Derzeit läuft eine Schonfrist bis zum 30. April 2021, innerhalb welcher ein Transfer von personenbezogenen Daten in das Vereinigte Königreich noch nicht als Drittlandübermittlung angesehen wird. Diese Frist kann um zwei weitere Monate verlängert werden. Nach dem Ende der Übergangsphase gilt dann freilich UK als Drittland, in welches grundsätzlich nur unter Einhaltung zusätzlicher DSGVO-Vorgaben personenbezogene Daten übermittelt werden dürfen. Dieses Legal Update beschäftigt sich mit den potentiellen datenschutzrechtlichen BREXIT-Folgen für österreichische Händler.

E-Commerce Legal Update #7

Nach dem EU-Mitgliedschaftsreferendum aus dem Jahre 2016 hat das Vereinigte Königreich nach 48 Jahren seinen Platz in der Europäischen Union aufgegeben und somit auch seine völkerrechtliche Stellung neu definiert. Wie weit die Folgen dieser Entscheidung letztendlich reichen und welche Schwierigkeiten sich für die Praxis ergeben, zeigten bereits die Staus an den Grenzen zu UK und die Ereignisse vor und nach dem Jahreswechsel 2020/2021.

Nach etlichen verstrichenen Fristen, langwierigen Verhandlungen und medialen Schlagzeilen konnten sich die Regierung des Vereinigten Königreiches und die Europäische Union (EU) in letzter Minute und trotz erheblicher Meinungsverschiedenheiten zu einer beinahe 1250 Seiten starken Vereinbarung durchringen, welche nunmehr die Basis für die (zukünftigen) Beziehungen zwischen beiden Parteien bildet. Trotz des beachtlichen Umfanges dieses Übereinkommens bleiben für die Praxis zahlreiche Fragen ungeklärt. Eine der offenkundigen Baustellen ist hierbei unfraglich der Datenschutz.

Aktueller datenschutzrechtlicher Stand

• Seit Mai 2018 ist die Datenschutz-Grundverordnung (EU) 2016/679 (“DSGVO“) unmittelbar in allen Mitgliedsstaaten der EU anwendbar und sorgt unionsweit für ein einheitliches und im internationalen Vergleich sehr hohes Datenschutzniveau. Im Juli 2018 wurde ihr Anwendungsbereich auf die übrigen Mitgliedsstaaten des EWR (Island, Norwegen, Liechtenstein) erweitert.
• Die DSGVO erlaubt allen Unionsbürgern, personenbezogene Daten — unter Einhaltung ihrer Vorgaben — ohne zusätzliche Hürden in sämtliche EU/EWR-Mitgliedsstaaten zu übermitteln.
• Derzeit läuft eine Schonfrist bis zum 30. April 2021, innerhalb welcher ein Transfer von personenbezogenen Daten in das Vereinigte Königreich nicht als Drittlandübermittlung angesehen wird. Diese Frist kann um zwei weitere Monate verlängert werden, soweit nicht eine der beiden Parteien widerspricht.
• Nach dem Ende der Übergangsphase gilt das Vereinigte Königreich als Drittland, in welches nur unter Einhaltung der zusätzlichen Vorgaben der Art 44 ff DSGVO personenbezogene Daten übermittelt werden dürfen.
  

Wie geht es nach der Schonfrist weiter?

Grundsätzlich ist die ausverhandelte Übergangsphase zu begrüßen, da sie datenverarbeitenden Verantwortlichen (etwa Händlern im grenzüberschreitenden E-Commerce) Zeit gewährt, um etwaige Anpassungen im Hinblick auf ihre Datenverarbeitungsaktivitäten vorzunehmen. Dennoch stellt sich naturgemäß die Frage, wie es danach weitergeht und worin derartige Anpassungen denn bestehen könnten.

