Kernpunkte und Handlungsbedarf

Unternehmen, die ausschliesslich dem Schweizer Datenschutzgesetz (DSG) unterstehen, dürfen Personendaten auch nach dem Brexit wie bisher nach Grossbritannien exportieren, ohne dass zusätzliche Schutzmassnahmen zu ergreifen sind. Aus Perspektive der EU-Datenschutzgrundverordnung (DSGVO) hingegen wird Grossbritannien mit dem Brexit – jedenfalls vorerst – den Status als Land mit angemessenem Datenschutzniveau verlieren. Deshalb werden Unternehmen, die Personendaten im Anwendungsbereich der DSGVO nach Grossbritannien exportieren, dies neu absichern oder rechtfertigen müssen, selbst wenn die Daten aus der Schweiz exportiert werden. In beiden Fällen sind Datenschutzerklärungen und Verträge, welche Datenexporte nach Grossbritannien betreffen, zu prüfen und gegebenenfalls zu aktualisieren.

Keine Änderung bei Exporten unter DSG

Datenschutzniveau in Grossbritannien bleibt angemessen

Die gute Nachricht zuerst: Aus Sicht des Schweizer Datenschutzes ändert der Brexit vorerst (fast) nichts. Aus dessen Perspektive ist nicht entscheidend, ob Grossbritannien Teil der EU bzw. des EWR ist. Massgebend ist vielmehr, welches Schutzniveau das britische Datenschutzrecht bietet. Dieses war aus Schweizer Sicht vor dem Brexit angemessen und das wird es daher auch danach sein, und zwar unabhängig davon, ob sich das Königreich noch auf eine Übergangslösung mit der EU einigt. Grossbritannien hat im Übrigen bereits angekündigt, die DSGVO im Sinne eines autonomen Nachvollzugs in ihr eigenes Landesrecht zu übernehmen.

Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) bestätigte in einer Mitteilung vom 22. Januar 2019 ebenfalls¹, dass keine Hinweise darauf vorliegen, dass Grossbritannien als Folge des Brexit den Status als Land mit angemessenem Datenschutzniveau verlieren wird.

Damit ist der wesentliche Punkt aus Sicht des DSG geklärt: Datenexporte aus der Schweiz nach Grossbritannien sind nach wie vor nicht vom Verbot in Art. 6 Abs. 1 DSG betroffen, weshalb keine der Vorkehrungen nach Abs. 2 erforderlich sind, um ein angemessenes Schutzniveau zu gewährleisten oder den Datenexport zu rechtfertigen. Hier besteht somit kein Handlungsbedarf.

Verträge und Erklärungen anpassen

Handlungsbedarf kann sich trotzdem ergeben: Wo Verträge und Datenschutzerklärungen Datenbearbeitungen im Ausland bzw. Datenexporte regeln oder über diese informieren und dabei auf die «EU» statt auf «Europa» verweisen, fällt Grossbritannien mit oder ohne Brexit-Deal inskünftig durch die Maschen. Verspricht ein Unternehmen seinen Kunden, Daten lediglich in der Schweiz oder in der EU zu bearbeiten, so wäre eine Bearbeitung in Grossbritannien an sich nicht mehr gedeckt.

Hat ein Unternehmen seine Datenschutzerklärung vor dem Brexit veröffentlicht, wird für eine Übergangsfrist in der Regel vertreten werden können, dass jedem vernünftigen Leser klar sein muss, dass ein Verweis auf die EU Grossbritannien weiterhin umfassen soll. Die betreffenden Datenschutzerklärungen sollten dennoch zeitnah angepasst werden.

Ähnliches wird für Verträge gelten, welche vor dem Brexit abgeschlossen wurden und auf Datenbearbeitungen in der EU verweisen. Wo keine besonderen Umstände vorliegen, wird ein Verweis auf die EU oft so auszulegen sein, dass der Begriff «EU» auch nach dem Brexit Grossbritannien mitumfassen soll. Wird der Vertrag aber angepasst, ist eine Klarstellung auch hier normalerweise angezeigt.

