Konzernmutter, Niederlassung oder einen Geschäftspartner im Vereinigten Königreich?
Wenn die Frage mit einem „Ja“ zu beantworten ist, könnte ein ungeregelter Brexit ein Problem für eine datenschutzkonforme Datenübermittlung sein; mit Sicherheit bedeutet es einigen Aufwand.
Wo liegt das Problem?
Zunächst ist eine Datenübermittlung (Art. 44 ff. DS-GVO) natürlich immer nur erlaubt, wenn es eine Rechtsgrundlage dafür gibt. Bei einer Datenübermittlung ins „EU-Ausland“ muss zusätzlich geprüft werden, ob der europäische Datenschutzstandard erreicht wird. Man unterscheidet in diesem Zusammenhang sichere und unsichere Drittländer. Wer sicheres Drittland ist, wird per Angemessenheitsbeschluss der Europäischen Kommission bestimmt. Sichere Drittländer sind beispielsweise Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und bedingt die USA (Privacy Shield). Einen Angemessenheitsbeschluss der Europäischen Kommission für das Vereinigten Königreich gibt es bisher selbstverständlich noch nicht. Kommt also kein Austrittsabkommen mit dem Vereinigten Königreich zustande, wird das Königreich am 30. März 2019 zum unsicheren „Drittland“. Das Austrittsabkommen sieht indes eine Übergangsregelung bis zu einem Angemessenheitsbeschluss der Europäischen Kommission vor.
Ist eine Datenübermittlung in ein unsicheres Drittland möglich?
Eine Datenübermittlung in ein unsicheres Drittland ist auch möglich. Der Verarbeiter muss dann aber auf anderem Wege Datenschutz sicherstellen. Das geht beispielsweise durch Nutzung von Standarddatenschutzklauseln der Europäischen Kommission, Binding Corporate Rules, Verhaltensregelungen der Aufsichtsbehörden oder Zertifizierungen. Denkbar ist außerdem der Einsatz von Einwilligungen, mit den besonderen Anforderungen an deren Freiwilligkeit.
Welchen Handlungsbedarf gibt es also?
Jedes Unternehmen muss überprüfen, ob es personenbezogene Daten ins Königreich übermittelt. Wenn Übermittlungen stattfinden, treffen den Arbeitgeber insbesondere die Informationspflichten nach Art. 13 Abs. 1 lit. f); 14 Abs. 1 lit. f) DS-GVO. Das Verarbeitungsverzeichnis ist zu ergänzen, Art. 30 DS-GVO und ggf. Auskunft entsprechend Art. 15 Abs. 1 lit. c, Absatz 2 DSGVO zu erteilen. Möglicherweise ist auch eine Risikoabwägung im Rahmen einer Datenschutz-Folgeabschätzung durchzuführen.
Was kann der Betriebsrat tun?
Der Betriebsrat wacht nach § 80 Abs. 1 Ziffer 1. BetrVG zugunsten der Arbeitnehmer über die Einhaltung auch der Datenschutzregelungen. Er kann zur Erfüllung dieser Aufgabe nach § 80 Absatz 2 BetrVG umfassende Unterrichtung durch den Arbeitgeber verlangen. Die erforderlichen Unterlagen sind bereitzustellen. Sachkundige Arbeitnehmer sind als sog. Auskunftsperson durch den Arbeitgeber zur Verfügung zu stellen, § 80 Absatz 2 Satz 4 BetrVG.