Tag Archives: BCR

Alarmstufe rot: Harter Brexit und Datenschutz

Nachdem das Unterhaus den zwischen der europäischen Kommission und der britischen Regierung ausgehandelten Vertragstext zum Austritt Großbritanniens aus der Europäischen Union (https://ec.europa.eu/commission/sites/beta-political/files/draft_withdrawal_agreement_0.pdf) abgelehnt hat, ist ein „harter Brexit“ – die Auflösung der Beziehung ohne Scheidungsvertrag -wahrscheinlicher geworden. Das hat auch gravierende Wirkungen für den Datenschutz und die ihm unterworfenen Unternehmen.

Zwar hatte die Europäische Kommission bereits in ihrem vor mehr als einem Jahr abgegebenen Statement (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=611943) auf die gravierenden Konsequenzen für den Datenschutz hingewiesen, die sich aus dem Ausscheiden Großbritanniens ergeben. Zu Recht wies Sie darauf hin, dass Großbritannien nach dem Brexit zu einem „Drittstaat“ wird, auf den die entsprechenden Regeln der DSGVO zur Datenübermittlung in Staaten außerhalb der EU anzuwenden sind (Art. 44 ff DSGVO). 

Während zwischen den Mitgliedstaaten der Europäischen Union die Übermittlung personenbezogener Daten ohne datenschutzrechtlichen Restriktionen zulässig ist, muss beim Transfer in Drittstaaten ein angemessenes Datenschutzniveau beim Empfänger nachgewiesen werden. Dafür sieht die Datenschutz-Grundverordnung verschiedene Instrumente vor.

Der „Königsweg“ wäre eine so genannte „Angemessenheitsentscheidung“ der Kommission (Art. 45 DSGVO). Es ist unrealistisch, dass eine entsprechende Entscheidung kurzfristig zu realisieren ist, denn es gilt nicht nur, das im letzten Jahr neu gefasst der britische Datenschutzgesetz zu bewerten, sondern die gesamte Rechtsordnung, darunter auch den höchst umstrittenen „Investigations Powers Act“ (IPA), welcher den britischen Sicherheitsbehörden umfassende zu Befugnisse auf personenbezogene Daten einräumt.

Garantien, mit denen die Angemessenheit des Datenschutzes beim Empfänger demonstriert werden kann (Art. 46 DSGVO), sind „Standarddatenschutzklauseln“, verbindliche Unternehmensregeln (Binding Corporate Rules – BCR), genehmigte Verhaltensregeln (Codes of Conduct – CoC) und Zertifizierungsmechanismen.

Allerdings sah es bis vor kurzem so aus, als könnten sich die Unternehmen mit der Suche nach Alternativen noch etwas Zeit lassen. Der zwischen der Kommission und der britischen Regierung ausgehandelte Vertragstext sieht in Art. 70 ff vor, dass die DSGVO (mit Ausnahme der Bestimmungen des siebenten Abschnittes, welcher die Zusammenarbeit der Aufsichtsbehörden regelt) für die vorgesehene Übergangszeit von zwei Jahren in Großbritannien weiterhin Geltung behalten sollten. Zudem war man übereingekommen, dass innerhalb der Übergangsfrist eine Angemessenheitsentscheidung vorbereitet werden sollte.

Nachdem nun der Vertragstext Makulatur ist, besteht für die Unternehmen dringlichster Handlungsbedarf, die personenbezogene Daten mit Geschäftspartnern in Großbritannien austauschen. Sie müssen bis Ende März 2019 durch eines der oben genannten Instrumente oder durch einzelvertraglichen Gestaltung und ggf. entsprechende Genehmigungen der Aufsichtsbehörden die Vorgaben der DSGVO zum Drittlandstransfer gewährleisten. Andernfalls würden die entsprechenden Übermittlungsvorgänge illegal. 

Es ist zu hoffen, dass die europäischen Datenschutzaufsichtsbehörden den Unternehmen dabei beratend zur Seite stehen.