Situation unter der DSGVO -Datenexport nach Grossbritannien

Grossbritannien wird zum Drittland

Unter der DSGVO sieht die Lage anders aus. Tritt Grossbritannien ohne Übergangsregelung oder andere Vereinbarung mit der EU aus dieser aus, so gilt es – vorbehältlich eines Aufschubs in letzter Minute – ab dem 30. März 2019 als «Drittland» im Sinne der Datenexportbestimmungen von Art. 44 ff. DSGVO. Es hat damit denselben Status wie die Schweiz und andere Drittländer. Gegenüber der Schweiz besteht aber der gewichtige Unterschied, dass noch kein sogenannter Angemessenheitsentscheid der Europäischen Kommission vorliegt. Die Regelung der DSGVO für Datenexporte ist zwar sehr ähnlich wie jene im heutigen DSG: Auch unter der DSGVO sind Datenexporte in Staaten mit einem angemessenen gesetzlichen Datenschutz ohne weiteres möglich (Art. 45 DSGVO). Hierfür ist jedoch formal eine Anerkennung durch die Europäische Kommission erforderlich. Die Schweiz hat diese seit dem Jahr 2000. Auch wenn einem solchen Beschluss für Grossbritannien in der Sache nichts entgegensteht, ist er noch nicht erfolgt und vor dem Brexit auch nicht zu erwarten. Wann ein solcher Beschluss ergeht, ist noch offen.

Absicherung der Datenexporte erforderlich

Bis zu einem solchen Angemessenheitsbeschluss oder anderer Vereinbarung mit der EU müssen Datenübermittlungen nach Grossbritannien im Anwendungsbereich der DSGVO deshalb anders abgesichert oder gerechtfertigt werden. Darauf sind viele Unternehmen nach unserer Erfahrung nicht vorbereitet.

Für die neu erforderliche Absicherung bietet sich in der Praxis die Verwendung der EU-Standardvertragsklauseln an, welche heute regelmässig schon zur Regelung von Datenübertragungen in andere Drittstaaten (wie beispielsweise in die USA) benutzt werden (Art. 46 DSGVO). Inhaltlich stellen diese keine Hürde dar, und sie werden in der Regel auch von den beteiligten Parteien akzeptiert. Das praktische Problem ist aber, dass viele betroffene Unternehmen damit (zu) spät dran sind. Denn sie müssen zuerst alle Datenübermittlungen
nach Grossbritannien und die dortigen Gegenparteien identifizieren, und dann hierfür überall die Standardvertragsklauseln abschliessen.

Immerhin können immer mehr international tätige Unternehmen auf bereits bestehende gruppenweite Verträge für den Datenaustausch zurückgreifen. Diese Verträge erleichtern solche Anpassungen. Jene Unternehmen, die ihren gruppeninternen Datenfluss mit dem Intra Group Data Transfer Agreement (IGDTA) von Homburger geregelt haben, müssen dieses zum Beispiel nicht anpassen: Wir haben das IGDTA schon seit einiger Zeit so formuliert, dass Exporte nach Grossbritannien auch bei einem No-Deal-Brexit automatisch als Export in einen Drittstaat erfasst und gleich wie Exporte in andere Drittstaaten abgesichert werden.

Rechtfertigung mittels Ausnahmetatbeständen

Wo ein Unternehmen Datenexporte nach Grossbritannien nach dem Brexit nicht vertraglich absichern kann oder will, wird im Einzelfall zu prüfen sein, ob einer der Ausnahmetatbestände von Art. 49 DSGVO Anwendung findet. Das kann beispielsweise dann in Frage kommen, wo eine Einwilligung der betroffenen Person vorliegt oder wo die Übermittlung zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist. Zulässig ist auch die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Damit werden Datenübermittlungen nach Grossbritannien für die Zwecke von dortigen Gerichtsverfahren weiterhin zulässig sein.

