– Helfen die bekannten Vereinbarungen zur Auftragsdatenverarbeitung noch weiter? –
Die zwischenzeitliche Aufregung um den BREXIT hat sich zwar in der breiten Öffentlichkeit gelegt, doch die Bewertung der Folgen findet seitdem in den betroffenen Unternehmen statt. Aus rechtlicher Sicht betroffen sind insbesondere das Vertragsrecht, das Steuerrecht, das Bankrecht sowie das Markenrecht. Nicht zuletzt aus Compliance- Gesichtspunkten bleiben hier für Unternehmen noch viele Fragen offen. Auch in Bezug auf den Datenschutz ergeben sich weitreichende Überlegungen und Fragen, die bereits zum jetzigen Zeitpunkt adressiert und konzeptioniert werden müssen.
Für Unternehmen gilt es jetzt nicht nur die weitreichenden Folgen der neuen EU-Daten- schutzgrundverordnung (DSGVO) zu berücksichtigen und Prozesse im Bereich der Dokumentation von Verfahren, den Rechten Betroffener und den Umgang mit Dienstleistern einzuführen. Sie sind zudem gehalten mit einem Auge auch die Entwicklungen in Großbritannien zum EU-Austritt zu beobachten und entsprechende Maßnahmen vorzubereiten.
Es ist davon auszugehen, dass bis zu einem möglichen Austritt die UK- Aufsichtsbehörden alles daran setzen werden, dass die Anforderungen der EU- Datenschutzgrundverordnung entsprechend umgesetzt werden. D.h. Unternehmen, die sowohl in Großbritannien als auch in der EU tätig sind, werden weiterhin einheitlich die Einführung der EU-DSGVO bis zum Jahr 2018 vorantreiben können. Da nicht davon auszugehen ist, dass der BREXIT bis zum Wirksamwerden der DSGVO am 25.05.2018 vollzogen wurde, wird sich der Datenschutz zunächst nach den neuen DSGVO- Vorgaben ausrichten. In einem ersten Schritt sollte daher die Verarbeitung personenbezogener Daten in den Unternehmensprozessen den Regelungen der DSGVO entsprechen.
Dennoch sollten Unternehmen, die bereits mit Bestandsaufnahmen und GAP-Analysen zum Datenschutz in Ihren Abteilungen begonnen haben, darauf achten, dass es sich bei Großbritannien nach einem BREXIT zunächst um ein Drittland, wie die Philippinen oder Indien handelt. Dies hat eine aufwändige rechtliche Prüfung zur Folge, die dazu führt, dass je nach Datenkategorie gesonderte vertragliche oder technische Maßnahmen getroffen werden müssen. Eine Übermittlung auf Basis der Regelungen zur Auftragsdatenverarbeitung wäre zunächst nicht möglich.
Nur für den Fall, dass die EU-Kommission einen sogenannten Angemessenheitsbeschluss trifft, der feststellt, dass ein angemessenes Datenschutzniveau in Großbritannien herrscht, könnten vereinfachte Regeln zur Übermittlung greifen.
Man kann heute davon ausgehen, dass die entsprechende Behandlung Großbritanniens als sicheres Drittland mit angemessenem Datenschutzniveau das Ergebnis sein wird. Der Knackpunkt ist allein, zu welchem Zeitpunkt dies geschieht, da hierfür eine Kommissionsentscheidung herbeigeführt werden muss. Das heißt ein Datenaustausch zwischen EU und Großbritannien wird erst danach weiterhin auf Basis der vereinfachten EU-rechtlichem Vorgaben möglich sein.
Bis dahin ist es jedoch erforderlich, dass der Datenaustausch mit Großbritannien nach einem EU-Austritt wie mit einem Drittland durchzuführen ist.
Jedenfalls sollten Unternehmen bereits jetzt entsprechende Verfahren und Prozesse identifizieren können, die eine besondere Behandlung erforderlich machen. An dieser Stelle ist darauf hinzuweisen, dass von den Aufsichtsbehörden demnächst neue, an die
DSGVO angepasste EU-Standardvertragsklauseln (EU Model-Clauses) konzeptioniert werden. Diese sind dann auch mit Dienstleistern oder konzernverbundenen Unternehmen abzuschließen und es ist zudem auf einen datenschutzkonformen Austausch zu achten. Letztendlich ist jeder Transfer personenbezogener Daten nach Großbritannien daraufhin abzuklopfen, inwiefern es hier Möglichkeiten zur datenschutzkonformen Übermittlung gibt. Diese werden sich maßgeblich daran orientieren, ob es sich bei Großbritannien um ein Drittland mit angemessenem Datenschutzniveau handelt oder nicht.
Unberücksichtigt bleiben darf auch nicht der Umstand, dass zukünftige Beschlüsse zur Angemessenheit des Datenschutzniveaus und der daraus resultierenden Stellung eines Landes kritischer geprüft werden müssen, wie die Safe Harbor – Entscheidung des EUGH festgestellt hat. Diese hatte insbesondere die Aktivitäten der NSA und weiterer Geheimdienste in den USA kritisiert. Ähnliches könnte auch im Falle der britischen Geheimdienste eine Entscheidung verzögern.
Für Unternehmen, die Daten nach Großbritannien übermitteln oder dort speichern, ist es nicht empfehlenswert, abzuwarten bis Großbritannien zu einem Drittland mit angemessenem Datenschutzniveau erklärt wird. Zwischenzeitliche Übermittlungen wären dann nicht datenschutzkonform und können empfindliche Bußgelder nach DSGVO zur Folge haben.
Die starren EU-Standardvertragsklauseln werden daher für die Unternehmen nach einem BREXIT und vor einem Angemessenheitsbeschluss zum Datenschutz in UK das Mittel der Wahl sein. Um den Einsatz dieser Vereinbarungen so effektiv wie möglich zu gestalten, ist eine gute Kenntnis der Verfahren mit personenbezogenen Daten im Unternehmen erforderlich. So werden Unternehmen in die Lage versetzt, die Prozesse herauszufiltern, die einen Bezug zu Großbritannien haben und entsprechende Alternativen zu suchen oder frühzeitig in die Verhandlungen zu den neuen Vertragsbedingungen einzusteigen.
(Philipp Frenz, Creditreform Compliance Services GmbH)
