BREXIT: Vorsorgemaßnahmen für den Datenschutz jetzt treffen

veröffentlicht am ​11. Oktober 2018 / Lesedauer: ca. 4 Minuten; Autoren: Alexander Theusner, Johannes Marco Holz, Maximilian S. Dachlauer
 
Das Vereinigte Königreich wird am 30. März 2019 aus der Europäischen Union austreten. Die Verhandlungen über den Austritt verlaufen schleppend, die Positionen erscheinen unvereinbar, das Zeitfenster für eine Einigung schließt sich bald. Das Szenario eines „Hard Brexit”, dem Austritt des United Kingdom (UK) ohne Austrittsvereinbarung, wird zunehmend wahr­scheinlicher. Jedoch bliebe auch bei rechtzeitigem Abschluss eines Austrittsabkommens mit einer übergangsweisen Weiter­geltung des EU-Rechts nicht alles beim Alten. Die EU fordert daher dazu auf, entsprechende Vorbereitungsmaßnahmen und Notfallvorsorgen zu treffen. Das betrifft insbesondere auch den Datenschutz bei Datenübermittlungen in ein „Nach-Brexit-Britannien”. Was gilt es zu beachten? 


 

• Wer ist betroffen?

• Rechtliche Herausforderungen

• Massnahmen und Lösungen

• Fazit

     

Wer ist betroffen?

Relevant wird das Thema zunächst für Unternehmen in der EU mit Einkaufs- oder Kundenbeziehungen in das Vereinigte Königreich oder eigenen Niederlassungen oder Konzerngesellschaften vor Ort. Betroffen sind auch Online-Händler, die aus der EU heraus Kunden im UK beliefern. Die EU weist darauf hin, dass Unternehmen jeder Größe – auch kleine und mittlere Unternehmen – umgehend Vorbereitungsmaßnahmen auch für den Datenverkehr treffen sollten.
 

Rechtliche Herausforderungen

Kommt es zu einem „Hard Brexit”, so gilt die Datenschutzgrundverordnung (DSGVO) ab dem 30. März 2019 im Vereinigten Königreich nicht mehr. In datenschutzrechtlicher Hinsicht wäre es dann zunächst ein Drittland. Sobald das EU-Recht dort nicht mehr gilt, wird die Übermittlung personenbezogener Daten aus der EU nach UK immer noch möglich sein, aber spezifischen Bedingungen unterliegen, die im Unionsrecht festgelegt sind. 
 

Falls ein Austrittsabkommen geschlossen wird, könnte das EU-Recht auch in Bezug auf den Datenschutz noch für eine Übergangsphase weitergelten. Jedoch spätestens mit Ablauf der Übergangsphase wäre UK als ein Drittland zu sehen.
 

In Bezug auf den Datenschutz geht es im Kern um die Frage, ob künftig das Niveau des Datenschutzes im Drittland UK dem Schutzniveau in der EU entspricht. Selbst wenn das der Fall sein sollte, dürfte wohl kaum kurzfristig mit einem formellen Anerkennungsakt der EU-Kommission zu rechnen sein.
 

Die DSGVO ist am 25. Mai 2018 auch im – Noch-Mitgliedsstaat – UK unmittelbar wirksam geworden. Daraus kann aber nicht geschlossen werden, dass automatisch das Datenschutzniveau im Vereinigten Königreich auch künftig jenem in der EU im Wesentlichen entspricht. Vielmehr weist die EU ausdrücklich darauf hin, dass sie sich eine Prüfung des Schutzniveaus vorbehält. Kommt die EU zu dem Schluss, dass das Datenschutzniveau im Wesentlichen gleich ist, würde die EU-Kommission einen sog. Angemessenheitsbeschluss fassen, der die Übermittlung personenbezogener Daten in das Vereinigte Königreich ohne Einschränkungen gestattet. Die EU stellt dabei klar, dass diese Entscheidung erst dann getroffen werden kann, wenn das Vereinigte Königreich ein Drittland wird, d.h. aus der EU ausgetreten ist. Daher müssen sich Unternehmen auf die Situation vorbereiten, dass ab dem 30. März 2019 kein Angemessenheitsbeschluss vorliegt und die Datenübermittlung nach UK datenschutzrechtlich eine Übermittlung in ein Drittland ist.
 

