Update zum Datenschutz nach dem Brexit

Das Vereinigte Königreich hat die Europäische Union am 31. Januar 2020 verlassen. Im Rahmen des Austrittsabkommens zwischen der EU und dem Vereinigten Königreich wurde zunächst eine Übergangsfrist vereinbart, während der das Unionsrecht - einschliesslich des Datenschutzrechts gemäss Datenschutz-Grundverordnung (DSGVO) - für das Vereinigte Königreich weiterhin galt. Diese Übergangsfrist endete am 31. Dezember 2020.

Am 24. Dezember 2020 wurde nun ein Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich erzielt, welches bereits seit dem 1. Januar 2021 vorläufig zur Anwendung kommt. Darin wurde unter anderem die Absicht bekräftigt, baldmöglichst einen Angemessenheitsbeschluss der Europäischen Kommission für die Übermittlung personenbezogener Daten aus EU/EWR-Mitgliedstaaten ins Vereinigten Königreich zu erzielen, um auch künftig einen möglichst reibungslosen Datenaustausch zu gewährleisten. Da ein solcher Angemessenheitsbeschluss jedoch noch nicht vorliegt, wurde im Handelsabkommen eine Überbrückungsperiode von 6 Monaten beschlossen, während der das bisher im Vereinigten Königreich geltende Datenschutzrecht unverändert fort gilt sowie eine Datenübermittlung dorthin als "nicht-international" und damit als ungehindert durchführbar angesehen wird.

Den EWR-Mitgliedstaaten wurde mit entsprechender Klausel im Handelsabkommen ermöglicht, die Regelungen zur Überbrückungsperiode in gleicher Weise zu übernehmen. Liechtenstein wie auch die anderen EWR-Mitgliedstaaten haben ihre Zustimmung dazu bereits formell gegeben. Als völkerrechtliches Abkommen stellt diese Zustimmung die rechtliche Grundlage für den künftigen Datenaustausch mit dem Vereinigten Königreich dar.

Wichtigste Konsequenzen während der Überbrückungsperiode

In Bezug auf den rechtlichen Rahmen für den Schutz personenbezogener Daten ändert sich folglich für die Betroffenen und datenverarbeitenden Stellen während der Überbrückungsperiode bis zum 30. Juni 2021, oder bis zum vorzeitigen Erzielen eines Angemessenheitsbeschlusses, noch nichts:

- Es sind keine zusätzlichen Formalitäten für Verantwortliche und Auftragsverarbeiter in den EU/EWR-Mitgliedstaaten oder im Vereinigten Königreich erforderlich;

- Es ist noch nicht erforderlich, dass für die Übermittlung personenbezogener Daten in das Vereinigte Königreich die gesonderten Voraussetzungen des Kapitel V DSGVO (Datenübermittlung in Drittstaaten) beachtet werden müssen.

Was passiert nach Ablauf der Überbrückungsperiode?

Nach Ablauf der Überbrückungsperiode wird das Vereinigte Königreich zum Drittland. Die Einstufung vom EU/EWR-Mitgliedsstaat zum Drittland führt dazu, dass bei einer Übermittlung personenbezogener Daten das Kapitel V DSGVO beachtet werden muss. Bis zu diesem Zeitpunkt sollte jedoch ein Angemessenheitsbeschluss der Europäischen Kommission für den Transfer personenbezogener Daten ins Vereinigte Königreich gemäss Art. 45 DSGVO vorliegen. Damit sollten Datenübermittlungen ins Vereinigte Königreich auch künftig relativ unproblematisch erfolgen können. Liegt jedoch noch kein Angemessenheitsbeschluss vor, muss auf alternative Massnahmen des Kapitel V DSGVO zurückgegriffen werden. Weitere Informationen dazu finden Sie hier auf unserer Internetseite.

Wir werden Sie rechtzeitig informieren, sobald es neue Entwicklungen gibt. Allgemeine aktuelle Informationen zum Handelsabkommen der EU mit dem Vereinigten Königreich erhalten Sie zudem auf der Seite der Europäischen Kommission.

2. Fortbildungsseminar - Stolpersteine bei der Anwendung der DSGVO: was Unternehmen beachten sollten

Seit dem 1. Fortbildungsseminar vom vergangenen Dezember hat sich im Bereich des Datenschutzes sehr viel getan. Nicht nur wurde viel dazu geschrieben, diskutiert und veröffentlicht, sondern es wurden auch ein weiteres Jahr Erfahrungen mit der Anwendung der Bestimmungen der Datenschutz-Grundverordnung (DSGVO) in der Praxis gesammelt. Das 2. Fortbildungsseminar stellt deshalb nun folgende Frage in den Vordergrund: Was für Stolpersteine bei der Anwendung gibt es? Worauf sollte speziell geachtet werden?

Experten aus Deutschland, Österreich, der Schweiz und Liechtenstein werden wiederum über ihre Erfahrungen aus Sicht der Unternehmen, der Schweiz als Drittland sowie der Aufsichtsbehörden berichten: Wie sehen sie das Thema "Stolpersteine"? Sind diese Erfahrungen vergleichbar oder gibt es trotz der angestrebten Harmonierung Unterschiede? Neu wird auch ein eigener Block eingeführt, der die Diskussion von konkreten Fragen in den Vordergrund stellt.

Organisiert wird das Fortbildungsseminar durch die Private Universität im Fürstentum Liechtenstein in Zusammenarbeit mit dem dsv.li - Datenschutzverein in Liechtenstein, der Liechtensteinischen Industrie- und Handelskammer, der BWB Rechtsanwälte AG sowie der Datenschutzstelle des Fürstentums Liechtenstein. Es findet am Dienstag, 01. Dezember 2020 als Online-Veranstaltung statt.

