Brexit und Datenschutz

Die DSGVO als Hilfsmittel gegen Grenzkontrollen im Datenverkehr

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Es droht die Unzulässigkeit der Übermittlung personenbezogener Daten nach Großbritannien. Doch die anstehende Umsetzung der DSGVO lässt sich nutzen, dieses Risiko zu vermeiden.
Personenbezogene Daten, Unternehmensdaten, Produktdaten - Nach dem Brexit kann deren Übermittlung von und nach Großbritannien zum Problem werden. Aber es gibt Lösungen.
Personenbezogene Daten, Unternehmensdaten, Produktdaten - Nach dem Brexit kann deren Übermittlung von und nach Großbritannien zum Problem werden. Aber es gibt Lösungen.
Foto: dovla982 - shutterstock.com

Der Brexit betrifft nicht nur so prominente Themen wie Arbeitnehmerfreizügigkeit und die Beibehaltung der "grünen Grenze" zwischen Irland und Nordirland. Auch der Datenschutz ist unmittelbar betroffen.

Grenzkontrollen für den Datenschutz nach Brexit?

Was passiert mit dem Datenschutz, wenn Großbritannien aus der EU ausgetreten ist? Diese Frage dürfte oftmals nicht die dringlichste sein, die sich EU-Bürger und -Unternehmen stellen. Andere Problemfelder, wie wohnen und arbeiten in Großbritannien oder die Wiedereinführung von Grenzkontrollen betreffen den Alltag vieler Menschen und Unternehmen auf den ersten Blick sehr viel direkter.

Doch wenn man bedenkt, dass Großbritannien 2017 fünftgrößter Exportmarkt für Deutschland war, so sollte man den Datenschutz ebenfalls als wichtiges Thema wahrnehmen. Denn enorme Mengen an personenbezogenen Daten von Kunden, Lieferanten oder Beschäftigten werden täglich zwischen dem europäischen Festland und den britischen Inseln übermittelt.

Mit dem Austritt aus der EU dürfte mit der grenzenlosen Übermittlung personenbezogener Daten jedoch zunächst Schluss sein. Großbritannien würde zu einem sogenannten "unsicheren Drittland" werden, in das die Übermittlung personenbezogener Daten nach den Artikeln 44 bis 50 der Europäischen Datenschutz-Grundverordnung (DSGVO) grundsätzlich verboten wäre. Dies hat die EU-Kommission mit ihrer "Notice to Stakeholders" vom 09. Januar 2018 für den Bereich Datenschutz klargestellt. Gleichzeitig finden sich in dem Dokument aber auch Lösungsansätze, aufgrund derer die Datenübermittlung doch zulässig sein könnte.

(Keine) Lösung auf staatlicher Ebene?

Zunächst existieren im unmittelbaren Verhältnis zwischen Großbritannien und der EU eine Vielzahl von Möglichkeiten, das zuvor dargestellte Übermittlungsverbot abzuwenden.

Großbritannien könnte zum Beispiel Teil des EWR werden, welcher wiederum die DSGVO umsetzt und so als datenschutzrechtlich "sicher" gelten würde.
Der Haken: Nicht nur steht beispielsweise Norwegen als EWR-Mitglied dem skeptisch gegenüber, die Briten möchten selbst wohl auch gar nicht in den EWR.

Ähnlich negativ sind die Aussichten für gesonderte Datenschutzabkommen oder den im Februar von der EU vorgelegten Austrittsvertrag. Der letztgenannte Entwurf hätte unter Umständen die Geltung der DSGVO für eine Übergangszeit bis Ende 2020 - und damit die Zulässigkeit von Datenübermittlungen - regeln können. Die zweifelhafte Frage, ob ein solcher Vertrag beispielsweise den Anforderungen eines Angemessenheitsbeschlusses im Sinne des Artikel 45 DSGVO gerecht würde, kann aber wohl offen bleiben, wird der Vertrag in seiner jetzigen Form doch vehement von der britischen Regierung abgelehnt.

Stattdessen hat Theresa May in einer Grundsatzrede verkündet, dass Großbritannien ein eigenes Freihandelsabkommen mit der EU bevorzuge. In diesem Abkommen könnten dann (ähnlich wie beispielsweise im CETA-Abkommen mit Kanada) auch Regelungen zum Datenschutz bzw. zur Zulässigkeit von Datenübermittlungen nach Großbritannien enthalten sein. Ob und wann ein solches Abkommen aber überhaupt geschlossen wird und ob es dann tatsächlich Vorgaben zum Datenschutz macht, ist allerdings noch unklar.

Rettung durch die EU-Kommission?

