Der Brexit ist beschlossene Sache. Fraglich ist allerdings weiterhin, ob das Vereinigte Königreich die Europäische Union nach 46 Jahren Mitgliedschaft über das verhandelte Austrittsabkommen oder ohne eine Vereinbarung (harter Brexit) verlassen wird. Das britische Parlament hat dazu gestern eine Entscheidung getroffen und wird (zumindest vorerst) das Austrittsabkommen nicht annehmen. Für Unternehmen auf dem europäischen Festland mit wirtschaftlichen Verbindungen inklusive Datenverarbeitung eine schwierige Situation. Das Vereinigte Königreich würde bei einem harten Brexit ab 30. März 2019 zu einem datenschutzrechtlichen Drittland aus Sicht der EU (die UIMC berichtete). Der langjährige Datenschutzfachmann Dr. Jörn Voßbein spricht aus, was viele denken: „Diese Situation ist einmalig und verdient deshalb allerhöchste Aufmerksamkeit aller Beteiligten, um Fehler zu vermeiden und Kosten gering zu halten.“
In Bezug auf den Brexit sollten deshalb die Vorkehrungen in Unternehmen schnellstmöglich angegangen werden, um im Falle eines „harten Brexits“ vorbereitet zu sein. Ein Blick auf ausgewählte Anwendungsfälle der DSGVO für Unternehmen mit Sitz in der EU verdeutlicht die Tiefe der anstehenden Herausforderungen.
Ein zentraler Anwendungsfall ist die Auftragsverarbeitung (AV). Grundsätzlich ist mit dem Dienstleister ein Vertrag über die Auftragsverarbeitung zu schließen, egal ob der Dienstleister innerhalb oder außerhalb der EU ansässig ist. Zusätzlich gilt jedoch folgendes, wenn der Dienstleister außerhalb der EU sitzt (was im Falle eines Brexits für UK-Unternehmen vorliegen würde):
a) Der Verantwortliche oder Auftraggeber kann mit den Empfängern der Daten im UK vertraglich ein bestimmtes Schutzniveau festlegen. Das geschieht auf dem Fundament der sog. Standardvertragsklauseln, die die EU-Kommission genehmigt hat. Die Standards müssen mit dem jeweiligen Partner im UK vertraglich geregelt werden. Konkret: sie werden bei bestehenden Verträgen als Nachtrag hinzugefügt oder als „Stand Alone-Agreement abgeschlossen.
b) Binding Corporate Rules: Unterwirft sich ein Konzern verbindlichen internen Daten-schutzvorschriften und werden diese von der zuständigen Aufsichtsbehörde genehmigt, so kann die Datenübermittlung in ein Drittland stattfinden. Vorsicht: es handelt sich um aufwändiges und daher zeitintensives Verfahren. Auch kann dies nur im eigenen Konzern Anwendung finden, sowohl bei einer konzerninternen Auftragsverarbeitung als auch bei einer konzern-internen Datenübermittlung.
Unterauftragnehmer im Rahmen der Auftragsverarbeitung bilden einen weiteren Anwendungsfall, der in den Blick genommen werden muss. Bereits jetzt sollte in einem AV-Vertrag geregelt sein, wie bei der Beauftragung eines Unterauftragnehmers (insbesondere in einem Drittland) durch einen Auftragnehmer zu verfahren ist. Wenn dazu nichts geregelt wurde, liegt der Fall klar: eine Inanspruchnahme von Unterauftragsverarbeitern durch den Auftragsverarbeiter ist ohne schriftliche Genehmigung des Verantwortlichen ausgeschlossen. Falls solche Passagen im AV-Vertrag bzgl. Datentransfers in Drittländer vorhanden sind, sollte eine Konkretisierung für Unterauftragnehmer in dem zukünftigen Drittland UK erarbeitet werden. „Wir empfehlen für zukünftige Verträge mit Dienstleistern, dass jede Art der Verlagerung in ein Drittland der vorherigen Zustimmung des Auftraggebers bedarf und klare Bedingungen der Verlagerung definiert werden“, rät Dr. Jörn Voßbein.
Dies bedeutet: Bis zur Anerkennung eines angemessenen Datenschutzniveaus in UK muss die Einhaltung eines angemessenen Datenschutzniveaus beim Datenexport auf andere Weise sichergestellt werden. Andernfalls müssten zum Stichtag (29. März 2019) alle Datentransfers nach UK beendet werden.