Update Datenschutz Nr. 51
Ablehnung des Brexit-Abkommens: Was müssen Unternehmen jetzt beachten?
Das zwischen der Europäischen Union und dem Vereinigten Königreich ausgehandelte Brexit-Abkommen sah vor, dass für die Zeit der Übergangsphase des Vereinigten Königreichs datenschutzrechtlich so behandelt worden wäre wie die Länder des europäischen Wirtschaftsraums. Das hätte einen Transfer von personenbezogenen Daten aus der Europäischen Union in das Vereinigte Königreich ohne zusätzliche Maßnahmen zur Sicherstellung eines adäquaten Datenschutzniveaus ermöglicht. Anschließend sollte während der Übergangsphase eine Adäquanzentscheidung hinsichtlich des Datenschutzniveaus des Vereinigten Königreichs ergehen.
Datenschutzrechtliche Folge des No-Deal-Brexit
Mit der Ablehnung des Brexit-Abkommens durch das britische Parlament am 15.01.2019 wird es jetzt jedoch mehr und mehr wahrscheinlich, dass diese Übergangsregelungen nie zur Anwendung kommen werden. Das bedeutet, dass datenschutzrechtlich mit Wirksamwerden des Brexits am 29.03.2019 das Vereinigte Königreich zum Drittland i.S.v. Art. 44-49 DSGVO wird. Zur Sicherstellung der Transfers von personenbezogenen Daten ist daher neben der grundsätzlichen Zulässigkeit der Datenverarbeitung an sich entweder eine Einwilligung der Betroffenen für diesen Transfer einzuholen oder es sind sonstige Maßnahmen gemäß Art. 44-49 DSGVO zu treffen, die ein sicheres Datenschutzniveau gewährleisten. Anderenfalls wäre der Transfer von personenbezogenen Daten von der Europäischen Union in das Vereinigte Königreich unzulässig.
Das gilt, obwohl das Vereinigte Königreich die DSGVO in nationales Recht umgesetzt hat und diese Umsetzung auch nach Wirksamwerden des Brexit aufrecht erhält. Faktisch gilt damit dasselbe Datenschutzrecht wie innerhalb der Europäischen Union. Allerdings stellte die Europäische Kommission bereits am 13.11.2018 klar, dass bei einem Brexit ohne geregeltes Abkommen das Vereinigte Königreich dennoch ab dem 30.03.2019 als unsicheres Drittland gilt bis ein Angemessenheitsbeschluss erlassen wird. Dafür muss zunächst das reguläre Verfahren zur Herbeiführung eines Angemessenheitsbeschlusses, der das Vereinigte Königreich als sicheres Drittland qualifizieren und damit einen Transfer auch ohne weitere Maßnahmen ermöglichen würde, durchlaufen werden. Ein solches Verfahren nimmt erfahrungsgemäß mehrere Monate bis über ein Jahr in Anspruch.
Handlungsbedarf für Unternehmen
Das bedeutet für Unternehmen, die personenbezogene Daten in das Vereinigte Königreich transferieren, dass sie aktiv werden müssen. Ein Transfer erfolgt zum Beispiel, wenn sie dort Tochterunternehmen oder Niederlassungen haben, die mit personenbezogenen Daten aus der Europäischen Union arbeiten müssen (ein Zugriff auf innerhalb der Europäischen Union befindliche IT-Systeme reicht für einen Transfer von personenbezogenen Daten schon aus). Auch eine Nutzung von IT-Providern, deren Systeme im Vereinigten Königreich gehostet werden, löst Handlungsbedarf aus. Anderenfalls riskieren die Unternehmen, dass diese Transfers von personenbezogenen Daten unzulässig sind und mit Bußgeldern in Höhe von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes belegt werden können. Übergangsfristen gibt es hier nicht.
Standardvertragsklauseln probates Mittel
Als einziges praktikables Mittel, um den Datentransfer abzusichern, kommt dabei die Verwendung der sog. Standardvertragsklauseln in Frage. Die Standardvertragsklauseln sind vertragliche Regelungen zwischen dem Verantwortlichen in der Europäischen Union und dem Empfänger der personenbezogenen Daten in dem unsicheren Drittland, hier das Vereinigte Königreich, die ein adäquates Datenschutzniveau sicherstellen sollen. Mit Beschlüssen stellte die Europäische Kommission fest, dass das bei Verwendung dieser Standardvertragsklauseln der Fall ist. Es gibt sie für den Transfer von personenbezogenen Daten von Verantwortlichem zu Verantwortlichem sowie von Verantwortlichem zu Auftragsverarbeiter.
Es ist zu raten, dass die betroffenen Unternehmen proaktiv tätig werden und auf die Daten empfangenden Unternehmen im Vereinigten Königreich zugehen und den Abschluss der Standardvertragsklauseln - gerne auch mit aufschiebender Bedingung des ungeregelten Brexits - vereinbaren.
Unternehmen, die Daten aus dem Vereinigten Königreich in die Europäische Union transferieren wollen, können dies dagegen nach aktuellem Kenntnisstand weiterhin wie zuvor tun. Die zuständige Aufsichtsbehörde im Vereinigten Königreich hat bereits entsprechende Verlautbarungen veröffentlicht. Leider gilt dies aber nicht auf dem umgekehrten Weg.