DER BREXIT UND SEINE AUSWIRKUNGEN AUF DEN DATENSCHUTZ - SCWP Schindhelm

 
WEITER LESEN
DER BREXIT UND SEINE AUSWIRKUNGEN AUF DEN DATENSCHUTZ - SCWP Schindhelm
NEWSLETTER
                                                                                   BREXIT

DER BREXIT UND SEINE AUSWIRKUNGEN AUF DEN
DATENSCHUTZ
Nach mehr als vier Jahren scheinbar endloser      Königreich. Soweit der Anwendungsbereich
Verhandlungen seit der Entscheidung des briti-    der DSGVO eröffnet ist, also insbesondere in
schen Referendums von 2016, die Europäische       Bezug auf Verantwortliche oder Auftragsverar-
Union zu verlassen, schlossen die Parteien zum    beiter mit Sitz in UK, die Personen im EWG
letztmöglichen Zeitpunkt am 24. Dezember          Waren oder Dienstleistungen anbieten oder de-
2020 ein Handels- und Kooperationsabkommen        ren Verhalten beobachten, bleibt sie weiterhin
(im Folgenden als „TCA“ bezeichnet) ab. Das       gültig.
TCA legt Regelungen zu verschiedenen Berei-
chen fest, einschließlich der Verarbeitung von    Das Vereinigte Königreich hat zudem eine bri-
personenbezogenen Daten.                          tische Variante der DSGVO zum 01.01.2021 in
                                                  Kraft gesetzt, das sog. „UK-GDPR“, welches
I. DIE FOLGEN FÜR                                 im Wesentlichen die Regelungen der DSGVO
DATENÜBERTRAGUNGEN                                übernommen hat. Ferner gilt auch der „UK Data
                                                  Protection Act 2018“ (DPA 2018) im Vereinig-
Nach dem seit dem 1. Januar 2021 geltenden        ten Königreich und auch für Verantwortliche
TCA wurde eine Übergangsphase bis zum 30.         und Auftragsverarbeiter, die wiederum Briten
Juni 2021 vereinbart, während der jegliche        Waren oder Dienstleistungen anbieten oder de-
Übertragung von personenbezogenen Daten           ren Verhalten beobachten.
vom EWG in das UK nicht als Datenübertra-
gung in ein Drittland angesehen wird. Dies er-    III. ZUSTÄNDIGE BEHÖRDE FÜR
möglicht eine Übertragung von personenbezo-       GRENZÜBERSCHREITENDE
genen Daten in das Vereinigte Königreich unter    ANGELEGENHEITEN
Beachtung der DSGVO aber ohne weitere Be-
schränkungen. Ohne diese Vereinbarung würde       Um bei grenzüberschreitenden Streitigkeiten
das UK als Drittland gelten. Sobald die Über-     zwischen der EU und dem UK nach dem 01. Ja-
gangsphase endet und die Europäischen Kom-        nuar 2021 in den Genuss der “One-stop Shop-
mission keinen Angemessenheitsbeschluss           Regelung” innerhalb der EU zu kommen, ist es
fasst, müssen andere Maßnahmen nach den Art.      für in dem UK ansässige Verantwortliche und
44 ff. DSGVO ergriffen werden, um Daten-          Auftragsverarbeiter erforderlich, auch eine Nie-
transfers von der EU in das UK als Drittland zu   derlassung in einem Mitgliedsstaat der EU zu
legitimieren.                                     haben.

II. ANWENDBARES RECHT                             IV. EU-VERTRETER

Als Europäisches Recht gilt die DSGVO seit        Ab dem 1. Januar 2021 ist es für Verantwortli-
dem 1. Januar 2021 nicht mehr im Vereinigten      che und Auftragsverarbeiter, die ihren Sitz im

                                                                                         Seite 1/5
NEWSLETTER
                                                                                  BREXIT

Vereinigten Königreich haben und auf welche       ein angemessenes Datenschutzniveau vorliegt.
die DSGVO nach Art. 3 Abs. 2 Anwendung fin-       Angemessenheit ist gegeben, wenn die Maß-
det, erforderlich, einen Vertreter nach Art. 27   nahmen zum Schutz der Daten und die daraus
DSGVO zu bestimmen.                               resultierenden Rechte der Betroffenen, denen in
                                                  der EU entsprechen. Sie sollten überlegen, wel-
V. ANGEMESSENHEITSBESCHLUSS                       che alternativen Sicherungsmaßnahmen nach
                                                  den Art. 44 ff. DSGVO für Sie in Betracht kom-
Auch das UK unterliegt dem Angemessenheits-       men, sollte die Europäische Kommission kei-
erfordernis der DSGVO, wonach Datenübertra-       nen Angemessenheitsbeschluss erlassen
gungen in ein Drittland voraussetzen, dass dort