Ihr 

Peter Schaar

Brexit and Data Protection: Out Is Out

By Peter Schaar, Chairman, European Academy for Freedom of Information and Data Protection, Berlin

 

What the consequences of the the UK Brexit referendum are for data protection currently cannot be said conclusively. Considerable uncertainties remain until the end of the upcoming exit negotiations at least. Unless specific arrangements on data protection are made between the EU and the UK, the United Kingdom will be seen from the EU perspective as a regular third country like any other non-member state, such as Japan or South Africa.

 

At best, the country gets a status like Norway, which belongs to the European Economic Area and is thus largely obliged to apply EU law, without, however – as the EU member states – to have effective decision power and participation rights, in particular in the European Data Protection Board set up by the EU General Data Protection Regulation (GDPR).

 

I am sceptical that the UK Parliament will implement the GDPR completely by changing the British law by May 2018 when the GDPR starts to be applicable. This seems to be very unlikely, especially since the United Kingdom has already struggled with the adoption of the new EU privacy rules. For example the British Government “opted out” from Art. 48 of the GDPR, the so-called „NSA clause“ that is to protect European citizens against third country government access to personal data. Nevertheless the provisions of Art. 48 would probably apply in future to the United Kingdom after the leave from the EU. The transmission of personal data to government authorities protected by the GDPR based on British court rulings or administrative orders will be legal then only within the framework of mutual legal assistance agreements between the UK and the EU or its member states. This is particularly important because the British Parliament has recently stepped up drastically the already strong surveillance powers of security agencies and its corresponding obligations of companies with the amended „Investigatory Powers Bill“. The “national security exemption” of article 4 TFEU will not longer be applicable for the UK. The practices of GCHQ and other government agencies will have to be taken into account even in the assessment of the EU Commission about a possible adequacy decision for the UK (see below).

 

It seems likely to me that the very requirements of the GDPR provisions on transfer of personal data to third countries (art. 44 and following) will apply in the future on the UK. Thereafter, any transfer of personal data will be permissible only if the data controller and the data processor comply with the conditions laid down in the GDPR. This also concerns the possible onward transfer of personal data to another third country or to an international organization. The GDPR allows the transmission on the basis of „adequacy decisions“ of the European Union or other appropriate safeguards, in particular on the basis of standard contractual clauses or under a system of binding corporate rules(BCR).

 

The UK Information Commissioner (ICO) already pointed out that the United Kingdom continues to need clear and effective privacy laws, irrespective of the question of EU membership (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/). If the British legislator follows this advice, the European Commission could make a decision under article 45 on the existence of an „adequate level of data protection“ in the UK. However, such a finding is not supposed to run by itself and it would require negotioations and a thorough examination and assessment of the British data protection system. This could hardly be managed within the available two-year period for the implementation of the EU exit.

 

In the light of the above companies running business in the UK as well as public bodies of member states and EU institutions have to prepare for the situation that the transmission of personal data from the EU to the UK (including the hosting of personal data on the British soil) will be much more difficult in the future as it is today. This concerns in particular those companies with business processes which are based on combining personal data of various member states or using servers or switching centers located in the UK.

 

Peter Schaar

 

Datenschutz-Brexit: out is out

Von Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz

Die Frage nach den Folgen des Brexit-Volksentscheid für den Datenschutz kann derzeit nicht abschließend beantwortet werden. Zumindest bis zum Ergebnis der anstehenden Austrittsverhandlungen bleiben erhebliche Unsicherheitsfaktoren. Sofern  keine besonderen Vereinbarungen zum Datenschutz getroffen werden, wird Vereinigten Königreich ab dem Datum des Austritts zu einem Drittstaat wie jeder andere, etwa Japan oder Südafrika.

Im günstigsten Falle bekommt das Land einen Status wie Norwegen, das dem europäischen Wirtschaftsraum angehört und damit weitgehend zur Anwendung des EU-Rechts verpflichtet ist, ohne jedoch – wie die EU-Mitgliedstaaten – über effektive Mitspracherechte und Mitwirkungsmöglichkeiten im Europäischen Datenschutzausschuss zu verfügen.

