Brexit und Datenschutz: Erforderliche Sofortmaßnahmen

Am 16.1.2019 stimmte das britische Unterhaus leider gegen den ausgehandelten Brexit-Deal, sodass ein ungeordneter Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union nunmehr ernsthaft zu befürchten ist und kurzfristig bevorsteht. Selbst wenn die Hoffnung nicht endet, dass der Brexit doch noch gestoppt wird und der UK Teil der EU bleibt, sollten sich Unternehmen jetzt auf Last Minute zu treffende Notfallmaßnahmen vorbereiten.

Der D-Day für die Bewertung von UK als Drittland ist bis auf weiteres der 29.03.2019. Bis dahin sollten Unternehmen folgende Fragen stellen:

  • Werden weisungsgebundene Dienstleister oder sonstige Kooperationspartner eingesetzt, die ihren Unternehmenssitz in UK haben oder dort zumindest Daten abspeichern?
  • Hat das Unternehmen selbständige oder unselbständige Niederlassungen bzw. Vertriebsmitarbeiter in UK?
  • Setzt ein Dienstleister/Auftragsverarbeiter Subdienstleister in UK ein?

Wenn eine dieser Fragen mit „Ja“ beantwortet werden kann, müssen Maßnahmen zur Sicherstellung des Datenschutzniveaus getroffen werden. Diese Maßnahmen sollten bereits jetzt vorbereitet werden, um im Falle eines tatsächlichen No-Deal-Brexits vorbereitet zu sein und umgehend die Maßnahmen ergreifen zu können.

Abschluss von EU-Standard-Vertragsklauseln/Vorgaben an Drittstaatentransfers

Da der UK im Falle eines No-Deal-Brexits ein Drittland (vergleichbar zu den USA, China oder Simbabwe) wird, müssen die ergänzenden Vorgaben an Drittstaatentransfers nach Art. 44 ff. DSGVO eingehalten werden. Schnell umgesetzt werden können die Standardvertragsklauseln, die durch beide Parteien abgeschlossen werden müssen. Die Partei in UK verpflichtet sich damit zur Einhaltung gewisser Datenschutzstandards, die denen in der EU nahestehen. Aufgrund der bisherigen Gültigkeit der DSGVO ist davon auszugehen, dass diese Grundprinzipien britischen Unternehmen bekannt sein sollten und eine Berücksichtigung erwartet werden kann. Diese Vertragsklauseln sollte sowohl mit Auftragsverarbeitern als auch anderen Verantwortlichen abgeschlossen werden. Auch gruppenintern können solche Klauseln zur Absicherung der Datentransfers dienen. Selbst im Falle von unselbständigen Niederlassungen in UK (z.B. einzelne Vertriebsmitarbeiter) sollten – aufgrund der wohl herrschenden Meinung in der datenschutzrechtlichen Literatur – mit diesen die Standardvertragsklauseln abgeschlossen werden.

Anpassung der Datenschutz-Informationen

Weiterhin sind erweiterte Informationspflichten zu berücksichtigen: Die an Betroffene bereitgestellten Datenschutzerklärungen (bspw. bei Website-Nutzung, für Geschäftspartner oder Mitarbeiter) müssen aktualisiert werden. Gem. Art. 13 Abs. 1 Satz 1 lit. f und 14 Abs. 1 Satz 1 lit. f DSGVO muss über die Absicht der Datenübermittlung in ein Drittland gesondert informiert werden. Dies gilt auch bei gruppeninternen Datentransfers oder wenn einzelne unselbständige Vertriebsmitarbeiter Daten europäischer Bürger erhalten können. Damit einher geht die Information im Falle der Geltendmachung eines Auskunftsrechts nach Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO.

Weitere formale Vorgaben zum Datenschutz aufgrund des Brexit

Ergänzend müssen die Übermittlungen in Drittländer in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden (Art. 30 Abs. 1 lit. d und e bzw. Art. 30 Abs. 2 lit. c DSGVO. Der Landesdatenschutzbeauftragte Rheinland-Pfalz weist zudem darauf hin, dass Datenschutzfolgenabschätzungen erstmals durchzuführen bzw. zu aktualisieren sind, soweit eine Datenübermittlung in ein Drittland betroffen ist.

Werden zudem Datenverarbeitungen mit einem Transfer nach UK auf eine Einwilligung gestützt, sind die ergänzenden Informationen nach Art. 49 Abs. 1 lit. a DSGVO zu erteilen: Die Betroffenen sind über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien zu unterrichten. Ggf. müssten Einwilligungserklärungen daher ergänzt und dann neu eingeholt werden.

Soweit eine Konzern-/Gruppengesellschaft bzw. eine Niederlassung/Vetriebsmitarbeiter in UK ansässig sind, kann es zudem erforderlich werden, dass bis zum Stichtag ein Vertreter nach Art. 27 DSGVO innerhalb der EU bestellt werden muss. Dies gilt jedoch nur, wenn auf die UK-Einrichtung Art. 3 Abs. 2 DSGVO Anwendung findet, also wenn die Einrichtung EU-Bürger überwacht (z.B. durch Online-Tracking) oder zielgerichtet Produkte für EU-Bürger anbietet und daher deren Daten verarbeitet.

Nützliche Links zu Datenschutz und Brexit

Autor: RA Dr. Matthias Lachenmann

Alle Ihre Ansprechpartner im Datenschutzrecht:

RA Dr. Stefan Drewes, Tel.: +49 (228) 6 20 90 60,

RA Dr. Matthias Lachenmann, Tel.: +49 (228) 6 20 90 80,

RA Dr. Wolfgang Walchner, Tel.: +49 (228) 6 20 90 80,

RA Sebastian Wilfling, Tel.: +49 (228) 6 20 90 80,