Wie bereits erwähnt, wird das Vereinigte Königreich mit Auslaufen der Übergangsfrist als Drittland im Sinne der DSGVO gelten. In diesem Fall ist zu bedenken, dass die datenschutzrechtliche Informationserteilung von Verantwortlichen im Sinne von Art 13 und/oder Art 14 DSGVO um entsprechende Ergänzungen bezüglich der Drittlandübermittlung zu erweitern ist. Dies erfordert insbesondere auch einen Hinweis dahingehend, wie diese Übermittlung aus dem Unionsgebiet hinaus datenschutzrechtlich gerechtfertigt wird (vgl. Art 44 ff DSGVO).

Im Folgenden wird kurz auf mögliche Entwicklungen der datenschutzrechtlichen Seite des Brexit eingegangen und es werden konkrete Handlungsmöglichkeiten für den Transfer von Daten nach dem Ende der Übergangsfrist erläutert.

Angemessenheitsbeschluss
Allgemeines und Ausgangslage

Die EU-Kommission hat die Möglichkeit, einen Angemessenheitsbeschluss im Sinne von Art 45 DSGVO zu verabschieden, mit welchem sie das Datenschutzniveau eines Drittlandes als angemessen, also als dem durch die DSGVO gewährleistetem Schutzstandard entsprechend befindet.

Für Händler würde das konkret bedeuten, dass sie personenbezogene Daten weiterhin ohne zusätzliche Hürden in das Vereinigte Königsreich übermitteln können. Für sich betrachtet wäre ein Angemessenheitsbeschluss somit sicherlich die angenehmste aller Lösungen, weil dadurch der Status quo für die Normadressaten mehr oder weniger erhalten bleiben würde.

Laut einer aktuellen Stellungnahme bemüht sich die britische Aufsichtsbehörde (das Information Commissioner’s Office, “ICO“) bereits um einen Angemessenheitsbeschluss; allerdings kann dieses Bestreben angesichts der nur wenige Monate andauernden Übergangsfrist nüchtern betrachtet als “ambitioniert” bezeichnet werden. Im Schnitt dauern Verfahren dieser Art zwei bis drei Jahre. Gleichwohl ist anzumerken, dass das Vereinigte Königreich bis zum Ende des letzten Jahres selbst zur Einhaltung der Bestimmungen der DSGVO verpflichtet war. Dadurch war das Datenschutzniveau im Vereinigten Königreich bis vor kurzem noch mit dem der restlichen Mitgliedsstaaten der EU ident. Dieser Umstand könnte die Entscheidung der Kommission beschleunigen.

An dieser Nähe zu den europarechtlichen Vorschriften wird sich wohl auch in Zukunft — zumindest in datenschutzrechtlicher Hinsicht — nicht viel ändern: Seit dem Austritt findet sich der Kernbestand der datenschutzrechtlichen Normen des Vereinigten Königreichs in der sogenannten United Kingdom General Data Protection Regulation (“UK GDPR“), einem auf nationaler Ebene erlassenen Gesetz, welches den Platz der herkömmlichen DSGVO nahezu wortident einnimmt. Im Augenblick haben diese Bestimmungen für die Beurteilung der Zulässigkeit eines Datentransfers aus der EU noch keine Bedeutung; dies soll sich nach Ablauf der Schonfrist allerdings ändern. Somit besteht zwar das theoretische Risiko eines zukünftigen “Auseinanderdriftens” der Bestimmungen des Vereinigten Königreiches und jener der EU durch zukünftige Gesetzesänderungen; derzeit sind solche Entwicklungen allerdings nicht ersichtlich und auch entsprechende Aussagen des ICO lassen nicht darauf schließen – ein weiterer Faktor, welcher das Verfahren um den Angemessenheitsbeschluss beschleunigen und unter Optimisten als Silberstreif am Horizont gedeutet werden könnte.