                                                                                        Seite 2/5
NEWSLETTER
                                                                                    BREXIT

DATENÜBERTRAGUNGEN IN DRITTLÄNDER

Nach den Vorgaben der DSGVO ist eine Über-              das Fehlen eines Angemessenheitsbe-
mittlung personenbezogener Daten in ein Dritt-          schlusses und angemessener Sicherheits-
land (das ist ein Staat außerhalb der EU) nur           maßnahmen hingewiesen wurden; oder
dann zulässig, wenn dieses Drittland ein ange-      –   bei Fehlen eines Angemessenheitsbeschlus-
messenes Schutzniveau gewährleistet und das             ses und angemessener Sicherheitsmaßnah-
durch die DSGVO gewährleistete Schutzniveau             men: Durchführung oder Abschluss eines
für natürliche Personen nicht untergraben wird.         Vertrags, Übermittlung aus wichtigen
Regelungen zur Zulässigkeit einer Datenüber-            Gründen des öffentlichen Interesses oder
mittlung in ein Drittland finden sich in den            Geltendmachung, Ausübung oder Verteidi-
Art. 44-49 DSGVO. Da Großbritannien kein                gung von Rechtsansprüchen.
EU-Mitglied mehr ist, gilt es mit dem Ende der
vereinbarten Übergangsphase nach dem 30.            Zu klären ist, welche der von der DSGVO vor-
Juni 2021 grundsätzlich als Drittland.              gesehenen, alternativen Rechtsgrundlagen für
                                                    den Datentransfer geeignet ist. Dafür bedarf es
I. ANGEMESSENHEITSBESCHLUSS                         einer Prüfung im Einzelfall samt Risikoevaluie-
                                                    rung (Häufigkeit des Datentransfers, Datenar-
Wie dargestellt, erfolgt die Feststellung, ob für   ten, sonstige Verarbeitungskriterien etc.).
die Datenübermittlung in ein Drittland ein an-
gemessenen Schutzniveau gewährleistet ist, u.       Im Hinblick auf die kürzlich ergangene “Sch-
a. per Angemessenheitsbeschluss. Anerkennt          rems”-Entscheidung des EuGH ist bei dem Ein-
die Europäische Kommission mit einem Ange-          satz der EU-Standardvertragsklauseln darauf zu
messenheitsbeschluss, dass ein ausreichendes        achten, dass stets eine Risikobewertung im Hin-
Schutzniveau in einem Drittland gewährleistet       blick darauf erfolgen muss, ob das geltende
ist, dürfen Verantwortliche aus EU-Mitglied-        Recht im Zielland ein angemessenes Daten-
staaten personenbezogene Daten in dieses Dritt-     schutzniveau gewährleistet. Was das für die
land übermitteln, ohne dass darüber hinaus zu-      Praxis bedeutet, bleibt abzuwarten.
sätzliche Garantien erforderlich sind.
                                                    III. SANKTIONEN BEI VERLETZUNG
II. ALTERNATIVE RECHTS-                             VON ART. 44 FF. DSGVO
GRUNDLAGEN
                                                    Wenn keine valide Rechtsgrundlage für eine
Neben einem Angemessenheitsbeschluss kom-           Datenübertragung gegeben ist, liegt ein Verstoß
men bspw. noch folgende Rechtsgrundlagen in         gegen die DSGVO vor und es droht eine Strafe
Betracht:                                           in Höhe von bis zu 20 Millionen EUR oder 4%
– Standarddatenschutzklauseln,                      des weltweiten Jahresumsatzes.
– Ad-hoc-Verträge, die durch die zuständige
    Datenschutzbehörde autorisiert wurden,          Unternehmen müssen daher unverzüglich rea-
– Binding Corporate Rules (BCR), die durch          gieren, sollte die Kommission nach Ende der
    die zuständige Datenschutzbehörde autori-       Übergangsphase keinen Angemessenheitsbe-
    siert wurden,                                   schluss zu Großbritannien fassen.
– Einholung der ausdrücklichen Einwilligung
    von betroffenen Personen, soweit sie auf