Neben zwischenstaatlichen Abkommen besteht auch noch die Möglichkeit, dass die EU-Kommission einen "unmittelbaren" Angemessenheitsbeschluss nach Artikel 45 DSGVO erlässt. In einem solchen Beschluss wird festgestellt, dass das datenschutzrechtliche Niveau eines Staates dem Niveau der DSGVO entspricht. Dann wäre eine Übermittlung personenbezogener Daten zulässig.

Allerdings ist sehr fraglich, ob die Kommission einen solchen Beschluss fassen wird. Mit dem britischen "Investigatory Powers Bill" von 2016 und der damit einhergehenden umfassenden Möglichkeit zur Vorratsdatenspeicherung sowie der fehlenden Geltung des EU-US-Privacy-Shield für Datenübermittlungen im Verhältnis zwischen Großbritannien und USA existieren unter anderem zwei erhebliche Risiken für personenbezogene Daten, die es in dieser Form in der EU nicht gibt. Ein Angemessenheitsbeschluss dürfte daher erheblichen Bedenken begegnen.

Harter Brexit? - Keine Panik!

Damit steht weiterhin ein "harter" Brexit ohne Übergangsregeln im Raum.

Für den Datenschutz gibt es aber eine Lösung. Denn die DSGVO bietet auch für den Fall, dass weder ein Angemessenheitsbeschluss noch ein Abkommen rechtzeitig vorliegen, hinreichende Werkzeuge, um Übermittlungen personenbezogener Daten nach Großbritannien künftig zu ermöglichen.

Unternehmen müssen dafür sogenannte "geeignete Garantien" nach Artikel 46 DSGVO nachweisen. Zu diesen gehören beispielsweise

»

Rechtsseminar zur DSGVO

Rechtsseminar zur DSGVO Nach unserem Rechtsseminar am 16. Mai 2018 in Berlin können Sie der "Scharfmachung" der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gelassen entgegenblicken.

All diesen Maßnahmen ist jedoch eins gemeinsam: Sie erfordern proaktives Handeln der datenverarbeitenden Unternehmen.

  • Bestehende Auftragsverarbeitungsverträge müssen geprüft und in Nachverhandlungen gegebenenfalls durch EU-Standardvertragsklauseln ergänzt werden. Diese sind auch heute schon das Mittel der Wahl für grenzüberschreitenden Datenverkehr außerhalb der EU/des EWR.

  • Unternehmensintern müssen BCR neu eingeführt oder (falls bereits vorhanden) bestehende BCR überarbeitet werden.

  • Und für Zertifizierungen muss anhand von Kriterienkatalogen der Aufsichtsbehörden und den Prüfanforderungen der zertifizierenden Stelle nachgewiesen werden können, dass die Verarbeitung personenbezogener Daten in Großbritannien dem Datenschutzniveau der EU entspricht.

Last Exit: Ausnahmetatbestand

Sind die vorgenannten Instrumente nicht anwendbar, so bietet die DSGVO mit Artikel 49 einen letzten "Rettungsanker". Die dort aufgelisteten Ausnahmen sehen eine Zulässigkeit von Datenübermittlungen auch ohne Angemessenheitsbeschluss oder geeignete Garantien vor, zum Beispiel bei der expliziten Einwilligung des Betroffenen. Diese Ausnahmen sind aber sehr restriktiv zu verstehen, ihre Anwendung muss grundsätzlich ausführlich beurteilt und diese Beurteilung dokumentiert werden.

In der Praxis dürften diese Ausnahmen aufgrund des Aufwandes und der Aufklärungspflichten tatsächlich nur den letzten Ausweg darstellen. Denn auch die Einwilligungserklärung müsste mit Bezug zur Datenübermittlung nach Großbritannien überarbeitet und neu eingeholt werden. Der Auslandsbezug könnte zudem, je nach Einzelfall, eine Datenschutzfolgenabschätzung vor der Datenübermittlung erforderlich machen.

Unternehmen sind gefordert

Die DSGVO bietet auch für den Brexit-Fall genug Möglichkeiten, die Datenübermittlung nach Großbritannien auf ein rechtlich sicheres Fundament zu stellen, ohne die Betroffenen zu verunsichern. Unternehmen müssen jedoch aktiv werden und diese Instrumente schnellstmöglich umsetzen.

Dabei drängt es sich geradezu auf, im Rahmen der Umsetzung der DSGVO auch die Datenübermittlung nach Großbritannien bereits jetzt abzusichern. Anderenfalls droht ein worst-case-Szenario und die Übermittlung personenbezogener Daten nach Großbritannien wäre gänzlich einzustellen. Mit Blick auf die voranschreitende Digitalisierung und den zunehmenden Wert von Daten sind Unternehmen gut beraten, es nicht so weit kommen zu lassen.