Stolpersteine auf dem Weg zum Angemessenheitsbeschluss

Neben diesem Silberstreif ziehen jedoch auch dunkle Wolken über den Erwartungen eines rechtzeitigen Beschlusses der EU-Kommission auf. Das unter dem Namen “Five-Eyes” bekannte Nachrichtendienstkooperationsabkommen zwischen dem Vereinigten Königreich, den USA sowie einer Reihe anderer Staaten hat gerade im Lichte der jüngeren Rechtsprechung des Gerichtshofs der EU (“EuGH“) das Potential, als datenschutzrechtlich bedenklich eingestuft zu werden.

Das besagte Kommunikationsabkommen bildet die Basis für die Sammlung und den Austausch von Daten zu Überwachungszwecken unter den verschiedenen Nachrichtendienstorganisationen.

Zu weitreichende Befugnisse von Geheimdiensten haben sich bereits in der Vergangenheit bei Drittlandübermittlungen als Spielverderber erwiesen. So hat der EuGH jüngst durch die Aufhebung des EU-US Privacy Shields für Entsetzen im internationalen Datenverkehr gesorgt. Der Privacy Shield war ein spezieller Angemessenheitsbeschluss, durch welchen einzelne Unternehmen in den USA mittels Selbstzertifizierung ein den EU-Standards entsprechendes Schutzniveau ausweisen konnten.

Allerdings sind sowohl Kanada als auch Neuseeland Mitglieder des Five-Eyes-Abkommens, denen von der EU-Kommission gegenwärtig ein angemessenes Datenschutzniveau beigemessen wird. Man sollte immer bedenken, dass die EU-Kommission im Rahmen ihrer Tätigkeit ein nachhaltiges Interesse an florierenden internationalen Handelsbeziehungen hegt, welche notwendigerweise auch den ständigen Zu- und Abfluss personenbezogener Daten in das bzw. aus dem Unionsgebiet einschließen – derartige Überlegungen spielen für den EuGH im Rahmen seiner Prüfung bestehender Rechtsakte (nach dem Motto “wie gewonnen, so zerronnen”) keine Rolle.

Möglichkeiten für die Übertragung in ein Drittland

Ob es zu einem Angemessenheitsbeschluss kommt und ob diese Entscheidung rechtzeitig vor dem Ende der Übergangsfrist gefällt werden kann, lässt sich nicht mit Sicherheit sagen. Sollte dies nicht der Fall sein, müssen Händler (andere) geeignete Garantien (bzw. Ausnahmen) im Sinne von Art 46 ff DSGVO für sich nutzbar machen oder versuchen, der DSGVO auszuweichen.

Feststellung der Verarbeitungsvorgänge

Als erster Schritt sollten die Verarbeitungsvorgänge von personenbezogenen Daten im Unternehmen identifiziert und eventuell problematische Berührungspunkte mit dem Vereinigten Königreich festgestellt werden (z. B. der Einsatz eines Dienstleisters aus dem Vereinigten Königreich im Rahmen der eigenen Geschäftstätigkeit).

Sollten derartige Berührungspunkte gerade in der Zusammenarbeit mit britischen Unternehmen bestehen, so könnten alle mit dem Brexit verbundenen Unsicherheiten umschifft werden, indem stattdessen einfach auf in der EU ansässige Anbieter bzw. Vertragspartner gesetzt wird oder die fraglichen Datensätze ausschließlich in anonymisierter Form (und damit außerhalb des Anwendungsbereichs der DSGVO) in die Rechtsordnung des Vereinigten Königreiches transferiert werden. Aus Sicht der Praxis können solche Lösungswege natürlich nur wenig Begeisterung schaffen.

