Über die Frage, wann ein Datenschutzverstoß zu einem Schaden(s)ersatzanspruch der Betroffenen nach der DSGVO führt, wird unter Juristen eifrig diskutiert. Insbesondere in der Literatur - wohl auch, um den Datenschutzvorschriften noch mehr Nachdruck zu verleihen - wird vielerorts vertreten, dass das reine Vorliegen eines Datenschutzverstoßes auch immer einen immateriellen Schaden herbeiführt und damit einen Schadensersatzanspruch auslöst - jedenfalls solange es sich nicht nur um einen reinen Formverstoß wie bspw. eine fehlende oder unvollständige Dokumentation handelt.
Datenschutzrechtliche Auswirkungen des Brexit
Dienstag, 28. April 2020
Der EU-Austritt des Vereinigten Königreichs (allgemein als Brexit bezeichnet) erfolgte am 31. Januar 2020. Das zwischen der EU und dem Vereinigten Königreich (UK) geschlossene Austrittsabkommen, welches am 24. Januar 2020 unterzeichnet wurde, sieht eine Übergangsphase bis zum 31. Dezember 2020 vor. Während dieser Übergangsphase wird das UK weiter wie ein EU-Mitgliedstaat behandelt, sodass die DSGVO bis zum Ende der Übergangsphase fort gilt. Bis zum 01. Juli 2020 könnten die EU und das UK noch einmalig entscheiden, diese Übergangsphase noch weiter für einen Zeitraum von bis zu zwei Jahren zu verlängern.
Nach dem Ende des Übergangszeitraums (derzeit zum 01.01.2021) gelten für das UK die DSGVO-Vorschriften bezüglich eines außereuropäischen Drittlandes. Daher findet ab diesem Zeitraum unmittelbar Kapitel V der DSGVO Anwendung, dessen Einhaltung jede Stelle, die personenbezogene Daten in ein Drittland übermittelt, beachten muss (Art. 44 DSGVO).
Wie wird sich das britische Datenschutzrecht nach dem 31. Dezember 2020 ändern?
Zunächst sah es nach Information des Commissioner’s Office (ICO) danach aus, als wolle die britische Regierung die DSGVO größtenteils in das nationale Recht implementieren. Dies wurde nach einer Äußerung des Premierministers Boris Johnson, zukünftig eine von der DSGVO losgelöste und unabhängige Linie verfolgen zu wollen, wieder in Frage gestellt.
Die Entwicklung des britischen Datenschutzrechts und damit die datenschutzrechtliche Beziehung des UK zu der EU nach dem 31. Dezember 2020 ist deshalb derzeit weiterhin unklar.
Was muss zukünftig bei der Übermittlung von personenbezogenen Daten in das UK beachtet werden?
Bis zum Ablauf des Übergangszeitraums, also bis zum 31.12.2020, wird das UK datenschutzrechtlich weiterhin behandelt wie ein EU-Mitgliedstaat. Es ergeben sich bis dahin keine weiteren Besonderheiten.
Ab dem 01.01.2021 gilt für die Übermittlung von personenbezogenen Daten jedoch das Kapitel V der DSGVO. Bei der zukünftigen Übermittlung personenbezogener Daten in das UK muss demnach sichergestellt werden, dass ein angemessenes Schutzniveau gewährleistet werden kann. In Kapitel V der DSGVO werden Optionen für Unternehmen aufgezeigt, um ein angemessenen Schutzniveaus bei der Datenübermittlung zu gewährleisten.
Am praktikabelsten wäre es für Unternehmen, um das erforderliche Schutzniveau zu gewährleisten, wenn die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen würde. In einem solchen Angemessenheitsbeschluss bestätigt die Kommission, dass das Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland ein angemessenes Schutzniveau bietet. Eine Beurteilung der Europäischen Kommission, um einen solchen Angemessenheitsbeschluss zu erlassen, kann aber erst hinsichtlich des neuen britischen Datenschutzrechts erfolgen. Aufgrund der Unsicherheit darüber, ob die Implementierung der DSGVO in das britische Datenschutzrecht erfolgen soll oder dieses losgelöst von der DSGVO ausgestaltet wird, ist die Wahrscheinlichkeit, dass ein Angemessenheitsbeschluss innerhalb der Übergangsfrist oder kurz darauf erlassen wird, eher fernliegend. Deshalb muss der für die Datenverarbeitung Verantwortliche oder ein Auftragsverarbeiter andere Maßnahmen ergreifen, um das Schutzniveau zu gewährleisten.
Die betroffenen Unternehmen müssen daher zunächst geeignete Garantien gemäß Art. 46 Abs. 1 DSGVO vorsehen.
EU-Unternehmen sollten identifizieren, welche Verarbeitungstätigkeiten eine Übermittlung von personenbezogenen Daten an das UK bedeuten und dann das geeignete Datenübertragungsinstrument bestimmen und implementieren. Hier bieten sich neben den SCC’s (Standard Contractual Clauses) nach Art. 46 II lit c, d DSGVO und den BCR’s (Binding Corporate Rules) nach Art. 47 DSGVO noch Verhaltensregeln sowie Zertifizierungsmechanismen (Art. 40 f. DSGVO) und Ausnahmeregelungen (Art. 49 DSGVO) an.
Am relevantesten werden dabei voraussichtlich die von der Kommission erlassenen oder genehmigten SCCs werden, soweit sie auf den jeweiligen Sachverhalt passen.
Welche Garantien dabei für das Unternehmen am praktikabelsten sind, kann jedoch nicht allgemein, sondern nur für den jeweiligen Einzelfall beurteilt werden.
Worauf müssen Unternehmen für die Zeit ab dem 01.01.2021 achten?
- Bereits abgeschlossene Datenschutzverträge und jegliche Datenschutzinformationen müssen gegebenenfalls für den Zeitraum ab dem 01.01.2021 angepasst werden.
- In den Datenschutzerklärungen muss nun darauf hingewiesen werden, wenn personenbezogene Daten in das UK und damit in ein nichteuropäisches Drittland übertragen werden. Auch muss dabei über die verwendeten Datenschutzgarantien informiert werden.
- Weil auch in Verarbeitungsverzeichnissen Datenübertragungen in Drittländer kenntlich gemacht werden müssen, sollten die Prozesse innerhalb des Unternehmens noch einmal überdacht und eventuell die geforderten Angaben in den Verarbeitungsverzeichnissen ergänzt werden.