                                                                                           Seite 3/7
NEWSLETTER
                                                                                   BREXIT

VEREINBARUNG MIT DEM VEREINIGTEN KÖNIGREICH ÜBER DIE
GRENZÜBERSCHREITENDE DATENVERARBEITUNG

I. DAS HANDELS- UND                               installieren für den Fall, dass kein Angemessen-
KOOPERATIONSABKOMMEN                              heitsbeschluss ergehen sollte. Die Datenüber-
                                                  tragungsmechanismen, die eine alternative Lö-
Die wichtigste Bestimmung des TCA zum Da-         sung bieten können, sind in den Artikeln 46 bis
tenschutz sieht vor, dass personenbezogene Da-    50 der DSGVO festgelegt. Diese Bestimmun-
ten für einen Zeitraum von vier Monaten ab dem    gen regeln die generellen Anforderungen der
Ende der Übergangszeit (1. Januar 2021) ohne      Übertragung personenbezogener Daten vom
weitere Garantien von der EU in das Vereinigte    EWG in ein Drittland, d.h. ein Land außerhalb
Königreich übertragen werden dürfen. Auch         des EWG. Die Einstufung des UK als Drittland
vereinbart wurde, dass diese viermonatige Frist   ist durch die vereinbarte Übergangsphase ver-
automatisch um weitere zwei Monate verlängert     schoben.
wird, sofern sich weder die EU noch Großbri-
tannien anderweitig erklärt.                      IV. WEITERE KOOPERATION

II. ANGEMESSENHEITSBESCHLUSS                      Die EU und das Vereinigte Königreich haben
                                                  außerdem vereinbart, auf bilateraler und multi-
Ein Angemessenheitsbeschluss ist eine formelle    lateraler Ebene in Datenschutzfragen durch Er-
Entscheidung der Europäischen Kommission          fahrungsaustausch und Kriminalitätsbekämp-
gemäß Art. 45 DSGVO, welche bestätigt, dass       fung zusammenzuarbeiten. In Bezug auf den
ein Drittland über ein angemessenes Daten-        Ort der Datenspeicherung einigten sich beide
schutzniveau verfügt, wie es von der DSGVO        Parteien, dass keiner von ihnen die Speicherung
gefordert wird. Großbritannien bemüht sich ge-    oder Verarbeitung personenbezogener Daten in
genwärtig um den Erhalt eines solchen Ange-       ihrem Hoheitsgebiet verlangt.
messenheitsbeschlusses. Der Angemessenheits-
beschluss führt dazu, dass personenbezogene
Daten von der EU (inklusive Norwegen, Liech-
tenstein und Island) in das Drittland ohne wei-
tere Schutzmaßnahmen übertragen werden kön-
nen. Sobald die Europäische Kommission einen
Angemessenheitsbeschluss erlässt, endet die
mit dem TCA vereinbarte Übergangsphase.

III. ALTERNATIVLÖSUNGEN

Die britische Datenschutzbehörde (das Infor-
mation Commissioner's Office), wies darauf
hin, dass Unternehmen sich während der Über-
gangsphase auch darauf vorbereiten sollten, al-
ternative Datenübertragungsmechanismen zu

                                                                                         Seite 4/7
NEWSLETTER
                                                                                   BREXIT

NEUE DATENSCHUTZREGELN IM UK: DER UK-VERTRETER

Wohl hat die Briten einiges an der EU gestört.      dem UK. Das soll vermeiden, dass man durch
Die DSGVO gehörte aber offensichtlich nicht         Überwindung der Landesgrenzen bei der Kom-
dazu, denn zum 1. Januar 2021 wurde eine            munikation zu viel Zeit verliert.
„UK-GDPR“ in Kraft gesetzt, die ihrer Vorgän-
gerin inhaltlich sehr ähnelt.                       II. QUALIFIKATION DES
                                                    VERTRETERS
I. DER UK-VERTRETER
                                                    Der Vertreter kann eine Firma oder natürliche
Übernommen wurde insbesondere auch das Er-          Person sein, die in dem UK niedergelassen oder
fordernis eines „Vertreters“, wie wir es aus Art.   wohnhaft ist. Er ist schriftlich gegenüber der
27 DSGVO für nicht in der EU ansässige Fir-         britischen Datenschutzbehörde zu benennen. Er
men kennen.                                         muss Zugriff auf das Verarbeitungsverzeichnis
                                                    des Unternehmens haben (Art. 30 UK-GDPR)
Unternehmen, die keine Niederlassung in Groß-       und umfassend bevollmächtigt sein, für das Un-
britannien haben, aber Waren oder Dienstleis-       ternehmen zu handeln. Entsprechend sollte er
tungen gegenüber UK-Bürgern anbieten oder           über ausreichend Kenntnisse im Datenschutz-
deren Verhalten überwachen, haben nach Art.         recht verfügen. Er muss zudem in der Daten-
27 UK-GDPR einen Vertreter zu bestellen. Dies       schutzerklärung des Unternehmens mit seinen
umfasst insbesondere Anbieter aus dem On-           Kontaktdaten genannt werden.
linebereich wie aber auch IT-Unternehmen, die
derartige Daten für ihre Kunden verarbeiten. Es     III. MÖGLICHE SANKTIONEN
gilt selbst dann, wenn das IT-Unternehmen nur
eine Auftragsverarbeitung vornimmt, also die        Die Sanktionen bei einem Verstoß gegen die
Daten im Namen eines Dritten verarbeitet.           UK-GDPR sind ähnlich drakonisch wie die
                                                    nach der DSGVO: Es können Bußgelder bis zu
Wie sein europäisches Vorbild soll der UK-Ver-      GBP 8.700.000 bzw. 2% des weltweiten Jahres-
treter als Ansprechpartner vor Ort fungieren und    umsatzes eines Unternehmens verhängt werden.
ggf. anfallende Kommunikation mit der briti-        Ergo sollten auch bei personenbezogenen Daten
schen Datenschutzbehörde „British Information       von Personen aus dem Vereinigten Königreich
Commissioner's Office“ übernehmen. Er ist zu-       die gleichen Schutzmaßnahmen ergriffen und
dem Zustellungsempfänger für den gesamten           Prinzipien angewendet werden wie bei Daten
Schriftverkehr mit Bezug zum Datenschutz in         von EU-Bürgern.

