Tablet und Smartphone mit Europaflagge auf Laptop

Brexit und Datenschutz: Wie geht es weiter?

  • Barbara Scheben, Partner |

Keyfacts

  • Elfmonatige Übergangsphase des Austrittabkommens endet am 31.Dezember 2020.

  • Britische Regierung strebt Angemessenheitsbeschluss der EU-Kommission an.

  • Unternehmen sollten rechtzeitig handeln, um die Einhaltung des Datenschutzrechts gewährleisten zu können.

Großbritannien ist am 31. Januar 2020 aus der Europäischen Union (EU) ausgetreten. Damit fand die Brexit-Saga, die mit dem Referendum am 23. Juni 2016 ihren Anfang nahm, ein vorläufiges Ende. Durch das am 24. Januar 2020 unterzeichnete Austrittsabkommen konnte zumindest der “kalte Brexit” im Vorfeld abgewendet werden. Die EU und das Vereinigte Königreich einigten sich dabei auf eine Übergangsphase vom 1. Februar 2020 bis zum 31. Dezember 2020, innerhalb derer man sich über die weiteren Details des Austritts verständigen will. Im Fokus der Parteien steht dabei auch die künftige Zusammenarbeit im Datenschutz. Während der Übergangsphase gilt die EU-Datenschutz-Grundverordnung (DSGVO) weiterhin als unmittelbar anwendbares Recht. Großbritannien wird auf Grundlage einer vertraglichen Vereinbarung für diese Zeit wie ein EU-Mitgliedstaat behandelt (Art. 46 Abs. 2 lit. a DSGVO). Dadurch sind Datenverarbeitungen derzeit noch unter den gleichen Voraussetzungen zulässig, wie vor dem Brexit. Die Übergangsphase hätte bis zum 1. Juli 2020 auf Antrag Großbritanniens verlängert werden können  - die Frist verstrich jedoch ungenutzt.

Was geschieht am Ende der Übergangsphase?

Das hängt ganz maßgeblich von den Verhandlungen zwischen dem Vereinten Königreich und der EU ab. Attestiert die EU-Kommission Großbritannien bis zum Ende der Übergangsphase, also bis zum 31. Dezember 2020, durch einen Angemessenheitsbeschluss ein mit der DSGVO vergleichbares Datenschutzniveau, gilt Großbritannien als “sicheres Drittland”. Datenverarbeitungen im Zusammenhang mit dem Vereinigten Königreich wären dann auch weiterhin ohne zusätzliche Vorkehrungen der Parteien möglich. 

Nach aktueller Stellungnahme der britischen Datenschutzbehörde Information Commissioner's Office (ICO) bemüht sich die Regierung des Vereinigten Königreichs derzeit um eine Angemessenheitsentscheidung der Europäischen Kommission. Großbritannien zeigt sich in dieser Hinsicht insbesondere bestrebt für ein angemessenes Datenschutzniveau zu sorgen. So soll der Data Protection Act 2018 (DPA 2018), der die DSGVO aktuell innerhalb Großbritanniens ergänzt, auch in Zukunft gelten. Darüber hinaus sollen die Regelungen der DSGVO am Ende der Übergangsphase als "UK DSGVO" (United Kingdom General Data Protection Regulation) unmittelbar in das britische Recht integriert werden und neben dem DPA 2018 stehen. Nach Aussage des ICO soll es somit in der Praxis kaum zu wesentlichen Änderungen an den Grundsätzen, Rechten und Pflichten der DSGVO im Bereich des britischen Datenschutzes kommen.

Sofern Großbritannien und die EU keine Einigung über die datenschutzrechtliche Einstufung Großbritanniens als „sicheres Drittland“ finden, hätte das signifikante Auswirkungen auf die Datenverarbeitung zwischen deutschen und britischen Unternehmen. Für Unternehmen mit datenschutzrechtlich relevanten Berührungspunkten zum Vereinigten Königreich bedeutet dies, dass man auf andere Instrumente der DSGVO zurückgreifen sollte, um personenbezogene Daten rechtmäßig zu übermitteln. Es sind vor allem die weiteren Bestimmungen der Art. 44 ff. DSGVO zu beachten:
 

  • Vorliegen geeigneter Garantien, z. B. EU-Standarddatenschutzklauseln,
  • Datenübermittlung innerhalb eines Konzerns bei Vorliegen von Binding Corporate Rules oder
  • Ausnahmen für bestimmte Fälle, wie die ausdrückliche Einwilligung der betroffenen Person oder die Übermittlung zur Erfüllung eines Vertrages mit der betroffenen Person.

