BREXIT – No-Deal mit der EU: Auswirkungen auf den Datenschutz

Am 15. Januar 2019 stimmte das britische Parlament über den von Premierministerin Theresa May ausgehandelten Brexit-Deal mit der EU ab. Das Votum ergab ein eindeutiges Ergebnis: No Deal. Diese Ablehnung des Brexit-Vertrages für den EU-Austritt könnte zu einem ungeregelten Austritt Großbritanniens aus der Union am 29. März 2019 führen. Doch was bedeutet das Votum für den Datenschutz in deutschen bzw. europäischen Unternehmen?

Der Brexit-Vertrag sah u.a. vor, dass das europäische Datenschutzrecht während einer Übergangsphase mindestens bis zum 31. Dezember 2019 gelten soll. Das wäre genug Zeit für die EU-Kommission gewesen, um über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden zu können. Denn nach dem Brexit wird Großbritannien ein sogenanntes Drittland im Sinne der Datenschutz-Grundverordnung (DSGVO). Die DSGVO sieht für einen Datentransfer in ein Drittland besondere Regelungen vor (Art. 44 – 49 DSGVO).

Ein No-Deal-Brexit bedeutet jedoch, dass es keine Übergangsfrist gibt und Großbritannien mit Austritt am 29. März 2019 wie ein Drittland behandelt wird. Es kann nicht erwartet werden, dass die EU-Kommission in dieser kurzen Frist einen Angemessenheitsbeschluss erlässt. Auch wenn mit dem näher rückenden Termin ein No-Deal-Szenario immer wahrscheinlicher wird, sind weitere Szenarien denkbar: Misstrauensvotum, Neuwahlen oder ein zweites Referendum. Unternehmen, die personenbezogene Daten mit Großbritannien austauschen, sollten die Entwicklung unbedingt weiter beobachten.

Was ist zu tun im Falle eines No-Deal-Szenarios?

Die EU-Kommission hat bereits im November 2018 bereits einen Notfallmaßnahmenkatalog für ein No-Deal-Szenario veröffentlicht. Aus Sicht des Datenschutzes ist erwähnenswert, dass der Katalog keinen Angemessenheitsbeschluss nach Art. 45 DSGVO enthält.

Datentransfer von der EU nach Großbritannien

In einem Informationsschreiben (Notice to stakeholder in the field of data protection), das sich an alle europäischen Bürger, Unternehmen und Mitgliedstaaten richtet, mahnt die EU-Kommission ausdrücklich, sich auf alle möglichen Szenarien vorzubereiten. Im Falle eines No-Deal-Brexit sind ab dem 30. März 2019 Datenübermittlungen nach Großbritannien nur möglich, wenn einer der vorgesehenen Mechanismen in Art. 44 ff. DSGVO ergriffen wird:

  • Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DSGVO)
  • Vorliegen geeigneter Garantien, z.B. Standardvertragsklauseln im Falle einer Auftragsverarbeitung (Art. 46 DSGVO)
  • Ausnahmen für bestimmte Fälle (Art. 49 DSGVO):
    • Einwilligung der Betroffenen (Art. 49 Abs. 1 Buchst. a) DSGVO)
    • Übermittlung zur Erfüllung eines Vertrags (Art. 49 Abs. 1 Buchst. b) DSGVO)
    • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs.1 Buchst. e) DSGVO) oder
    • aus wichtigen Gründen des öffentlichen Interesses (Art. 49 Abs.1 Buchst. d) DSGVO)

Bitte beachten Sie, dass der Europäische Gerichtshof (EuGH) derzeit die Rechtmäßigkeit der EU-Standardvertragsklauseln prüft. Die Verwendung der Standardvertragsklauseln ist jedoch nach wie vor möglich und üblich. Bitte beobachten Sie aber auch hier die weitere Entwicklung.

Für Unternehmen in UK

Die britische Aufsichtsbehörde (ICO – Information Commissioner‘s Office) hat einen Leitfaden für britische Unternehmen für den Fall eines harten Ausstiegs aus der EU veröffentlicht. Hier werden folgende sechs Schritte empfohlen:

  1. Britische Unternehmen sollen sich weiter an die Bestimmungen der DSGVO halten und diese befolgen;
  2. Für den Datentransfer aus der EU/EWR nach Großbritannien: Überprüfung des Datentransfers, um sicherzustellen, dass ausreichende Sicherheitsvorkehrungen getroffen werden (siehe oben);
  3. Für den Datentransfer von Großbritannien in die EU/EWR: Beachtung der Bestimmungen des UK Data Protection Act 2018 zum internationalen Datentransfer (Chapter 5);
  4. Für Konzerne: europaweit tätige Konzerne sollten ihre Dokumente bzgl. des Datenschutzes überprüfen und gegebenenfalls anpassen;
  5. Bewusstsein für organisatorische Fragen: Sicherstellen, dass Personen in Schlüsselpositionen innerhalb eines Unternehmens sich der bevorstehenden Problematik bewusst sind und Pläne auf dem neusten Stand halten.

Das britische Ministerium für Kultur, Medien und Sport hat ebenfalls einen Leitfaden im Falle eines No-Deal-Ausstiegs veröffentlicht. Dieser beinhaltet folgende Leitaussagen:

  1. Großbritannien wird die Datenschutzgesetze aller EU/EWR-Mitgliedstaaten und Gibraltar im Sinne des UK Data Protection Act 2018 als angemessen behandeln. Demnach müssen keine weiteren Mechanismen für den Datentransfer von Großbritannien in die EU eingesetzt werden.
  2. Bestehende Angemessenheitsbeschlüsse (z.B. Schweiz) werden zunächst weiterhin von Großbritannien anerkannt. Somit kann ein Datentransfer in Länder mit Angemessenheitsbeschluss fortgesetzt werden.
  3. Es ist vorgesehen, dass Standard-Vertragsklauseln weiterhin auch mit Nicht EU/EWR-Mitgliedsstaaten verwendet werden können.
  4. Britische Unternehmen, die nicht in der EU vertreten sind (z.B. durch eine Niederlassung) müssen sich darauf einstellen, einen EU-Vertreter gemäß Art. 27 DSGVO zu benennen, sofern sie personenbezogene Daten von EU Bürgern verarbeiten bzw. Waren und/oder Dienstleistungen in der EU anbieten.

Fazit

Aufgrund der Ungewissheit bei der Brexit-Entwicklung bleibt die Frage, inwieweit der Transfer personenbezogener Daten zwischen Großbritannien und der EU/EWR in Zukunft ungehindert stattfinden kann. Von großer Bedeutung für sowohl EU/EWR-<Unternehmen als auch für britische Unternehmen ist demnach, ob Großbritannien von der EU als angemessenes Drittland angesehen wird. Dies würde den freien Datentransfer personenbezogener Daten aus dem EU/EWR-Raum weiterhin ermöglichen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.