Maßnahmen und Lösungen

Datenübermittlungen in Drittländer, die nicht einem Angemessenheitsbeschluss unterliegen, sind zwar grundsätzlich möglich, jedoch müssen die für die Datenverarbeitung Verantwortlichen dafür besondere Vorkehrungen treffen. Verantwortliche oder Auftragsverarbeiter dürfen gemäß DSGVO personenbezogene Daten nur dann in ein Drittland übermitteln, sofern sie geeignete Garantien vorgesehen haben und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Das kann u.a. durch die Implementierung verbindlicher interner Datenschutzvorschriften („Binding Corporate Rules”, kurz BCR) oder durch den Abschluss von Standard-Datenschutzklauseln geschehen, wobei die Etablierung von BCR einem behördlichen Genehmigungsverfahren unterliegt.
 
Konkret können die Vorbereitungen auf den Brexit so aussehen:
 

• Zunächst sollten Unternehmen jetzt überprüfen, welche Daten sie in das Vereinigte Königreich übermitteln. Neben Lieferanten und Kunden können das insbesondere auch gemeinsam mit Niederlassungen oder Konzerngesellschaften im UK genutzte IT-Systeme sein. Denkbar wäre etwa ein ERP-System, das in Deutschland gehostet wird und auf das auch eine Niederlassung im UK zugreifen kann.
• Anschließend sollte geklärt werden, ob es mit Kunden/Lieferanten, Niederlassungen/Konzern­gesell­schaften oder Auftragsverarbeitern bereits datenschutzrechtliche Vereinbarungen gibt, etwa Verträge zur Auftragsverarbeitung, die entsprechend ergänzt werden können.
• Binding Corporate Rules: Unterwirft sich ein Unternehmen verbindlichen internen Daten­schutzvorschriften und werden diese von der zuständigen Aufsichtsbehörde genehmigt, so kann die Datenübermittlung in ein Drittland stattfinden. Jedoch handelt es sich bei der Implementierung von verbindlichen internen Datenschutzvorschriften um ein relativ aufwändiges Verfahren. Es wäre daher fraglich, ob ein solches noch bis zum Austrittsdatum abgeschlossen werden kann.
• Alternativ kann ein Verantwortlicher oder Auftragsverarbeiter mit den Empfängern der Daten im UK vertraglich ein bestimmtes Schutzniveau festlegen. Das geschieht durch die Vereinbarung sog. Standardvertragsklauseln, die die EU-Kommission erlassen hat. Die Standards müssen mit dem jeweiligen Partner im UK vertraglich geregelt werden. Sie können bei bestehenden Verträgen als Nachtrag hinzugefügt oder als „Stand Alone-Agreement” abgeschlossen werden. Wegen des Alters der von der EU-Kommission veröffentlichten Fassungen der Standardvertragsklauseln ist jedoch bislang ungeklärt, ob die gegenwärtigen Fassungen dauerhaft Bestand haben werden.

 
Weltweit tätige Unternehmen sollten – auch unabhängig vom Brexit – in jedem Fall die Frage der Datenübermittlung in Drittländer analysieren und die entsprechenden Vorkehrungen treffen. Besteht im Unternehmen ein entsprechendes vertragliches Instrumentarium, kann es relativ leicht auf alle Drittländer-Beziehungen angewendet werden.
 

Fazit

In Bezug auf den Brexit sollten diese Vorkehrungen schnellstmöglich angegangen werden, um im Falle eines Austritts ohne Austrittsvereinbarung (oder eine mit Blick auf den Datenschutz unzureichende Vereinbarung) vorbereitet zu sein. Das ist auch die ausdrückliche Empfehlung der Europäischen Union an ihre Bürger und an alle Wirtschaftsakteure. Weil Unternehmen im UK bereits ohnehin durch die Brexit-Vorbereitungen stark in Anspruch genommen sind, sollte das Thema weit oben auf der Agenda stehen.