Übertragungsinstrumente für den Transfer personenbezogener Daten in Drittländer

Generell kennt die DSGVO eine Reihe anderer Möglichkeiten, mit welchen der Transfer von personenbezogenen Date ebenfalls zu bewerkstelligen ist, insbesondere:

• Die Vereinbarung geeigneter Garantien (z. B. Standardvertragsklauseln oder Binding-Corporate-Rules)

Das Heranziehen eines Ausnahmetatbestandes des Art 49 DSGVO (z. B. der ausdrücklichen Einwilligung der betroffenen Person)

Standardvertragsklauseln

Standardvertragsklauseln (auch: Standarddatenschutzklauseln) sind vorgefertigte Verträge, in welchen sich die für die Verarbeitung von personenbezogenen Daten Verantwortlichen zur Einhaltung der Europäischen Datenschutzvorschriften verpflichten. Zu beachten ist hier jedoch, dass grundsätzlich alle Vertragsparteien diese Datenschutzvorschriften erfüllen müssen. Daher wäre es bei einer Übermittlung von personenbezogenen Daten unter Anwendung von Standardvertragsklauseln erforderlich, auch die Einhaltung des geforderten Datenschutzniveaus bei den (britischen) Vertragspartnern zu überprüfen.

Das könnte sich jedoch im Hinblick auf die oben angeführten Überwachungsmöglichkeiten der Nachrichtenagenturen als problematisch erweisen. Wie die Nachbeben der Aufhebung des EU-US Privacy Shields gezeigt haben, sind auch Standardvertragsklauseln nicht mehr vollkommen unbedenklich anwendbar, da aufgrund ihrer vertraglichen Natur der Zugriff von Behörden nicht effektiv unterbunden werden kann.

Hierzu äußerte sich erst vor kurzem der Europäische Datenschutzausschuss (“EDSA“) in einer Stellungnahme, in der er vertraglich vereinbarte Standarddatenschutzklauseln zwar begrüßte, zur (nicht in jedem Fall möglichen) Erreichung eines angemessenen Datenschutzniveaus allerdings weitergehende Maßnahmen (insbesondere technischer Natur) forderte.

In einem Statement zum Brexit aus dem Jahre 2019 sah der EDSA folgende Standardvertragsklauseln noch als zulässige Grundlage für den Drittlandtransfer in das Vereinigte Königreich an:

• Für den Fall der Übermittlung von personenbezogenen Daten von einem Verantwortlichen in EU/EWR an einen Verantwortlichen in einem Drittland: 2001/497/EG oder 2004/915/EG
• Für den Fall der Übermittlung von personenbezogenen Daten von einem Verantwortlichen in EU/EWR an einen Auftragsverarbeiter in einem Drittland: 2010/87/EU

Zu beachten ist bei deren Verwendung jedoch, dass die Empfehlung des EDSA vor Aufhebung des Privacy Shields ausgesprochen und daher die oben erwähnte Problematik mit den Zugriffsmöglichkeiten von Geheimdiensten gegebenenfalls noch nicht ausreichend berücksichtigt wurde. Der EuGH betonte im Zusammenhang mit seinem diesbezüglichen Urteilsspruch, dass bei der Verwendung von Standardvertragsklauseln gegebenenfalls zusätzliche Schutzmaßnahmen bezogen auf das spezifische Risiko des Empfängerlandes ergriffen werden müssen.

Neuer Entwurf von Standardvertragsklauseln

Als direkte Reaktion auf die Aufhebung des EU-US Privacy Shields veröffentlichte die EU-Kommission am 12. November 2020 einen Entwurf neuer Standardvertragsklauseln.

Im Vergleich zu ihren Vorgängern wird den Parteien mit den neuen Klauseln ein engeres Korsett datenschutzrechtlicher Verpflichtungen angelegt. So bestehen etwa gegenseitige Informationspflichten bei Behördenzugriffen und die Beteiligten müssen sich gegen Zugriffsbegehren mit den ihnen zur Verfügung stehenden rechtlichen Mitteln zur Wehr setzen.

