Im ersten Teil dieses Beitrages haben wir die Folgen des No Deal Brexit, also des Austritts Großbritanniens aus der EU, ohne dass der Austrittsvertrag in Kraft tritt, beschrieben. Hier soll es nun darum gehen, was Sie als Unternehmen beachten müssen.

Wir gehen jetzt einfach mal davon aus, dass Sie Ihren Unternehmenssitz in Deutschland haben, aber befürchten, dass Ihre Geschäfte mit Handelspartner im Vereinigten Königreich (VK) in Mitleidenschaft gezogen werden könnten. Im Fall, dass Sie keine Handels- oder Geschäftspartner in Großbritannien haben, wird Sie der Brexit wahrscheinlich nur indirekt betreffen.

Als wichtigster Punkt sind hier erstmal die Auftragsverarbeitungsverträge nach Art. 28 DSGVO und § 62 BDSG zu nennen – vor allem wenn Sie Daten nach VK geben. Wenn Sie von dort nur Daten bekommen, ist dies weit weniger problematisch. 

Die Verarbeitung von Daten in einem Drittland kann aber nicht nur für die Verträge mit Ihren Dienstleistern, sondern auch für die mit Ihren Kunden relevant sein. Zuletzt geht es hier um Informationspflichten, und um die Risikobewertung. Aber alles der Reihe nach:

1. Überprüfen Sie die Verträge mit Ihren Dienstleistern

• Als erstes sollten Sie sich eine Übersicht verschaffen, ob Sie personenbezogene Daten nach Großbritannien geben. Meistens wird das der Fall sein, wenn Sie einen Dienstleister in Großbritannien haben. Vielleicht ein Übersetzungsbüro, einen Exporteur oder einen Finanzdienstleister? Wenn nicht, dann sind Sie in diesem Punkt schonmal sicher.
  
  
• Wenn dies der Fall ist, dann müssen Sie jetzt einen Blick in den Auftragsverarbeitungsvertrag (AV Vertrag) werfen, der diesen Datentransfer regelt (sollten Sie keinen haben, kümmern Sie sich da besser schnellstens drum – sonst droht ein Bußgeld!). Das VK wird aller Wahrscheinlichkeit nach, nach dem 29.3.2019 ein Drittland sein, für das noch kein Angemessenheitsbeschluss (auch Angemessenheitsentscheidung genannt) der EU Kommission vorliegt – für das also die Sicherheit der Datenverarbeitung nicht allgemein angenommen werden darf.
  

  Der AV Vertrag wird wahrscheinlich eine Bestimmung enthalten, dass die Daten nur innerhalb der EU oder EEA verarbeitet werden dürfen, und das eine Verlagerung in ein Drittland nur dann erlaubt ist, wenn die Sicherheit der Verarbeitung dort gewährleistet ist – oder so ähnlich formuliert. Manchmal wird dort auch festgelegt, wie denn die Sicherheit der Verarbeitung gewährleistet werden kann.

  Auf diese Bestimmung kommt es jetzt an.

2. Passen Sie diese Verträge an

Die Vertragsbeziehungen mit Ihrem Vertragspartner in Großbritannien müssen jetzt also so gestaltet werden, dass die Sicherheit der Verarbeitung dort gewährlistet wird. Das wird auch im relevanten DSK Kurzpapier erklärt.

• In aller Regel wird es darauf hinauslaufen, dass mit den Dienstleistern im VK Verträge nach den Standardvertragsklauseln abgeschlossen werden müssen. Diese sind inhaltlich kaum strenger als "normale" AV Verträge – es gibt da also wenig zu befürchten.
  

  Der entscheidende Unterschied zu anderen AV Verträgen ist, dass in diesen Verträgen zugesichert wird, dass die Gesetze im Land der Verarbeitung nicht eine Verarbeitung nach den Datensicherheitsstandards der DS-GVO unmöglich machen.

  Für das VK dürfte das aber bis auf Weiteres kein Problem darstellen.

• Wenn Ihre Verträge aber die Verarbeitung in einem Drittland ausschließen, oder aber die Standardvertragsklauseln nicht als Garantie der Datensicherheit akzeptieren, dann gilt es schleunigst den Vertrag anzupassen, oder den Dienstleister zu wechseln.