Weitere Informationen zum Prgramm und zur Anmeldung finden Sie hier.

Checkliste für die Prüfung der Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung (DSFA) ist für so manche, aber nicht für alle Verarbeitungsvorgänge vorgeschrieben, bei denen die Möglichkeit eines Risikos für die Rechte und Freiheiten natürlicher Personen besteht. Gemäss Art. 35 Datenschutz-Grundverordnung (DSGVO) ist die Durchführung einer DSFA immer dann obligatorisch, wenn die Verarbeitung «voraussichtlich ein hohes Risiko» für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Dies betrifft sowohl geplante als auch bereits laufende Verarbeitungsvorgänge.

In vielen Fällen ist es jedoch für die datenverarbeitenden Stellen nicht einfach festzustellen, ob eine DSFA im konkreten Einzelfall zwingend erforderlich ist oder eben nicht. Aus diesem Grund hat die Datenschutzstelle zur Orientierung eine Checkliste im Excel-Format erarbeitet. Die Checkliste gliedert sich in sechs Abschnitte. Jeder Abschnitt umfasste mehrere Hauptfragen, mit deren Beantwortung in weiterer Folge festgestellt wird, ob die Notwendigkeit der Durchführung einer DSFA für eine bestimmt Verarbeitungstätigkeit besteht. Alternativ zu den Hauptfragen können ebenso mehrere erläuternde Unterfragen beantwortet werden.

Die Checkliste findet sich, zusammen mit weiterführenden Informationen zur DSFA, auf der Internetseite der Datenschutzstelle oder kann hier heruntergeladen werden.

Für Anregungen, Kommentare oder Fragen steht Ihnen die Datenschutzstelle jederzeit gerne zur Verfügung.

Datenschutz für Unternehmen – Ergänzung der 9 Schritte

Die europäische Datenschutz-Grundverordnung (DSGVO) beinhaltet eine Reihe von Verpflichtungen für Unternehmen, die von ihnen zu erfüllen sind und für deren Einhaltung sie rechenschaftspflichtig sind. Die Datenschutzstelle unterstützt Unternehmen auf dem Weg zur DSGVO-Konformität auf ihrer Internetseite anhand einer Zusammenstellung von 9 Schritten, wie Unternehmen die wichtigsten Verpflichtungen erfüllen können.

Darüber hinaus ergeben sich aber je nach Unternehmen auch andere Situationen in Zusammenhang mit der Verarbeitung personenbezogener Daten, welche wichtige datenschutzrechtliche Verpflichtungen nach sich ziehen. Die wichtigsten davon wurden nun in 6 ergänzenden Schritten in die Zusammenstellung auf der Internetseite aufgenommen:

- Meldung von Datenschutzverletzungen (Art. 33 und 34 DSGVO)
- Internationaler Datentransfer (Art. 44 ff. DSGVO)
- Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
- Beschäftigtendatenschutz
- Videoüberwachung
- Direktwerbung

Die ergänzte Zusammenstellung mit den wichtigsten datenschutzrechtlichen Verpflichtungen von Unternehmen kann hier auf der Internetseite der Datenschutzstelle eingesehen werden.

Detaillierte Ausführungen zu den einzelnen Themen wie auch zu anderen wichtigen Bereichen des Datenschutzes finden sich auf der Internetseite der Datenschutzstelle unter Themen A-Z.

Ungültigerklärung des EU-U.S. Privacy Shields durch den Europäischen Gerichtshof

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in seinem Urteil zum Schrems II-Fall das Datenabkommen EU-U.S. Privacy Shield zwischen den USA und der EU für ungültig erklärt (Urteil EuGH C-311/18). Der EU-U.S. Privacy Shield entsprach einem sektoriellen Angemessenheitsbeschluss der EU-Kommission, aufgrund dessen Daten aus dem EU/EWR-Raum an viele Unternehmen in den USA rechtssicher übermittelt werden konnten. Der Jurist Max Schrems hatte jedoch - wie schon gegen das Vorgängermodell Safe Harbour - gegen eine Datenübermittlung durch Facebook an den Mutterkonzern in den USA geklagt, weil der U.S. Privacy Shield in den USA nicht ein vergleichbar hohes Datenschutzniveau wie im EU/EWR-Raum garantiere. So hätten insbesondere staatliche Behörden in den USA weitgehende Zugriffsmöglichkeiten auf die Daten, gegen die sich Betroffene aus dem EU/EWR-Raum nicht angemessen wehren könnten. Der EuGH ist dieser Argumentation nun grösstenteils gefolgt.

Allerdings stellte der Europäische Gerichtshof in seinem Urteil auch klar, dass Daten nach wie vor aufgrund anderer geeigneter Garantien nach Art. 46 ff. DSGVO in die USA übermittelt werden können, insbesondere auch aufgrund von Standarddatenschutzklauseln. Zumindest mittelfristig, bis allenfalls durch die EU-Kommission ein neues Abkommen mit den USA zur Datenübermittlung geschlossen werden kann, müssen sich Verantwortliche nun auf solche Instrumente stützen. Die Datenschutzstelle hat auf ihrer Internetseite eine Zusammenstellung der Voraussetzungen und der verschiedenen geeigneten Garantien für Datenübermittlungen in Drittstaaten veröffentlicht. Der Beitrag kann hier nachgelesen werden.

Im Übrigen wird die Datenschutzstelle die Entscheidung des EuGH und ihre Konsequenzen für Datenübermittlungen in Drittstaaten analysieren und demnächst nähere Anleitungen dazu veröffentlichen.