Der Countdown läuft. Die Datenschutzwelt blickt in diesen Tagen gespannt nach Großbritannien und stellt sich die Frage, wie sich zukünftig der Datentransfer zwischen dem Vereinten Königreich Großbritannien und Nordirland (im Folgenden: VK) und der Europäischen Union (im Folgenden: EU) gestaltet. Am vergangenen Freitag berichteten bereits unsere englischen IusLaboris-Kollegen von Lewis Silkin (Beitrag hier abrufbar), deren Ausführungen wir im Folgenden insbesondere auch um den Standpunkt der Aufsichtsbehörden ergänzen möchten.
Mögliche Austrittsszenarien
Arbeitgeber, die mit dem VK personenbezogene Daten austauschen, müssen sich gedanklich mit zwei Austrittszenarien befassen:
Gelingt es den Verhandlungsführern, den derzeitigen Entwurf eines Austrittsabkommens zu ratifizieren („Deal-Brexit“), gelten nach wie vor die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und dürfen Datenströme wie bislang fließen. Das Abkommen statuiert für diesen Fall einen Übergangszeitraum bis Ende des nächsten Jahres, der zudem vor dem 1. Juli 2020 um ein beziehungsweise zwei Jahre verlängert werden kann. Ein geregelter Austritt verschaffte Unternehmen zumindest ausreichend Zeit, um sich auf eine etwaige Zersplitterung des europäischen Datenschutzrechts einstellen zu können.
Ob eine solche tatsächlich in massivem Umfang eintritt, darf jedoch bezweifelt werden. Für den Fall des Scheiterns der Verhandlungen („No-Deal-Brexit“) wird das VK zwar zu einem sogenannten „Drittland“ und findet die sogenannte „Zwei-Stufen-Prüfung“ Anwendung (Stufe 1: Werden unabhängig von den in Art. 45 ff. DS-GVO genannten spezifischen Anforderungen an Datentransfers in Drittländer auch sämtliche anderweitigen Vorgaben der DS-GVO eingehalten? Wenn ja, folgt Stufe 2: Hält sich die im Verarbeitung in dem durch Art. 45 ff. DS-GVO gezogenen Rahmen?).
Gewährleistung eines angemessenen Datenschutzniveaus
Allerdings könnte die Europäische Kommission per „Angemessenheitsbeschluss“ dem VK den Status eines sicheren Drittlandes attestieren. Auf dieser Grundlage erfolgende Datentransfers werden solchen innerhalb der EU gleichgestellt und privilegiert. Aber auch jenseits eines solchen Angemessenheitsbeschlusses verbleiben noch verschiedene Möglichkeiten, für einen ausreichenden Datenschutz zu sorgen (Standarddatenschutzklauseln, Binding Corporate Rules etc.). In anderen Fällen wird sich ein Verantwortlicher auch auf Ausnahmen berufen können, die den Transfer in ein Drittland legitimieren, etwa wenn die Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten oder zur Wahrung von Gemeinwohlinteressen erfolgt.
Praktischer Handlungsbedarf
Für betroffene Arbeitgeber ist es höchste Zeit, sich der Konsequenzen eines möglichen Datenschutz-Brexits vor Augen zu führen. Dies setzt zum einen eine Prüfung der Vertragswerke (auch etwa im Hinblick auf Auftragsverarbeitungsverhältnisse) auf Aktualität voraus. Zum anderen sollte besonderes Augenmerk auf die Gewährleistung der Maßnahmen nach Kapitel V DS-GVO gelegt werden. Hier gilt es insbesondere die Vorgaben des Europäischen Datenschutzausschusses (EDSA) zu berücksichtigen (hier abrufbar), für die auch eine inoffizielle deutsche Arbeitsübersetzung vorliegt (hier abrufbar).
Sollte der Datenschutz-Brexit Realität werden, müssen Verantwortliche bei dem Transfer von personenbezogenen Daten in das Drittland im Kern jedenfalls folgende fünf Maßnahmen ergreifen:
- Festlegung, welche Verarbeitungen eine Übermittlung personenbezogener Daten an das VK mit sich bringen
- Festlegung des geeigneten Datentransferinstruments für die Situation
- Umsetzung dieses Instruments dergestalt, dass es für den Fall des Brexits einsatzbereit ist
- Interne Dokumentation darüber, dass Übermittlungen in das VK erfolgen werden
- Entsprechende Aktualisierung des Datenschutzes zur Information der Einzelpersonen
Die unter Nr. 4 und 5 genannten Schritte verlangen von Verantwortlichen dabei mit Blick auf den datenschutzrechtlichen Transparenzgrundsatz insbesondere, Betroffene über etwaige Datentransfers in das VK gemäß Art. 13, 14 DS-GVO zu informieren sowie auf Verlangen der Betroffenen auch nach Maßgabe von Art. 15 DS-GVO Auskunft über die Datenübermittlungen in das VK sowie die ergriffenen geeigneten Datenschutzgarantien zu erteilen. Darüber hinaus müssen die Datentransfers nebst der weiteren erforderlichen Angaben in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) aufgenommen werden.
Fazit
Der Brexit fordert Arbeitgebern auch in datenschutzrechtlicher Hinsicht einiges ab. Wenngleich nach wie vor abzuwarten bleibt, wie sich die parlamentarische Debatte in Großbritannien entwickelt, sind Unternehmen aufgerufen, sich mit angemessenen Datenschutzmaßnahmen auf den Ernstfall vorzubereiten und bereits jetzt Strategien zu überlegen, um auch zukünftig einen zulässigen Datentransfer mit dem VK sicherzustellen.