Datenübermittlung nach UK: Was Unternehmen wissen müssen
Die EU-Kommission arbeitet an Angemessenheitsbeschlüssen für die Übermittlung personenbezogener Daten in das Vereinigte Königreich. Was bedeutet das für Unternehmen in Deutschland?
Noch läuft die Übergangszeit, in der die Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Doch Unternehmen, die personenbezogene Daten nach UK übermitteln, sollten nicht auf den Ablauf dieser Frist warten, sondern sich aktiv mit den zukünftigen Rechtsgrundlagen für diese Datentransfers befassen (siehe auch Was der Brexit wirklich für den Datenschutz bedeutet).
Bei den möglichen Rechtsgrundlagen geschieht nun etwas: Schneller als von vielen erwartet, hat die EU-Kommission mitgeteilt, dass sie das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen eingeleitet hat, die sich auf die Übermittlung personenbezogener Daten in das Vereinigte Königreich im Rahmen der Datenschutz-Grundverordnung beziehungsweise der Richtlinie zum Datenschutz bei der Strafverfolgung beziehen.
Die Veröffentlichung der Beschlussentwürfe markiert den Beginn eines zu ihrer Annahme führenden Verfahrens, so die EU-Kommission. Für den erfolgreichen Abschluss dieses Verfahrens ist die Einholung einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und die Zustimmung eines aus Vertretern der EU-Mitgliedstaaten bestehenden Komitologieausschusses erforderlich. Anschließend könnte die Kommission die beiden Angemessenheitsbeschlüsse annehmen.
Das Instrument Angemessenheitsbeschluss
Für Unternehmen ist nur das Verfahren hin zu einem Angemessenheitsbeschluss in Bezug auf die Übermittlung personenbezogener Daten in das Vereinigte Königreich im Rahmen der Datenschutzgrundverordnung (DSGVO) relevant.
Die DSGVO behandelt in Artikel 45 die Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses. Demnach gilt: Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die EU-Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.
Zudem regelt die DSGVO insbesondere noch, was bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus beachtet werden soll und wann eine erneute Überprüfung stattfinden soll.
Die EU-Kommission hat sich bereits dazu geäußert, wie sie das Datenschutzniveau in UK sieht: Die Kommission ist demnach zu dem Schluss gelangt, dass im Vereinigten Königreich ein Schutzniveau gewährleistet wird, das dem durch die Datenschutz-Grundverordnung (DSGVO) im Wesentlichen gleichwertig ist.
Věra Jourová, Vizepräsidentin für Werte und Transparenz in der EU-Kommission, erklärte hierzu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, nicht jedoch aus der europäischen Datenschutzfamilie“. Sie sagt aber auch: „Gleichzeitig müssen wir dafür Sorge tragen, dass unsere Entscheidung zukunftsfähig ist. Daher haben wir klare und strenge Überwachungs- und Überprüfungsverfahren sowie die Möglichkeit zur Aussetzung oder Aufhebung derartiger Beschlüsse vorgesehen, damit, falls sich nach der möglichen Zuerkennung der Angemessenheit etwaige problematische Entwicklungen im System des Vereinigten Königreichs ergeben, angemessen darauf reagiert werden kann.”
Didier Reynders, Kommissar für Justiz, fügte hinzu: „Wir haben das System zum Schutz der Privatsphäre, das im Vereinigten Königreich nach dem Austritt aus der EU gilt, gründlich geprüft. Nun werden die europäischen Datenschutzbehörden die Beschlussentwürfe gründlich prüfen.“
Nach der Prüfung der Stellungnahme des Europäischen Datenschutzausschusses (EDSA) wird die Kommission die Vertreter der Mitgliedstaaten im Rahmen des sogenannten Ausschussverfahrens um Zustimmung ersuchen. Anschließend könnte die Europäische Kommission die endgültigen Angemessenheitsbeschlüsse zum Vereinigten Königreich annehmen.
Im Gegensatz zu anderen Drittstaaten habe die EU das Datenschutzrecht des Vereinigten Königreichs jahrzehntelang mitgeprägt, so die EU-Kommission. Da das Vereinigte Königreich nun jedoch nicht mehr durch die Datenschutzschutzvorschriften der EU gebunden ist, sei es umso wichtiger, dass alle Angemessenheitsbeschlüsse zukunftssicher sind. Die angenommenen Beschlüsse sollen daher vorerst für zunächst vier Jahre gültig sein. Nach diesen vier Jahren könnten sie verlängert werden, wenn das Schutzniveau im Vereinigten Königreich weiterhin angemessen wäre.
Was dies für die Unternehmen bedeutet
Noch steht die Bewertung durch den Europäischen Datenschutzausschuss aus. Kommt es danach zu dem Angemessenheitsbeschluss, hätten Unternehmen aus Deutschland eine Rechtsgrundlage für die weiteren Datenübermittlungen in das Drittland UK, so wie dies auch mit Privacy Shield für Datenübermittlungen in die USA der Fall war.
Dies könnte aber nicht die einzige Parallele sein, sprich: Nach Privacy Shield könnte auch der mögliche Angemessenheitsbeschluss für UK vor dem Europäischen Gerichtshof (EuGH) landen und dort womöglich kassiert werden. Dies bleibt aber abzuwarten.
Es gilt somit weiterhin, dass Unternehmen wachsam sein müssen, wie sie die Datenübermittlungen in ein Drittland wie UK legitimieren können. Dazu empfiehlt es sich, einen internen Prozess aufzusetzen.
Tipp: Internationale Datentransfers in einen Datenschutzprozess einbinden
Ausgehend von dem Verzeichnis von Verarbeitungstätigkeiten sollten Unternehmen alle Datenübermittlungen in Drittstaaten mit den Rechtsgrundlagen und den technisch-organisatorischen Schutzmaßnahmen im Blick haben.
Ändern sich Rechtsgrundlagen, kommt zum Beispiel ein Angemessenheitsbeschluss oder wird er für ungültig erklärt (wie bei Privacy Shield), müssen neue Rechtsgrundlagen gefunden werden, und auch die Schutzmaßnahmen müssen überprüft und abgepasst werden.
Wird eine neue Rechtsgrundlage gefunden, gilt es auch, die Datenschutzdokumentation und die weiteren Datenschutzaufgaben anzugehen. Dazu gehört zum Beispiel auch die Datenschutzerklärung der Website, wenn die betreffenden Daten entsprechend in das Drittland übermittelt werden, aber auch eine mögliche Risikoanalyse (Datenschutzfolgenabschätzung, DSFA), wenn sich die Bewertung des Datenschutzniveaus verändert hat.