                                                                                          Seite 5/7
NEWSLETTER
                                                                                 BREXIT

IHRE BREXIT-CHECKLISTE IN SACHEN DATENSCHUTZ

Die folgende Liste soll eine Hilfestellung ge-    –   Müssen Maßnahmen ergriffen werden, um
ben, um zu eruieren, welche Schritte Ihr Unter-       ein angemessenes Datenschutzniveau si-
nehmen zur Anpassung an die durch den                 cherzustellen? Liegen Ihnen seitens der
Brexit verursachte neue Rechtslage ergreifen          Unternehmen, mit denen Sie in dieser Hin-
muss.                                                 sicht zusammenarbeiten, ausreichende In-
                                                      formationen vor?
–   Welche Daten Ihres Unternehmens wer-
    den in dem Vereinigten Königreich verar-      –   Sind Datenschutzerklärungen (Mitarbeiter,
    beitet?                                           Webseite, Kunden) zu ergänzen bezgl. ei-
                                                      nes Hinweises auf die Datenverarbeitung
–   Welche Daten von britischen Staatsbür-            in dem UK oder auf einen UK-Vertreter?
    gern werden durch Ihr Unternehmen ver-
    arbeitet?                                     –   Ist bei Auskunftsanfragen von Betroffenen
                                                      nach Art. 15 DSGVO sichergestellt, dass
–   Liegt für jeden Verarbeitungsprozess eine         die Betroffenen auch über eine Datenver-
    Rechtsgrundlage vor?                              arbeitung in Großbritannien informiert
                                                      werden?
–   Ist im Verarbeitungsverzeichnis Großbri-
    tannien als neues Drittland vermerkt?         –   Müssen bezgl. einzelner Verarbeitungs-
                                                      prozesse neue Datenschutz-Folgenab-
–   Bei Einwilligungen: Sind diese ausrei-            schätzungen durchgeführt bzw. diese aktu-
    chend dokumentiert oder müssen Informa-           alisiert werden?
    tionen zu der neuen Rechtslage nachge-
    reicht werden?

                                                                                       Seite 6/7
NEWSLETTER
                                                                   BREXIT

KONTAKT

Bulgarien:                          Polen:
Cornelia Draganova                  Anna Materla
Cornelia.Draganova@schindhelm.com   Anna.Materla@sdzlegal.pl

Deutschland:                        Rumänien:
Karolin Nelles                      Helge Schirkonyer
Karolin.Nelles@schindhelm.com       Helge.Schirkonyer@schindhelm.com

Sarah Schlösser                     Spanien:
Sarah.Schloesser@schindhelm.com     José Tornero
                                    J.Tornero@schindhelm.com
Frankreich:
Maurice Hartmann                    Tschechien/Slowakei:
Maurice.Hartmann@schindhelm.com     Monika Wetzlerova
                                    Wetzlerova@scwp.cz
Italien:
Tommaso Olivieri                    Türkei:
Tommaso.Olivieri@schindhelm.com     Müge Şengönül
                                    Muge.Sengonul@schindhelm.com
Österreich:
Michael Pachinger                   Ungarn:
M.Pachinger@scwp.com                Beatrix Fakó
                                    B.Fako@scwp.hu
Julia Spitzbart
J.Spitzbart@scwp.com

                                                                       Seite 7/7
Sie können auch lesen