Datenübermittlung in das Vereinigte Königreich (nach dem 31.12.2020 ohne UK-EU-Abkommen)
Aus gegebenem Anlass möchten wir Sie über die Datenübermittlung in das Vereinigte Königreich informieren und nachfolgende Hinweise und Empfehlungen näherbringen.
I. Vereinigtes Königreich als Drittstaat?
Durch den Austritt des Vereinigten Königreichs aus der Europäischen Union zum am 31. Januar 2020 gilt diese nun auch als Drittstaat. Allerdings gilt seit dem 01. Februar 2020 bis zum 31.12.2020 der zwischen dem Vereinigten Königreich und der Europäischen Union verhandelte Austrittsabkommen, sodass bis zum 31.12.2020 eine Datenverarbeitung in dem Vereinigten Königreich weiterhin zulässig ist.
Soweit jedoch kein Handelsabkommen oder ähnlichen vertraglichen Regelungen zwischen dem Vereinigten Königreich und der Europäischen Union für die Zeit nach dem 31.12.2020 getroffen werden, ist zu beachten das eine Datenübermittlung ohne weiteres nicht möglich ist.
II. Datenverarbeitung aufgrund besonderer Vorgaben
Eine Datenübermittlung (ohne Abkommen zwischen der EU und UK) nach dem 31.12.2020 im Vereinigten Königreich setzt voraus, dass zusätzlich zu einer Rechtsgrundlage gem. Art. 6 DS-GVO ebenfalls die besonderen Vorgaben gem. Art. 44 ff. DS-GVO berücksichtigt werden.
Soweit die EU-Kommission hier gem. Art. 45 DS-GVO keinen Angemessenheitsbeschluss erlässt ist zu beachten, dass eine Datenübermittlung gem. Art. 46 DS-GVO zulässig sein kann, soweit im Empfängerstaat ein vergleichbares Schutzniveau zum Schutze der personenbezogenen Daten besteht. Eine Übermittlung wäre demnach möglich, wenn geeignete Garantien vorhanden sind, welche den betroffenen Personen die Durchsetzung dessen Rechte wirksam durch Rechtsbehelfe gelten machen können. Solche Garantien können durch verbindliche interne Datenschutzvorschriften innerhalb von Unternehmensgruppen (die sog. Binding Corporate Rules-BCR) oder die EU-Standarddatenschutzklauseln sein.
III. Vergleichbarer datenschutzrechtlicher Schutz
Zunächst ist festzuhalten, dass das Vereinigte Königreich bereits mit den sog. UK DPA (Data Protection Act) 2018 Regelungen getroffen haben, welche im Grundsatz die Vorgaben der DS-GVO entsprechend berücksichtigt. Da die DS-GVO als solche jedoch nach dem 31.12.2020 keine Anwendung mehr in dem Vereinigten Königreich findet, hat die britische Regierung hierfür bereits Maßnahmen ergriffen und die UK DPA 2018 angepasst. Hier wurden Regelungen in der „Data Protection, Privacy and Electronic Communications Regulation 2019“ kurz UK-GDPR verabschiedet. Diese greift die Regelungen der UK DPA 2018 auf und passt sich den Regularien der DS-GVO weitgehend an.
Damit liegt bereits ohne Abkommen nach dem 31.12.2020 ein vergleichbares Schutzniveau in den Vereinigten Königreich vor, sodass eine Datenübermittlung zulässig sein kann, soweit weitere Maßnahmen berücksichtigt werden.
IV. Notwendige Maßnahmen
Um demnach eine DS-GVO konforme Datenübermittlung durchzuführen ist es zunächst unerlässlich, mit Auftragsdatenverarbeitern oder Verantwortlichen in dem Vereinigten Königreich die obligatorischen EU-Standardvertragsklauseln abzuschließen und zu prüfen inwiefern eine Datenübermittlung der Vertragspartner in weiteren Drittstaaten erfolgt.
Wir empfehlen Ihnen somit folgende Maßnahmen:
- Zunächst sollten die entsprechenden Auftragsdatenverarbeiter oder Verantwortliche mit denen Sie zusammenarbeiten anhand ihrer Auftragsdatenverarbeitungsverzeichnisse herausgearbeitet werden, welche eine Datenverarbeitung in dem Vereinigten Königreich durchführen;
- Anschließend sollten Sie die EU-Standardvertragsklauseln vorlegen, welche zu unterzeichnen sind;
- Weiterhin sollte geprüft werden, welche Unterauftragsverarbeiter im Auftragsdatenverarbeitungsvertrag vereinbart bzw. von Ihnen genehmigt wurden;
- Im nächsten Schritt
ist sodann zu prüfen, ob eingesetzte Vertragspartner eine Datenübermittlung an
Drittstatten durchführen, welche im Sinne der DS-GVO problematisch sind.
- Stellen Sie fest, dass eine Datenübermittlung in weiteren Drittstatten, vor allem in den USA erfolgt, sind hier u.a. Anweisungen zu erstellen in der Sie die Datenverarbeitung vorerst einzustellen haben, bis ein vergleichbarer Schutz festgestellt wurde, welche für die USA ohne weiteres problematisch ist.
- Zuletzt wäre es für solche Auftragsdatenverarbeiter unerlässlich unsere Zusatzvereinbarung zu den EU-Standardvertragsklauseln vorzulegen und unterzeichnen zu lassen, sodass Sie ihre Haftung bzw. das Risiko reduzieren können.
Fazit
Eine Datenübermittlung in das Vereinigte Königreich stellt uns alle vor eine Herausforderung, da wir nicht feststellen können, ob eine vertragliche Regelung zwischen der EU und dem Vereinigten Königreich erreicht werden kann. Um das Risiko einer rechtswidrigen Verarbeitung zu verhindern, ist der Abschluss der EU-Standardvertragsklauseln notwendig. Eine auf dieser geeigneten Garantie gestützte Verarbeitung ist auch ohne UK-EU-Abkommen nach dem 31.12.2020 möglich, da das Vereinigte Königreich mit den gesetzlichen Regelungen einen vergleichbaren Schutz für die Verarbeitung personenbezogener Daten anbietet.