Allianz: Brexit & GDPR: Datenübertragungen in Drittländer
Nach den Vorgaben der DSGVO ist eine Übermittlung personenbezogener Daten in ein Drittland (das ist ein Staat außerhalb der EU) nur dann zulässig, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet und das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Regelungen zur Zulässigkeit einer Datenübermittlung in ein Drittland finden sich in den Art. 44-49 DSGVO. Da Großbritannien kein EU-Mitglied mehr ist, gilt es mit dem Ende der vereinbarten Übergangsphase nach dem 30. Juni 2021 grundsätzlich als Drittland.
Angemessenheitsbeschluss
Wie dargestellt, erfolgt die Feststellung, ob für die Datenübermittlung in ein Drittland ein angemessenen Schutzniveau gewährleistet ist, u. a. per Angemessenheitsbeschluss. Anerkennt die Europäische Kommission mit einem Angemessenheitsbeschluss, dass ein ausreichendes Schutzniveau in einem Drittland gewährleistet ist, dürfen Verantwortliche aus EU-Mitgliedstaaten personenbezogene Daten in dieses Drittland übermitteln, ohne dass darüber hinaus zusätzliche Garantien erforderlich sind.
Alternative Rechtsgrundlagen
Neben einem Angemessenheitsbeschluss kommen bspw. noch folgende Rechtsgrundlagen in Betracht:
- Standarddatenschutzklauseln,
- Ad-hoc-Verträge, die durch die zuständige Datenschutzbehörde autorisiert wurden,
- Binding Corporate Rules (BCR), die durch die zuständige Datenschutzbehörde autorisiert wurden,
- Einholung der ausdrücklichen Einwilligung von betroffenen Personen, soweit sie auf das Fehlen eines Angemessenheitsbeschlusses und angemessener Sicherheitsmaßnahmen hingewiesen wurden; oder
- bei Fehlen eines Angemessenheitsbeschlusses und angemessener Sicherheitsmaßnahmen: Durchführung oder Abschluss eines Vertrags, Übermittlung aus wichtigen Gründen des öffentlichen Interesses oder Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Zu klären ist, welche der von der DSGVO vorgesehenen, alternativen Rechtsgrundlagen für den Datentransfer geeignet ist. Dafür bedarf es einer Prüfung im Einzelfall samt Risikoevaluierung (Häufigkeit des Datentransfers, Datenarten, sonstige Verarbeitungskriterien etc.).
Im Hinblick auf die kürzlich ergangene “Schrems”-Entscheidung des EuGH ist bei dem Einsatz der EU-Standardvertragsklauseln darauf zu achten, dass stets eine Risikobewertung im Hinblick darauf erfolgen muss, ob das geltende Recht im Zielland ein angemessenes Datenschutzniveau gewährleistet. Was das für die Praxis bedeutet, bleibt abzuwarten.
Sanktionen bei Verletzung von Art. 44 ff. DSGVO
Wenn keine valide Rechtsgrundlage für eine Datenübertragung gegeben ist, liegt ein Verstoß gegen die DSGVO vor und es droht eine Strafe in Höhe von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes.
Unternehmen müssen daher unverzüglich reagieren, sollte die Kommission nach Ende der Übergangsphase keinen Angemessenheitsbeschluss zu Großbritannien fassen.
Autor: Dr. Karolin Nelles