Insgesamt sind diese neuen Klauseln allein schon wegen ihres flexibleren modularen Aufbaus zu begrüßen und werden wohl das vorliegende Grundproblem zumindest entschärfen können. Dass sie das von vielen (zunächst im Hinblick auf die USA) erhoffte Wunderheilmittel darstellen, wird jedoch zu bezweifeln sein. Eine wirklich nachhaltige Gewährleistung des Datenschutzniveaus in Fällen weitreichender Zugriffsrechte der öffentlichen Hand wird sich mit vertraglichen Mitteln allein weiterhin nicht bewerkstelligen lassen; die Eignung technischer Abhilfemaßnahmen im Einzelfall wird dagegen von den jeweiligen Verarbeitungszwecken abhängig und oftmals nicht gegeben sein.

Binding-Corporate-Rules

Hierunter versteht man verbindliche Richtlinien zum Schutz von personenbezogenen Daten zu deren Einhaltung sich Unternehmensgruppen verpflichten. Ziel von Binding-Corporate-Rules ist es, ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten innerhalb der Organisation, aber aus der/dem EU/EWR hinaus zu garantieren.

Die praktische Bedeutung von Binding-Corporate-Rules wird sich für die meisten Unternehmer jedoch in einem bescheidenen Ausmaß halten. Aufgrund ihrer zeitintensiven und mit einem hohen organisatorischen Aufwand verbundenen Implementierung sowie von Genehmigungserfordernissen durch die zuständigen Aufsichtsbehörden haben bisher nur einige wenige internationale Unternehmensgruppen — keine einzige davon aus Österreich — eine Datenübertragung in ein Drittland auf dieses Übermittlungsinstrument gestützt.

Die Ausnahmegründe des Art49 DSGVO

Grundsätzlich können für eine Drittlandübermittlung auch die in Art 49 DSGVO normierten Ausnahmen herangezogen werden.

Diese können als eine “Ultima Ratio” bezeichnet werden und sollten daher nach der Systematik der DSGVO nur herangezogen werden, wenn keine andere Möglichkeit zur Übertragung besteht. Ein Zurückgreifen auf die Bestimmungen des Art 49 DSGVO scheint mittlerweile als letztes Mittel nicht mehr völlig realitätsfern zu sein. Allerdings weist schon die Bezeichnung von Art 49 DSGVO als “Ausnahmen für bestimmte Fälle” dessen restriktiven Charakter aus. Im Weiteren ist die Abstufung verschiedener Übertragungsmöglichkeiten innerhalb der Bestimmung selbst zu berücksichtigen.

Durch sie können Unternehmer die Drittlandübermittlung – nach einer angemessenen Risikobelehrung – unter anderem auf die ausdrückliche Einwilligung der betroffenen Person stützen.

Ein weiterer Ausnahmegrund umfasst die Übermittlung für die Erfüllung eines Vertrages mit der betroffenen Person. Diese Rechtsgrundlage erlaubt jedoch nur die Übermittlung von Daten, welche in einem direkten und objektiven Zusammenhang mit dem Vertragszweck stehen. Als Beispiel für eine zulässige Übermittlung, welche auf diesem Ausnahmegrund fußt, führte der EDSA die Übermittlung von Daten durch ein Reisebüro an andere Geschäftspartner oder Hotels an, um den Auslandsaufenthalt eines Kunden zu ermöglichen.

Auch die Übermittlung von personenbezogenen Daten für die Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrags stellt einen Ausnahmetatbestand dar. Jedoch sind auch hier wiederum Faktoren wie die Erforderlichkeit sowie die generell restriktive Natur der Ausnahmegründe des Art 49 DSGVO zu berücksichtigen.

Datenschutz-Vertreter

Obwohl die Ähnlichkeiten zwischen der UK GDPR (siehe schon Punkt 4.1) und der DSGVO in der momentanen Situation von großem Wert sein können, so kommt es aufgrund der Gleichartigkeit andernorts zu unerwarteten Reibungsstellen.

