Auswirkungen eines No-Deal-Brexits auf den Datenschutz

In Großbritannien wird nach wie vor intensiv über den EU-Austritt des Landes diskutiert. Wann der Brexit kommt, ist immer noch unklar. Die neue Frist ist zum 31. Oktober 2019 gesetzt. Doch was bedeutet der Brexit – insbesondere einer ohne Austritts-Vertrag mit der EU – für den Datenschutz in deutschen bzw. europäischen Unternehmen?

Der Brexit-Vertrag sah u.a. vor, dass das europäische Datenschutzrecht während einer Übergangsphase mindestens bis zum 31. Dezember 2019 gelten soll. Das wäre genug Zeit für die EU-Kommission gewesen, um über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden zu können. Denn nach dem Brexit wird Großbritannien ein sogenanntes Drittland im Sinne der Datenschutz-Grundverordnung (DSGVO). Die DSGVO sieht für einen Datentransfer in ein Drittland besondere Regelungen vor (Art. 44 – 49 DSGVO).

Ein No-Deal-Brexit – worauf es wohl hinauslaufen wird – bedeutet jedoch, dass es keine Übergangsfrist gibt und Großbritannien mit Austritt am 31. Oktober 2019 wie ein Drittland behandelt wird. Es ist wahrscheinlich, dass die EU-Kommission in einem No-Deal-Szenario ein Angemessenheitsverfahren einleiten wird; allerdings kostet so ein Verfahren Zeit. Unternehmen, die personenbezogene Daten mit Großbritannien austauschen, sollten die Entwicklung unbedingt weiter beobachten. Im Falle eines No-Deal-Brexits müssen Unternehmen und andere private Organisationen für die Übermittlung von personenbezogenen Daten zusätzliche Sicherheitsvorkehrungen ergreifen.

Was ist zu tun im Falle eines No-Deal-Szenarios?

Die EU-Kommission hat bereits im November 2018 bereits einen Notfallmaßnahmenkatalog für ein No-Deal-Szenario veröffentlicht. Aus Sicht des Datenschutzes ist erwähnenswert, dass der Katalog keinen Angemessenheitsbeschluss nach Art. 45 DSGVO enthält.

Datentransfer von der EU nach Großbritannien

In einem Informationsschreiben (Notice to stakeholder in the field of data protection), das sich an alle europäischen Bürger, Unternehmen und Mitgliedstaaten richtet, mahnt die EU-Kommission ausdrücklich, sich auf alle möglichen Szenarien vorzubereiten. Im Falle eines No-Deal-Brexit sind ab dem 30. März 2019 Datenübermittlungen nach Großbritannien nur möglich, wenn einer der vorgesehenen Mechanismen in Art. 44 ff. DSGVO ergriffen wird:

  • Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DSGVO)
  • Vorliegen geeigneter Garantien, z.B. Standardvertragsklauseln im Falle einer Auftragsverarbeitung (Art. 46 DSGVO)
  • Ausnahmen für bestimmte Fälle (Art. 49 DSGVO):
    • Einwilligung der Betroffenen (Art. 49 Abs. 1 Buchst. a) DSGVO)
    • Übermittlung zur Erfüllung eines Vertrags (Art. 49 Abs. 1 Buchst. b) DSGVO)
    • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs.1 Buchst. e) DSGVO) oder
    • aus wichtigen Gründen des öffentlichen Interesses (Art. 49 Abs.1 Buchst. d) DSGVO)
  • Anpassung des Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO).

Bitte beachten Sie, dass der Europäische Gerichtshof (EuGH) derzeit die Rechtmäßigkeit der EU-Standardvertragsklauseln prüft. Die Verwendung der Standardvertragsklauseln ist jedoch nach wie vor möglich und üblich. Bitte beobachten Sie aber auch hier die weitere Entwicklung.

Für Unternehmen in UK

Die britische Aufsichtsbehörde (ICO – Information Commissioner‘s Office) hat einen Leitfaden für britische Unternehmen für den Fall eines harten Ausstiegs aus der EU veröffentlicht. Hier werden folgende sechs Schritte empfohlen:

  1. Britische Unternehmen sollen sich weiter an die Bestimmungen der DSGVO halten und diese befolgen;
  2. Für den Datentransfer aus der EU/EWR nach Großbritannien: Überprüfung des Datentransfers, um sicherzustellen, dass ausreichende Sicherheitsvorkehrungen getroffen werden (siehe oben);
  3. Für den Datentransfer von Großbritannien in die EU/EWR: Beachtung der Bestimmungen des UK Data Protection Act 2018 zum internationalen Datentransfer (Chapter 5);
  4. Europaweit tätige Konzerne sollten ihre Verarbeitungsvorgänge und Datenflüsse überprüfen, um zu beurteilen, wie sich der Austritt Großbritanniens aus der EU auf die für sie geltenden Datenschutzbestimmungen auswirken wird;
  5. Dokumentation: Überprüfung der Datenschutzinformationen und interne Unterlagen, um detailliert zu ermitteln, welche Anpassungen vorgenommen werden müssen.
  6. Bewusstsein für organisatorische Fragen: Sicherstellen, dass Personen in Schlüsselpositionen innerhalb eines Unternehmens sich der bevorstehenden Problematik bewusst sind und Pläne auf dem neusten Stand halten.

Zusätzlich beantwortet das ICO auf der eigenen Website häufig gestellte Fragen (FAQ) und stellt ein Online-Tool bereit, das automatisch Standardvertragsklauseln generiert.

Das britische Ministerium für Kultur, Medien und Sport hat ebenfalls einen Leitfaden im Falle eines No-Deal-Ausstiegs veröffentlicht. Dieser beinhaltet folgende Leitaussagen:

  1. Großbritannien wird die Datenschutzgesetze aller EU/EWR-Mitgliedstaaten und Gibraltar im Sinne des UK Data Protection Act 2018 als angemessen behandeln. Demnach müssen keine weiteren Mechanismen für den Datentransfer von Großbritannien in die EU eingesetzt werden.
  2. Bestehende Angemessenheitsbeschlüsse (z.B. Schweiz) werden zunächst weiterhin von Großbritannien anerkannt. Somit kann ein Datentransfer in Länder mit Angemessenheitsbeschluss fortgesetzt werden.
  3. Es ist vorgesehen, dass Standard-Vertragsklauseln weiterhin auch mit Nicht EU/EWR-Mitgliedsstaaten verwendet werden können.
  4. Britische Unternehmen, die nicht in der EU vertreten sind (z.B. durch eine Niederlassung) müssen sich darauf einstellen, einen EU-Vertreter gemäß Art. 27 DSGVO zu benennen, sofern sie Waren und/oder Dienstleistungen in der EU anbieten oder das Verhalten von EU Bürgern beobachten.

Fazit

Aufgrund der Ungewissheit bei der Brexit-Entwicklung bleibt die Frage, inwieweit der Transfer personenbezogener Daten zwischen Großbritannien und der EU/EWR in Zukunft ungehindert stattfinden kann. Von großer Bedeutung für sowohl EU/EWR-Unternehmen als auch für britische Unternehmen ist demnach, ob Großbritannien von der EU als angemessenes Drittland angesehen wird. Dies würde den freien Datentransfer personenbezogener Daten aus dem EU/EWR-Raum weiterhin ermöglichen.

Dieser aktualisierte Artikel wurde zuerst am 16. Januar 2019 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.