• Für größere Konzerne als Dienstleister kommen u.U. laut Art. 46 DSGVO auch verbindliche interne Datenschutzvorschriften, oder genehmigte Verhaltensregeln in Betracht – die Handhabung ist hier aber in den meisten Fällen komplizierter. 

3. Überprüfen Sie die Verträge mit Ihren Auftraggebern

Ihr Pflichten zur Gewährleistung der Datensicherheit stammen nicht nur aus dem Gesetz – sie können auch aus Ihren Vertragsbeziehungen stammen. Falls Sie selbst als Dienstleister, also als Auftragsverarbeiter auftreten, müssen Sie jetzt auch diese Verträge durchforsten, ob es hier Bestimmungen gibt, die Ihren Datentransfer nach Großbritannien verbieten würden. (Falls dieser nicht stattfindet, ist auch dieser Punkt für Sie hiermit abgehakt).

Bestimmungen in AV Verträgen, die Sie aufhorchen lassen sollten wäre solche, die den Transfer in ein Drittland verbieten, oder nur in Länder erlauben, für die ein Angemessenheitsbeschluss vorliegt.

In einem solchen Fall müssten Sie mit Ihrem Auftraggeber nachverhandeln – oder sich einen neuen Dienstleister suchen. Da aber das Datenschutzniveau im VK ja nicht über Nacht merklich abgesunken sein wird, kann man hier ja durchaus auf Verständnis der Auftraggeber/ Kunden hoffen.

4. Informationspflichten

Schließlich ist es nicht damit getan, dass Sie Ihre Vertragsbeziehungen in Ordnung bringen – der Datentransfer in ein Drittland zieht weitere Verpflichtungen nach sich. Hier am prominentesten ist die Informationspflicht nach Art. 13 oder 14 DSGVO. Laut diesen Bestimmungen müssen Sie die Betroffenen über einen etwaigen Datentransfer in ein Drittland informieren – bald also wahrscheinlich auch über den Transfer nach England. 

Ihre Pflichtinformationen für Kunden, Nutzer, Mitarbeiter oder sonstige Betroffene muss dann also den Vermerk enthalten, dass die Daten transferiert werden, dass kein Angemessenheitsbeschluss besteht, und eine Erklärung, wie die Datensicherheit im Drittland garantiert wird. Als letztes muss laut Art. 13 (1)(f) DSGVO ein Verweis enthalten sein, wo eine Kopie dieser Garantien erhalten werden kann.

Hier gilt es also die eigenen Formulare und Vorgänge zu durchforsten nach den Dokumenten, die angepasst werden müssen. Wo die Sicherheitsgarantie durch die Nutzung der Standardvertragsklauseln hergestellt wird, ist der Verweis recht einfach, in den anderen Fällen kann eine längere Suche anfallen.

Zu beachten ist hier auch, dass auch die Datenschutzerklärung die Pflichtinformationen enthalten kann – nämlich für Webseitennutzer. Falls diese Daten nach Großbritannien gehen (also ihr Webdienstleister etwa dort sitzt, oder Sie ein Plug-In einer britischen Firma installiert haben, dass Daten transferiert), müsste auch diese angepasst werden.

5. Risikobewertung und Folgenabschätzung

Auch die internen Prozesse werden die veränderte Situation widerspiegeln. Konkret hat der Transfer in ein Drittland Auswirkungen auf die Bewertung des Risikos der Datenverarbeitungstätigkeit, und auf die Notwendigkeit einer Datenschutzfolgenabschätzung. Der Transfer in ein Drittland behaftet die Datenverarbeitung erstmal mit einem höheren Risiko. Und auch wenn man dann am Ende entscheidet, dass keine Aktion notwendig ist, will die veränderte Situation doch auch dokumentiert sein. 

Suchen Sie noch Unterstützung?

Wir unterstützen unsere Kunden bei genau diesen Anpassungsprozessen. Wenn Sie Hilfe bei der Suche nach der richtigen Vertragsform brauchen, oder von einer Risikobewertung oder gar Datenschutzfolgenabschätzung noch nie gehört haben – wir beraten gerne im Raum Mannheim – Heidelberg bis hin nach Stuttgart, Karlsruhe oder Hamburg zu allen Datenschutzfragen.