@HTAI, 03.07.2018 Hessen Trade & Invest

Was bedeutet der Brexit für den Datenschutz?

Viele Unternehmen haben in den vergangenen Wochen und Monaten viel Zeit und Energie darauf verwendet, ihren Umgang mit personenbezogenen Daten gemäß der Datenschutz-Grundverordnung (DSGVO) unter die Lupe zu nehmen und an die neuen Regeln anzupassen. Da stellt sich auch die Frage, welche Auswirkungen der Brexit in diesem Zusammenhang hat.

Strahlt Ruhe aus: die Fassade der Europäischen Union in Brüssel. Wir werfen einen Blick auf die Fragen, die mit der DSGVO vielerorts Einzug gehalten haben. © istockphoto.com/ 35007

Großbritannien hat in der Vergangenheit verkündet, die Regelungen der DSGVO übernehmen zu wollen. Dennoch wird es in der Praxis umständlicher: Wenn das Vereinigte Königreich am 29. März 2019 um 23:00 Uhr aus der Europäischen Union austritt, fällt es damit auch aus dem Anwendungsbereich der DSGVO und wird somit datenschutzrechtlich zum Drittland im Sinne der Datenschutz-Grundverordnung – vergleichbar mit China, Indien, Russland oder den USA. Diesen Status verkündete die Europäische Kommission in einer Mitteilung vom 09.01.2018 und zerstörte damit die von vielen gehegte Hoffnung auf eine Anerkennung des Datenschutzniveaus im Vereinigten Königreich auch über den Brexit hinaus.

Grund für Optimismus

Auch wenn es viele offene Fragen gibt, für den Moment ist klar: Es gibt Zeit für Anpassungen, denn vom Inkrafttreten der Datenschutzgrundverordnung bis zum Austritt des Vereinigten Königreichs aus der EU am 29. März 2019 dürfte der Datentransfer aus und nach Großbritannien vor keinen größeren Hürden stehen. Für die Zeit danach wird ein Angemessenheitsbeschluss entscheidend sein, mit dem die Europäische Kommission entscheiden kann, dass ein Drittland über ein angemessenes Schutzniveau verfügt. Das bedeutet dann, dass Daten an ein Unternehmen in diesem Drittland übermittelt werden können, „ohne dass der Datenexporteur verpflichtet ist, weitere Garantien zu liefern oder zusätzliche Bedingungen zu erfüllen“. Mit anderen Worten werden „Übermittlungen in ein ‚angemessenes‘ Drittland an eine Übermittlung von Daten innerhalb der EU angepasst.“

Dann müssen geeignete Garantien gegeben sein, die den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stellen.

Diese können sich wie folgt gestalten:
  • Im Fall von Konzernen oder Unternehmensgruppen, die eine gemeinsame Wirtschaftstätigkeit ausüben, können Unternehmen personenbezogene Daten auf der Grundlage sogenannter verbindlicher interner Datenschutzvorschriften übermitteln;
  • vertragliche Vereinbarungen mit dem Empfänger der personenbezogenen Daten zum Beispiel mithilfe von Standardvertragsklauseln, die von der Europäischen Kommission genehmigt wurden;
  • die Einhaltung von Verhaltensregeln oder Zertifizierungsverfahren zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Empfängers, geeignete Garantien zum Schutz der übermittelten Daten anzuwenden.

Solange kein Angemessenheitsbeschluss vorliegt, sind für den Datentransfer von und nach Großbritannien die Instrumente des Art. 46 DSGVO anzuwenden. Es wird wohl vorrangig auf EU-Standardvertragsklauseln zugegriffen werden. Auch können genehmigte Verhaltensregen („Code of Conduct“) und Zertifizierungsmechanismen als Übermittlungsgrundlage dienen. 

Für Unternehmen in der Europäischen Union heißt dies, dass sie sich nun also frühzeitig um die Rechtssicherheit ihres Datentransfers in das Vereinigte Königreich bemühen müssen.


To-do-Liste für den Datenschutzbeauftragten zum Brexit
  • Stellen Sie fest, ob derzeit in Ihrem Verantwortungsbereich personenbezogene Daten in das Vereinte Königreich transferiert werden oder ob damit bis zum 29. März 2019 begonnen werden soll.
  • Achten Sie besonders auf Datenübermittlungen, bei denen im Vereinigten Königreich nur eine Art „Transferstation“ vorhanden ist, die Daten aber letztlich in ein anderes Land außerhalb der EU fließen. Solche Fälle sind relativ häufig, weil im Vereinigten Königreich der Genehmigungsmechanismus für solche Datenübermittlungen derzeit teils deutlich weniger bürokratisch ist als in anderen Mitgliedstaaten der EU. 
  • Falls solche Fälle vorliegen: Weisen Sie die Geschäftsleitung darauf hin, dass es sich ab dem 29. März 2019 bei einer solchen Datenübermittlung um eine Datenübermittlung in einen Drittstaat handelt.
  • Hierfür muss ab 29. März 2019 eine der Rechtsgrundlagen erfüllt sein, die in der DSGVO vorgesehen sind.
  • Ist das nicht der Fall, liegt ein Bußgeldtatbestand vor (Fall des Art. 83 Abs. 5 Buchst. C DSGVO).
  • Deshalb ist es notwendig, bis zum 29. März 2019 entsprechende rechtliche Vorkehrungen zu treffen.
  • Der Hinweis, dass das Datenschutzrecht im Vereinigten Königreich vor und nach diesem Datum voraussichtlich denselben Inhalt haben wird und dass auch die bisherige Datenschutzaufsichtsbehörde weiterhin fortbestehen wird, hilft rechtlich gesehen nichts.

Referenzen
  1. Europäische Kommission: Welche Vorschriften gelten, wenn meine Organisation Daten nach außerhalb der EU übermittelt?. https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_de (25.06.2018)
  2. Ehmann, Dr. Eugen: Die Folgen des Brexit für den Datenschutz. https://www.datenschutz-praxis.de/fachartikel/die-folgen-des-brexit-fuer-den-datenschutz/ (25.06.2018)

Sie bekommen das Update noch nicht?

Melden Sie sich hier an und bleiben Sie stets informiert.