DSGVO-Regeln auch in der Schweiz?

So stellt sich schliesslich noch die Frage, ob die DSGVO-Regeln betreffend Datenexporte für Exporte aus der Schweiz überhaupt zu beachten sind. Dagegen spricht, dass selbst bei einer Anwendbarkeit der DSGVO kein Export aus dem EWR erfolgt, sondern aus der Schweiz und damit aus einem sicheren Drittstaat mit eigenen, von der EU anerkannten Exportregeln. Der Wortlaut von Art. 44 DSGVO und ihr Erwägungsgrund 101 legen jedoch nahe, dass auch Exporte aus der Schweiz erfasst sind, soweit die Datenbearbeitung selbst unter die DSGVO fällt – und zwar nicht nur für Fälle, in denen die Daten ursprünglich aus dem EWR stammen.

Zwischenfazit

Wenn also ein Schweizer Unternehmen im Anwendungsbereich der DSGVO Personendaten bearbeitet, wird es diese ab dem Vollzug des Brexit (d.h. voraussichtlich ab dem 30. März 2019) nicht mehr ohne Weiteres nach Grossbritannien exportieren können. Solange kein anderslautendes Übereinkommen zwischen der EU und Grossbritannien oder ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, wird es die Exporte mit den Standardvertragsklauseln oder auf andere geeignete Weise absichern oder rechtfertigen müssen.

DSGVO – Weitere Massnahmen

Neben der Regelung etwaiger Datenübermittlungen nach Grossbritannien sind im Rahmen der DSGVO noch weitere Massnahmen zu prüfen. Auch unter der DSGVO sind Datenschutzerklärungen anzupassen, ebenso die Verzeichnisse der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Beide müssen aufführen, wenn Personendaten in
ein Drittland übermittelt werden und welche Schutzmassnahmen benutzt werden. Dasselbe gilt für etwaige Datenschutz-Folgenabschätzungen für Datenbearbeitungen, die Exporte nach Grossbritannien vorsehen.

Falls ein Schweizer Unternehmen einen Vertreter nach Art. 27 DSGVO in Grossbritannien bestellt hat, wird es einen solchen – wohl zusätzlich – in einem Land des EWR benennen und in der Datenschutzerklärung aufführen müssen. War für eine Unternehmensgruppe bisher das britische Information Commissioner’s Office (ICO) die EU-Leitbehörde, so wird es eine neue Leitbehörde benötigen, soweit sie überhaupt noch eine Hauptniederlassung in EWR hat. Nutzt eine Unternehmensgruppe vom ICO genehmigte Binding Corporate Rules (BCR), so bleiben diese zwar weiterhin gültig. Im Falle einer Anpassung (zum Beispiel wegen des Brexit), werden sie neu der Behörde in einem anderen EWR-Staat vorgelegt werden müssen. Reicht dies zeitlich nicht, werden die Datentransfers temporär mit Standardvertragsklauseln abgesichert werden müssen.

Wer diese Massnahmen nicht trifft, setzt sich unter der DSGVO einem Bussenrisiko aus. Wir gehen allerdings davon aus, dass die Datenschutzbehörden im EWR mit Bezug auf Defizite infolge eines No-Deal-Brexit einstweilen Zurückhaltung üben werden. Die Situation erinnert an diejenige nach dem Entscheid des Europäischen Gerichtshofs (EuGH) zu «Safe Harbor», mit welchem von einem Tag auf den anderen viele Datenübermittlungen in die USA rechtswidrig wurden. Auch damals drückten die Datenschutzbehörden ein Auge zu. Diese Beispiele zeigen aber auch, wie wichtig eine funktionierende und effiziente Datenschutz-Compliance-Organisation ist. Der Brexit wird nicht die letzte derartige Herausforderung sein.

Fussnoten

¹ Siehe https://bit.ly/2H2I8BD (besucht am 28. Februar 2019).