Dass sich die britische Regierung und das Parlament darauf einlassen werden, die in der ab Mai 2018 anwendbaren Datenschutzgrundverordnung 1:1 anzuerkennen, erscheint äußerst unwahrscheinlich, zumal Großbritannien sich schon mit deren Verabschiedung schwergetan hat. Hinzuweisen ist etwa  auf die Erklärung der britischen Regierung, Art. 48 der Grundverordnung, die so genannte „NSA-Klausel“ nicht anzuerkennen, die die europäischen Bürgerinnen und Bürger vor drittstaatlichen Überwachungsmaßnahmen  schützen soll. Unabhängig davon, dass die Wirksamkeit dieser Erklärung („Opt Ourt“) europarechtlich zweifelhaft ist, würde Art. 48 nach dem EU-Austritt wohl auch auf das Vereinigte Königreich anwendbar sein, sofern die britische Regierung die Anerkennung dieser Vorschrift weiterhin verweigert. Damit würde die Datenübermittlung  bzw. die Datenhherausgabe an britische Behörden oder Gerichte nur noch im Rahmen von Rechtshilfeabkommen erfolgen können. Dies ist insbesondere deshalb von Bedeutung, weil das britische Parlament kürzlich die ohnehin schon starken Überwachungsbefugnisse  der Sicherheitsbehörden und die damit korrespondierenden Verpflichtungen von Unternehmen  mit dem „Investigatory Powers Bill“  drastisch ausgeweitet hat.

Wahrscheinlicher ist, dass auf Großbritannien zukünftig die Vorgaben  der Datenschutzgrundverordnung zur Übermittlung personenbezogener Daten an Drittstaaten (Art. 44 ff)  Anwendung finden. Danach ist jedwede Übermittlung personenbezogener Daten nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in der Grundverordnung festgelegten Bedingungen einhält; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten an ein anderes Drittland oder an eine internationale Organisation. Die Datenschutzgrundverordnung erlaubt die Übermittlung auf der Basis eines „Angemessenheitsbeschlusses“ der Europäischen Union oder sonstiger geeigneter Garantien, insbesondere auf der Grundlage von Standardvertragsklauseln oder im Rahmen eines Systems verbindlicher Unternehmensregeln (Binding Corporate Rules).

Der britische Information Commissioner (ICO) hat bereits  darauf hingewiesen, dass das Vereinigte Königreich  weiterhin klare und effektive Datenschutzgesetze benötige, unabhängig von der Frage der EU-Zugehörigkeit (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/).  Sollte der britische Gesetzgeber diesem Ratschlag folgen, könnte die europäische Kommission gemäß Art. 45 der Datenschutzgrundverordnung das Bestehen eines „angemessenen Datenschutzniveaus“  feststellen. Eine solche Feststellung ist jedoch kein Selbstgänger und bedürfte gründlicher Prüfungen und Vorbereitungen, die innerhalb der zur Verfügung stehenden Zweijahresfrist für die Umsetzung des EU-Austritts kaum bewältigt werden könnten.

Vor diesem Hintergrund müssen  die Unternehmen aber auch staatliche Stellen der EU-Staaten und EU-Institutionen Vorsorge dafür treffen, dass die Datenübermittlung in das Vereinigte Königreich zukünftig erheblich erschwert wird. Dies trifft insbesondere solche Unternehmen hart, bei denen im Rahmen  eingespielter Geschäftsprozesse europaweit erhobene Daten in Großbritannien zusammengeführt und verarbeitet werden.

Peter Schaar

27.01.2016: EAID-Veranstaltung zu den Konsequenzen aus dem EuGH-Urteil zu Safe Harbor

Am Mittwoch, dem 27. Januar 2016, ab 18 Uhr (Vorabend des Europäischen Datenschutztags) führt die EAID in den Räumen der Europäischen Akademie Berlin (Grundewald), Bismarckallee 46/48, eine Vortrags- und Diskussionsveranstaltung Konsequenzen aus dem EuGH-Urteil vom 6. Oktober 2015 zu Safe Harbor durch.

Wegen der beschränkten Platzzahl wird um Anmeldung per E-Mail unter gf@eaid-berlin.de gebeten

 

Weitere Informationen