Ungeregelter BREXIT – ein Datenschutzdesaster?

Der Brexit

Bereits am 23. Juni 2016 entschied sich eine knappe Mehrheit der Wähler Großbritanniens für einen Austritt des Vereinigten Königreichs aus der Europäischen Union (nachfolgend „EU“).

Nach gefühlt nicht enden wollenden Verhandlungen wurde das Austrittsabkommen schließlich zu Beginn dieses Jahres unterzeichnet. Jenes Abkommen trat mit Ablauf des 31. Januars in Kraft, so dass das Vereinigte Königreich in der Nacht zum 01. Februar 2020 offiziell aus der EU ausgetreten ist. Zu beachten ist, dass im Austrittsabkommen eine Übergangsphase bis zum Ende des Jahres 2020 fixiert wurde.

Bedeutung der Übergangsfrist

Die Übergangsfrist soll den unterschiedlichen betroffenen Akteuren (z.B. Unternehmen) die Möglichkeit bieten, sich auf die bevorstehenden Änderungen und Auswirkungen durch den Brexit vorzubereiten. Die Folge ist eine Fortgeltung des Unionsrechts für Großbritannien bis zum Ende dieser Frist. Da auch die EU-Datenschutz- Grundverordnung (nachfolgend „DSGVO“) als Unionsrecht einzustufen ist, gilt auch sie bis auf Weiteres für das Vereinigte Königreich. Zurücklehnen sollte man sich trotzdem nicht, denn im Austrittsabkommen ist explizit geregelt, dass die Frist nur noch bis zum 01. Juli 2020 einmalig um ein oder zwei Jahre verlängert werden kann.

Geschieht dies bis zu dem besagten Datum nicht und wird Großbritannien auch kein ausreichendes Datenschutzniveau im Rahmen eines Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 Abs. 1 S. 1 DSGVO zugestanden, müssen diverse Vorkehrungen getroffen werden, um Datenflüsse auf rechtlich sichere Füße zu stellen. Zwar wird aussagegemäß ein Angemessenheitsbeschluss bis Ende 2020 angestrebt, wer sich allerdings entsprechende Verfahren der letzten Jahre ansieht, der wird schnell feststellen, dass dieser Beschluss im Rekordtempo ergehen müsste. Erschwerend hinzu

kommt der Umstand, dass durchaus infrage gestellt werden darf, ob die EU-Kommission den Briten ein angemessenes Datenschutzniveau bescheinigen wird, zumal die Regierung neuerdings auf ein eigenständiges und unabhängiges Regelwerk zum Datenschutz setzen will. Ferner ist der datenschutzrechtlich äußerst fragwürdige „Investigatory Powers Act“ zu nennen, der u.a. Dinge wie Vorratsdatenspeicherung und umfassende Überwachungsmaßnahmen legitimiert.

Ohne einen Angemessenheitsbeschluss wird Großbritannien aus datenschutzrechtlicher Sicht zum sog. unsicheren Drittland, wodurch es für eine legitime Datenübertragung geeigneter Garantien im Sinne der Art. 44 ff. DSGVO bedarf. Werden personenbezogene Daten in ein Drittland übertragen, ohne dass die vorbezeichneten Vorschriften beachtet werden, liegt ein Datenschutzverstoß vor, der ein erhebliches Bußgeld nach sich ziehen kann.

Was ist zu beachten?

Auch hier gilt es Ruhe zu bewahren, jedoch nicht untätig zu sein, denn es gibt verschiedene Möglichkeiten Datenflüsse in und aus dem Vereinigten Königreich auch im Fall eines ungeregelten Brexits rechtssicher abzubilden. Für Unternehmen bestehen demnach folgende Möglichkeiten:

  • genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
  • Standardvertragsklauseln der EU-Kommission nach Art. 46 Abs. 2 lit. c DSGVO
  • Binding Corporate Rules nach Art. 47 DSGVO
  • individuell verhandelte Vertragsklauseln oder Verwaltungsvereinbarungen

In gewissen Ausnahmesituationen kann eine Datenübermittlung in ein Drittland auch ohne Vorliegen geeigneter Garantien erfolgen. Entsprechend der sehr eng auszulegenden Ausnahmetatbestände von Art. 49 DSGVO kann dies beim Vorliegen der folgenden Voraussetzungen der Fall sein:

  • Einwilligung der Betroffenen liegt vor
  • Datenübertragung erforderlich zur Vertragserfüllung
  • wichtige Gründe des öffentlichen Interesses liegen vor
  • Verfolgung von Rechtsansprüchen
  • Schutz lebenswichtiger Interessen
  • Wahrung zwingender berechtigter Interessen

Zusätzlich kann es geboten sein, u.a. das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO sowie Datenschutzhinweise und Datenschutzerklärungen im Sinne der Art. 13, 14 DSGVO oder auch Auskunftsschreiben gemäß Art. 15 DSGVO entsprechend der neuen Gegebenheiten zu ergänzen. Unter Umständen können außerdem Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO erforderlich werden.

Fazit

Ähnlich wie seinerzeit bei der DSGVO selbst besteht auch hinsichtlich des Brexits zunächst eine Übergangsfrist. Diese Übergangsphase endet zum Jahresende 2020 nach nur 11 Monaten vergleichsweise schnell. Unternehmen sollten sich bis dahin auf die Möglichkeit eingestellt haben, dass Großbritannien dann als unsicheres Drittland im Sinne der DSGVO zu klassifizieren sein wird.

Organisationen sind daher gut beraten, frühzeitig die richtigen Stellschrauben zu drehen, auch wenn ein möglicher Angemessenheitsbeschluss nicht gänzlich ausgeschlossen ist.

Folglich sollten Vorbereitungen getroffen werden, um nicht ggf. Datenübermittlungen einstellen und damit auch Geschäftsbeziehungen beenden zu müssen.

Autor:
Benjamin Spallek, LL.M.
Director Data Protection Services Creditreform Compliance Services GmbH