Nach Art 27 DSGVO müssen Verantwortliche (und Auftragsverarbeiter) welche nicht in der Union niedergelassen sind, schriftlich einen Vertreter in der Union benennen. Diese Pflicht hat nun auch spiegelbildlich Einzug in die UK GDPR genommen und wirkt durchaus problematisch, da diese Vorschrift nicht von der momentanen Ausnahmeregelung erfasst wird. Diese beschränkt sich auf den Datentransfer zwischen dem Vereinigten Königreich und der Europäischen Union. Daher ist diese Bestimmung grundsätzlich bereits voll anwendbar.

Dadurch sind nun Unternehmer (i) ohne Niederlassung im Vereinigten Königreich, die (ii) dort Waren oder Dienstleistungen anbieten oder das Verhalten von Menschen beobachten, grundsätzlich zur Bestellung eines entsprechenden Datenschutz-Vertreters im Vereinigten Königreich verpflichtet. Dieser hat die Aufgabe, als Kontaktperson sowohl für das ICO als auch für betroffene Personen vor Ort aufzutreten. Von der Bestellung kann nur dann abgesehen werden, wenn einer der Ausnahmegründe gemäß Art 27 Abs 2 UK GDPR zum Tragen kommt. So ist etwa die Benennung eines Datenschutz-Vertreters bei gelegentlicher oder nicht umfangreicher Verarbeitung nicht erforderlich.

Warum dieser Punkt nicht ebenfalls bei den Vertragsverhandlungen berücksichtigt wurde, ist nicht wirklich ersichtlich. Die EU-Norm macht vor allem auf im Hinblick auf das geografische Ausmaß der EU und die Schwierigkeiten, welche in Bezug auf Zugriffsmöglichkeiten Verantwortlicher aus aller Welt bestehen, Sinn. Beide Punkte sind jedoch im speziellen Fall des Brexit — zumindest in Bezug auf die Mitgliedsstaaten der EU — in keinem vergleichbaren Ausmaß gegeben. Das lässt diese weitere Hürde für Unternehmer durchaus fragwürdig erscheinen. Dennoch sind die entsprechenden Bestimmungen der UK GDPR einschlägig und es ist für die betroffenen Unternehmer empfehlenswert, sich mit ihnen auseinanderzusetzten.

Conclusio

Dieser erste Eindruck mag nun auf dem Papier für viele Unternehmer ernüchternd wirken. Das Datenschutzrecht und seine hohen Schutzstandards stehen schon seit Längerem in einem weiter anwachsenden Spannungsverhältnis zur tatsächlichen Realität des heutigen Informationszeitalters.

Dieses doch eher triste Bild lässt sich jedoch durch eine praxisnahe Argumentation entkräften. Sowohl die EU als auch das Vereinigte Königreich sind beide an nachhaltigen internationalen Handelsbeziehungen interessiert und wollen diese durch rechtliche Unsicherheiten nicht aufs Spiel setzen. Auch scheint der Umstand, dass zu zwei der Mitgliedsstaaten des Five-Eyes-Abkommens bereits ein Angemessenheitsbeschluss durch die Kommission gefasst wurde sowie die gemeinsame rechtliche Vergangenheit des Vereinigten Königreiches und der Europäischen Union Anlass für Optimismus zu geben.

Zumindest in den nächsten Monaten wird sich an der Lage noch nicht viel ändern und das, was sich geändert hat, wird unseres Erachtens mit großer Wahrscheinlichkeit nicht unmittelbar zu Problemen für Händler führen. Darüberhinausgehend ist aus unserer Sicht mit einer einfachen und brauchbaren Lösung für Datentransfers in das Vereinigte Königreich zu rechnen. Das Datenschutzrecht der EU und des Vereinigten Königreichs ist weiterhin nahezu ident und den ersten Aussagen der zuständigen Stellen nach zu urteilen, wird sich daran auch in Zukunft nicht viel ändern.

Verfasst von:

Stadler Völkel Rechtsanwälte bietet Qualifizierte Beratung in ausgewählten Schwerpunktbereichen Wirtschafts- & Bankenrecht sowie Kryptowährungen. Mehr Infos finden Sie unter: http://www.svlaw.at