Werden die Anforderungen der Art. 44 ff. DSGVO nicht erfüllt, droht Unternehmen ein Bußgeld von bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Unternehmen aus UK müssen die DSGVO weiterhin beachten

Auch bei Verlassen des Europäischen Wirtschaftsraums (EWR) sind die Vorschriften der DSGVO für britische Unternehmen von Bedeutung, denn der räumliche Anwendungsbereich der DSGVO folgt neben dem Territorialprinzip auch dem Marktortprinzip. Demnach gilt die DSGVO auch für all jene Unternehmen mit Sitz außerhalb der EU, die sich mit ihren Waren oder Dienstleistungen an in der EU befindliche Personen richten oder deren Verhalten beobachten. Daran kann auch nationales britisches Recht nichts ändern. 

Rechtzeitig handeln

Bis zum Ende der Übergangsperiode am 31. Dezember 2020 bleibt alles zunächst beim Alten, konstatiert auch die britische Datenschutzbehörde ICO. Wie die datenschutzrechtliche Landschaft jedoch danach aussieht, steht noch in den Sternen. Angesichts der Bedenken von Unternehmen und Organisationen über den künftigen Transfer persönlicher Daten werde das ICO die Entwicklung genau im Blick behalten. 

Auch wenn die britische Regierung einen Angemessenheitsbeschluss der EU-Kommission anstrebt, ist fraglich, ob ein solcher Beschluss rechtzeitig bis Ende des Übergangszeitraums zustande käme. Vor dem Hintergrund, dass die bisherigen Verfahren zur Annahme eines Angemessenheitsbeschlusses im Durchschnitt über zwei Jahre dauerten, erscheint der Zeitplan zumindest ambitioniert.

Unternehmen sind daher gut beraten, die aktuelle Karenzzeit zu nutzen, um Datentransfers ins Vereinigte Königreich zu identifizieren und rechtliche Vorkehrungen zu treffen, um die Einhaltung des Datenschutzrechts auch dann gewährleisten zu können, wenn das Vereinigte Königreich nach dem Übergangszeitraum zu einem datenschutzrechtlichen Drittland wird. Dies betrifft z.B. die Anpassung der Information über die Datenverarbeitung, des Musters zur Auskunftserteilung sowie des Verzeichnisses von Verarbeitungstätigkeiten. Des Weiteren sind die Anforderungen der Art. 44 ff. DSGVO an die Übermittlung in Drittstaaten zu erfüllen. Gerade die Schaffung geeigneter Garantien gemäß Art. 46 ff. DSGVO ist in der Regel mit einem größeren Aufwand verbunden, da dies regelmäßig die Einigung mit anderen Konzernunternehmen oder auch der Aufsicht erforderlich macht. 

Aber auch die Anwendung der Standarddatenschutzklauseln ist nicht ohne entsprechende Überprüfung des Datenschutzniveaus im Drittland zulässig. Der Europäische Gerichtshof (EuGH) stellte zuletzt im Rahmen seiner Entscheidung zum Privacy Shield klar, dass Unternehmen, die diese Klauseln verwenden (wollen), sich explizit mit der Gesetzlage des Drittlandes auseinandersetzen und selbst prüfen müssen, ob diese Garantien ausreichend sind oder durch weitere Maßnahmen ergänzt werden müssen. Eine bloße Übernahme der Standarddatenschutzklauseln genügt den Anforderungen des EuGH nicht. Nicht erforderliche Datenübermittlungen  - auch in Bezug auf einzelne Datenarten  - sollten identifiziert und auch mit Blick auf den Datenminimierungsgrundsatz unterlassen werden. 

Die Zeit drängt, denn bereits Ende des Jahres kann ein unzulässiger Datentransfer in das Vereinigte Königreich massive Bußgelder in Höhe von bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres nach sich ziehen. Und weder der Brexit an sich noch die ambitionierten Ziele der britischen Regierung können daran etwas ändern.