIONEN BEI VERLETZUNG
II. ALTERNATIVE RECHTS- VON ART. 44 FF. DSGVO
GRUNDLAGEN
Wenn keine valide Rechtsgrundlage für eine
Neben einem Angemessenheitsbeschluss kom- Datenübertragung gegeben ist, liegt ein Verstoß
men bspw. noch folgende Rechtsgrundlagen in gegen die DSGVO vor und es droht eine Strafe
Betracht: in Höhe von bis zu 20 Millionen EUR oder 4%
– Standarddatenschutzklauseln, des weltweiten Jahresumsatzes.
– Ad-hoc-Verträge, die durch die zuständige
Datenschutzbehörde autorisiert wurden, Unternehmen müssen daher unverzüglich rea-
– Binding Corporate Rules (BCR), die durch gieren, sollte die Kommission nach Ende der
die zuständige Datenschutzbehörde autori- Übergangsphase keinen Angemessenheitsbe-
siert wurden, schluss zu Großbritannien fassen.
– Einholung der ausdrücklichen Einwilligung
von betroffenen Personen, soweit sie auf
Seite 3/7NEWSLETTER
BREXIT
VEREINBARUNG MIT DEM VEREINIGTEN KÖNIGREICH ÜBER DIE
GRENZÜBERSCHREITENDE DATENVERARBEITUNG
I. DAS HANDELS- UND installieren für den Fall, dass kein Angemessen-
KOOPERATIONSABKOMMEN heitsbeschluss ergehen sollte. Die Datenüber-
tragungsmechanismen, die eine alternative Lö-
Die wichtigste Bestimmung des TCA zum Da- sung bieten können, sind in den Artikeln 46 bis
tenschutz sieht vor, dass personenbezogene Da- 50 der DSGVO festgelegt. Diese Bestimmun-
ten für einen Zeitraum von vier Monaten ab dem gen regeln die generellen Anforderungen der
Ende der Übergangszeit (1. Januar 2021) ohne Übertragung personenbezogener Daten vom
weitere Garantien von der EU in das Vereinigte EWG in ein Drittland, d.h. ein Land außerhalb
Königreich übertragen werden dürfen. Auch des EWG. Die Einstufung des UK als Drittland
vereinbart wurde, dass diese viermonatige Frist ist durch die vereinbarte Übergangsphase ver-
automatisch um weitere zwei Monate verlängert schoben.
wird, sofern sich weder die EU noch Großbri-
tannien anderweitig erklärt. IV. WEITERE KOOPERATION
II. ANGEMESSENHEITSBESCHLUSS Die EU und das Vereinigte Königreich haben
außerdem vereinbart, auf bilateraler und multi-
Ein Angemessenheitsbeschluss ist eine formelle lateraler Ebene in Datenschutzfragen durch Er-
Entscheidung der Europäischen Kommission fahrungsaustausch und Kriminalitätsbekämp-
gemäß Art. 45 DSGVO, welche bestätigt, dass fung zusammenzuarbeiten. In Bezug auf den
ein Drittland über ein angemessenes Daten- Ort der Datenspeicherung einigten sich beide
schutzniveau verfügt, wie es von der DSGVO Parteien, dass keiner von ihnen die Speicherung
gefordert wird. Großbritannien bemüht sich ge- oder Verarbeitung personenbezogener Daten in
genwärtig um den Erhalt eines solchen Ange- ihrem Hoheitsgebiet verlangt.
messenheitsbeschlusses. Der Angemessenheits-
beschluss führt dazu, dass personenbezogene
Daten von der EU (inklusive Norwegen, Liech-
tenstein und Island) in das Drittland ohne wei-
tere Schutzmaßnahmen übertragen werden kön-
nen. Sobald die Europäische Kommission einen
Angemessenheitsbeschluss erlässt, endet die
mit dem TCA vereinbarte Übergangsphase.
III. ALTERNATIVLÖSUNGEN
Die britische Datenschutzbehörde (das Infor-
mation Commissioner's Office), wies darauf
hin, dass Unternehmen sich während der Über-
gangsphase auch darauf vorbereiten sollten, al-
ternative Datenübertragungsmechanismen zu
Seite 4/7NEWSLETTER
BREXIT
NEUE DATENSCHUTZREGELN IM UK: DER UK-VERTRETER
Wohl hat die Briten einiges an der EU gestört. dem UK. Das soll vermeiden, dass man durch
Die DSGVO gehörte aber offensichtlich nicht Überwindung der Landesgrenzen bei der Kom-
dazu, denn zum 1. Januar 2021 wurde eine munikation zu viel Zeit verliert.
