Datenschutz (DSGVO) und der BREXIT

03 Sep

  • in BCMS
  • von
  • 0

BREXIT[1]

Nach langem Hin und Her gehört Großbritannien seit 1. Februar 2020 nicht mehr zur Europäischen Union. Dadurch stellt sich aus rechtlicher Sicht eine wichtige Frage:

 

Was bedeutet dieser Umstand für den Datenschutz?

Boris Johnson ließ verlauten, er wolle die volle souveräne Kontrolle über den Datenschutz wiederherstellen – ohne sich von einem Abkommen mit der EU einengen zu lassen oder die Datenschutz-Grundverordnung (DSGVO) der EU in das nationale Recht zu implementieren.
Laut Austrittsabkommen soll die DSGVO im Vereinigten Königreich zunächst bis zum Ende des Übergangszeitraumes (geplant 31. Dezember 2020) und auch danach gelten, soweit es sich um die Verarbeitung personenbezogener Daten von Personen aus der EU handelt. Selbst wenn bis Jahresende neue, souveräne Datenschutzregeln im Vereinigten Königreich einführt sind, ist der Handlungsspielraum stark eingegrenzt. Würden sich diese zu weit von den Vorgaben der EU-DSGVO entfernen, wäre das eine Verletzung des Austrittsabkommens.

 

Datenschutz in Abhängigkeit vom Zielmarkt

Der räumliche Anwendungsbereich der DSGVO folgt neben dem Territorialprinzip auch dem Marktortprinzip. Damit gilt die DSGVO auch für all jene Unternehmen mit Sitz außerhalb der EU, die sich mit ihren Waren oder Dienstleistungen an in der EU befindliche Personen richten.
Wer also seine Waren und Dienstleistungen, z.B. über eine Webseite von Großbritannien aus, auch dem Europäischen Markt anbietet, unterliegt weiterhin den Vorgaben der DSGVO. Daran kann auch nationales britisches Recht nichts ändern. Im Gegenteil – tatsächlich kommen weitere bislang nicht relevante Anforderungen auf solche Unternehmen zu, z.B. nach Art. 27 DSGVO ist ein Vertreter in der EU zu benennen, um für betroffene Personen und Aufsichtsbehörden leicht erreichbar zu sein. Britische Unternehmen, die sich an den EU-Markt wenden, bleiben trotz Brexit im vollen Anwendungsbereich der EU-DSGVO.[2]

 

 

Was passiert nach der Übergangsphase?[3]

Grundsätzlich greifen dann die Art. 44 – 50 der DSGVO, wonach das Vereinigte Königreich ab dem 1. Januar 2021 als Drittland einzustufen ist.
Für den Datenaustausch zwischen Unternehmen aus der EU und dem Vereinigten Königreich hätte das v.a. verschärfte Regeln zur Folge, sofern die EU-Kommission das Vereinigte Königreich nicht als „sicheres Drittland” (wie z.B. auch die Schweiz oder Japan) klassifiziert. Dafür müsste gewährleistet sein, dass das bisherige Datenschutzniveau weiterhin eingehalten werden kann. Angesichts der Aussagen der britischen Regierung, man wolle eigene und unabhängige Datenschutzregeln etablieren, scheint ein EU-Beschluss hierzu jedoch fraglich.

Weiterhin problematisch erscheinen die ohnehin schon harsch kritisierten britischen Überwachungsgesetze, die von europäischen Gerichten wiederholt als Verfehlung der europäischen Datenschutzgesetze ausgesprochen wurden. Denkbar wäre eine Lösung, die sich an dem EU-US Privacy Shield orientiert.

 

Ohne Angemessenheitsbeschluss droht erheblicher Klärungsaufwand[4]

Der Bundesdatenschutzbeauftragte stellte klar, was ohne einen Angemessenheits-beschluss gesehen würde: „Verantwortliche, die personenbezogene Daten an Partner in Großbritannien übermitteln wollen, müssten dann ihre Datentransfers mit den besonderen Maßnahmen nach Kapitel V der DSGVO absichern. Die Situation entspräche dann dem vor dem Abschluss des Austrittsabkommen diskutierten No-Deal-Brexit-Szenario“.

Für diesen Fall haben die Datenschutzkonferenz von Bund und Ländern sowie der Europäische Datenschutzausschuss bereits Handreichungen[5] veröffentlicht.

Demnach müssten Unternehmen und Behörden alle Datentransfers selbst rechtlich klären. Zu den Transferinstrumenten gehören beispielsweise die vom Europäischen Datenschutzausschuss und der EU-Kommission abgesegneten Standarddatenschutzklauseln beziehungsweise Ad-Hoc-Datenschutzklauseln.
Daneben können Unternehmen für den unternehmensinternen Datenaustausch Datenschutzvorschriften festlegen.
Überdies könnten branchenspezifische Verhaltenskodizes oder Zertifizierungsmechanismen theoretisch angemessene Garantien bieten. Ausnahmsweise könnte eine „ausdrückliche“ Einwilligung des Betroffenen genügen, wenn der Datenverarbeiter ein „zwingend berechtigtes Interesse“ vorweist. Damit könnten auch Einzelverträge abgeschlossen werden.

 

Was müssen wir tun/ beachten …[6]

  • Wer ist betroffen?
    Alle Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, also nicht nur Behörden und Konzerne, sondern auch kleine und mittelständische Unternehmen, Vereine, Universitäten usw. Auch die Inanspruchnahme von IT-Dienstleistungen durch britische Unternehmen (z.B. Microsoft Europe mit diversen Cloud-Lösungen) oder die Auftragsverarbeitung durch ein EU-Unternehmen für einen Verantwortlichen im Vereinigten Königreich stellen eine Datenübermittlung dar.
  • Was ist zu tun?
    Insbesondere die folgenden Vorschriften sind zu berücksichtigen:

    • Information über die Datenübermittlung in ein Drittland im Informationsblatt zur Datenverarbeitung (Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO)
    • Macht eine betroffene Person Gebrauch vom Auskunftsrecht, ist sie auch über die Datenübermittlung in Drittländer zu informieren (Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO)
    • Bezeichnung der Datenübermittlung in Drittländer im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 lit. d und lit. bzw. Art. 30 Abs. 2 lit. c DSGVO) und Eintrag der weiteren geforderten Angaben
    • Durchführung von Datenschutz-Folgenabschätzungen, soweit es um die Datenübermittlung als Drittland geht (Art. 35 DSGVO)
    • OHNE Angemessenheitsbeschluss der EU
      Schaffung geeigneter Garantien zum Schutz personenbezogener Daten unter Anwendung Kapitel V DSGVO
  • Kapitel V DSGVO?
    Für eine rechtskonforme Datenübermittlung in ein Drittland müssen neben allen übrigen Anforderungen der DSGVO in ihren vorderen Kapiteln zusätzlich die Anforderungen nach Kapitel V an die Übermittlung personenbezogener Daten in Drittländer beachtet werden. Die verantwortlichen Stellen müssen also geeignete Garantien[7] im Sinne der Art. 46 ff. DSGVO schaffen, um Datenübermittlungen datenschutzkonform fortführen zu können.

 

Fazit[8]

Der Brexit wird für Bürger und Bürgerinnen und Unternehmen auf zahlreiche Lebensbereiche Auswirkungen haben.
Der Datenschutz bildet hier keine Ausnahme. Während britische Unternehmen, die in der EU Daten verarbeiten, sich genau wie andere Unternehmen aus Drittstaaten an die DSGVO halten müssen, gilt es für Betriebe aus der EU nun, jene Datenprozesse, in die britische Unternehmen involviert sind, neu zu bewerten und zu organisieren.

 

Ihr Datenschutz soll System bekommen? Dann klicken Sie jetzt hier!

 

 

 

 

[1] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:12020W/TXT&from=DE -10.07.2020
[2] https://www.wienerzeitung.at/themen/recht/recht/2053276-Datenschutz-Grundverordnung-der-EU-trotzt-dem-Brexit.html – 10.07.2020
[3] https://www.roedl.de/themen/datenschutz-brexit-dsgvo-vertraege – 10.07.2020
[4] https://www.heise.de/newsticker/meldung/Datenschutz-Brexit-droht-4696724.html – 10.07.2020
[5] https://datenschutzkonferenz-online.de/media/dskb/20190803_dskb_brexit.pdf – 10.07.2020
[6] https://www.datenschutz.rlp.de/de/themenfelder-themen/brexit/ – 10.07.2020
[7] https://www.datenschutz.rlp.de/de/themenfelder-themen/geeignete-garantien-bei-der-datenuebermittlung-in-drittlaender/ – 10.07.2020
[8] https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/brexit-und-datenschutz/ – 10.07.2020

 

Bildnachweis: Europe and United Kingdom Handshake Bilateral talks von Thorsten Schmitt von Getty Image Pro auf Canva

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.