„UK-GDPR“ in Kraft gesetzt, die ihrer Vorgän-
gerin inhaltlich sehr ähnelt. II. QUALIFIKATION DES
VERTRETERS
I. DER UK-VERTRETER
Der Vertreter kann eine Firma oder natürliche
Übernommen wurde insbesondere auch das Er- Person sein, die in dem UK niedergelassen oder
fordernis eines „Vertreters“, wie wir es aus Art. wohnhaft ist. Er ist schriftlich gegenüber der
27 DSGVO für nicht in der EU ansässige Fir- britischen Datenschutzbehörde zu benennen. Er
men kennen. muss Zugriff auf das Verarbeitungsverzeichnis
des Unternehmens haben (Art. 30 UK-GDPR)
Unternehmen, die keine Niederlassung in Groß- und umfassend bevollmächtigt sein, für das Un-
britannien haben, aber Waren oder Dienstleis- ternehmen zu handeln. Entsprechend sollte er
tungen gegenüber UK-Bürgern anbieten oder über ausreichend Kenntnisse im Datenschutz-
deren Verhalten überwachen, haben nach Art. recht verfügen. Er muss zudem in der Daten-
27 UK-GDPR einen Vertreter zu bestellen. Dies schutzerklärung des Unternehmens mit seinen
umfasst insbesondere Anbieter aus dem On- Kontaktdaten genannt werden.
linebereich wie aber auch IT-Unternehmen, die
derartige Daten für ihre Kunden verarbeiten. Es III. MÖGLICHE SANKTIONEN
gilt selbst dann, wenn das IT-Unternehmen nur
eine Auftragsverarbeitung vornimmt, also die Die Sanktionen bei einem Verstoß gegen die
Daten im Namen eines Dritten verarbeitet. UK-GDPR sind ähnlich drakonisch wie die
nach der DSGVO: Es können Bußgelder bis zu
Wie sein europäisches Vorbild soll der UK-Ver- GBP 8.700.000 bzw. 2% des weltweiten Jahres-
treter als Ansprechpartner vor Ort fungieren und umsatzes eines Unternehmens verhängt werden.
ggf. anfallende Kommunikation mit der briti- Ergo sollten auch bei personenbezogenen Daten
schen Datenschutzbehörde „British Information von Personen aus dem Vereinigten Königreich
Commissioner's Office“ übernehmen. Er ist zu- die gleichen Schutzmaßnahmen ergriffen und
dem Zustellungsempfänger für den gesamten Prinzipien angewendet werden wie bei Daten
Schriftverkehr mit Bezug zum Datenschutz in von EU-Bürgern.
Seite 5/7NEWSLETTER
BREXIT
IHRE BREXIT-CHECKLISTE IN SACHEN DATENSCHUTZ
Die folgende Liste soll eine Hilfestellung ge- – Müssen Maßnahmen ergriffen werden, um
ben, um zu eruieren, welche Schritte Ihr Unter- ein angemessenes Datenschutzniveau si-
nehmen zur Anpassung an die durch den cherzustellen? Liegen Ihnen seitens der
Brexit verursachte neue Rechtslage ergreifen Unternehmen, mit denen Sie in dieser Hin-
muss. sicht zusammenarbeiten, ausreichende In-
formationen vor?
– Welche Daten Ihres Unternehmens wer-
den in dem Vereinigten Königreich verar- – Sind Datenschutzerklärungen (Mitarbeiter,
beitet? Webseite, Kunden) zu ergänzen bezgl. ei-
nes Hinweises auf die Datenverarbeitung
– Welche Daten von britischen Staatsbür- in dem UK oder auf einen UK-Vertreter?
gern werden durch Ihr Unternehmen ver-
arbeitet? – Ist bei Auskunftsanfragen von Betroffenen
nach Art. 15 DSGVO sichergestellt, dass
– Liegt für jeden Verarbeitungsprozess eine die Betroffenen auch über eine Datenver-
Rechtsgrundlage vor? arbeitung in Großbritannien informiert
werden?
– Ist im Verarbeitungsverzeichnis Großbri-
tannien als neues Drittland vermerkt? – Müssen bezgl. einzelner Verarbeitungs-
prozesse neue Datenschutz-Folgenab-
– Bei Einwilligungen: Sind diese ausrei- schätzungen durchgeführt bzw. diese aktu-
chend dokumentiert oder müssen Informa- alisiert werden?
tionen zu der neuen Rechtslage nachge-
reicht werden?
Seite 6/7NEWSLETTER
BREXIT
KONTAKT
Bulgarien: Polen:
Cornelia Draganova Anna Materla
Cornelia.Draganova@schindhelm.com Anna.Materla@sdzlegal.pl
Deutschland: Rumänien:
Karolin Nelles Helge Schirkonyer
Karolin.Nelles@schindhelm.com Helge.Schirkonyer@schindhelm.com
Sarah Schlösser Spanien:
Sarah.Schloesser@schindhelm.com José Tornero
J.Tornero@schindhelm.com
Frankreich:
Maurice Hartmann Tschechien/Slowakei:
Maurice.Hartmann@schindhelm.com Monika Wetzlerova
Wetzlerova@scwp.cz
Italien:
Tommaso Olivieri Türkei:
Tommaso.Olivieri@schindhelm.com Müge Şengönül
Muge.Sengonul@schindhelm.com
Österreich:
Michael Pachinger Ungarn:
M.Pachinger@scwp.com Beatrix Fakó
B.Fako@scwp.hu
Julia Spitzbart
J.Spitzbart@scwp.com
Seite 7/7Sie können auch lesen
