Brexit und Datenschutz

Die DSGVO als Hilfsmittel gegen Grenzkontrollen im Datenverkehr

04.12.2018
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht.
Es droht die Unzulässigkeit der Übermittlung personenbezogener Daten nach Großbritannien. Doch die Regelungen der der DSGVO lassen sich nutzen, dieses Risiko zu vermeiden.
Personenbezogene Daten, Unternehmensdaten, Produktdaten - Nach dem Brexit kann deren Übermittlung von und nach Großbritannien zum Problem werden. Aber es gibt Lösungen.
Personenbezogene Daten, Unternehmensdaten, Produktdaten - Nach dem Brexit kann deren Übermittlung von und nach Großbritannien zum Problem werden. Aber es gibt Lösungen.
Foto: dovla982 - shutterstock.com

Der Brexit betrifft nicht nur so prominente Themen wie Arbeitnehmerfreizügigkeit und die Beibehaltung der "grünen Grenze" zwischen Irland und Nordirland. Auch der Datenschutz ist unmittelbar betroffen.

Grenzkontrollen für den Datenschutz nach Brexit?

Was passiert mit dem Datenschutz, wenn Großbritannien aus der EU ausgetreten ist? Diese Frage dürfte oftmals nicht die dringlichste sein, die sich EU-Bürger und -Unternehmen stellen. Andere Problemfelder, wie wohnen und arbeiten in Großbritannien oder die Wiedereinführung von Grenzkontrollen betreffen den Alltag vieler Menschen und Unternehmen auf den ersten Blick sehr viel direkter.

Doch wenn man bedenkt, dass Großbritannien 2017 fünftgrößter Exportmarkt für Deutschland war, so sollte man den Datenschutz ebenfalls als wichtiges Thema wahrnehmen. Denn enorme Mengen an personenbezogenen Daten von Kunden, Lieferanten oder Beschäftigten werden täglich zwischen dem europäischen Festland und den britischen Inseln übermittelt.

Mit dem bevorstehenden Austritt aus der EU wird aller Voraussicht nach mit der grenzenlosen Übermittlung personenbezogener Daten jedoch vorerst Schluss sein. Es zeichnet sich immer stärker ab, dass Großbritannien zu einem sogenannten "unsicheren Drittland" wird, in das die Übermittlung personenbezogener Daten nach den Artikeln 44 bis 50 der Europäischen Datenschutz-Grundverordnung (DSGVO) grundsätzlich verboten wäre. Dies hat die EU-Kommission mit ihrer "Notice to Stakeholders" vom 09. Januar 2018 für den Bereich Datenschutz klargestellt. Gleichzeitig finden sich in dem Dokument aber auch Lösungsansätze, aufgrund derer die Datenübermittlung doch zulässig sein könnte.

(Keine) Lösung auf staatlicher Ebene?

Zunächst existieren im unmittelbaren Verhältnis zwischen Großbritannien und der EU eine Vielzahl von Möglichkeiten, das zuvor dargestellte Übermittlungsverbot abzuwenden.

Dass Großbritannien Teil des EWR wird, scheint immer unwahrscheinlicher. Hier wäre der Lösungsweg einfach, denn im EWR wird die DSGVO umgesetzt, und Großbritannien würde damit als datenschutzrechtlich "sicher" gelten.
Der Haken: Nicht nur steht beispielsweise Norwegen als EWR-Mitglied dem skeptisch gegenüber, die Briten möchten selbst wohl auch gar nicht in den EWR.

Ähnlich negativ sind die Aussichten für gesonderte Datenschutzabkommen. Auch das am 14. November 2018 von der EU und Großbritannien ausgehandelt Austrittsabkommen hilft nur eingeschränkt. Das letztgenannte Austrittsabkommen würde zwar die Geltung der DSGVO für eine Übergangszeit bis Ende 2020 zulassen und damit die vorläufige Zulässigkeit von Datenübermittlungen festschreiben. Es bleibt jedoch zweifelhaft, ob ein solcher Vertrag den Anforderungen eines Angemessenheitsbeschlusses im Sinne des Artikel 45 DSGVO gerecht würde.

Stattdessen hat Theresa May in einer Grundsatzrede verkündet, dass Großbritannien ein eigenes Freihandelsabkommen mit der EU bevorzuge. In diesem Abkommen könnten dann (ähnlich wie beispielsweise im CETA-Abkommen mit Kanada) auch Regelungen zum Datenschutz bzw. zur Zulässigkeit von Datenübermittlungen nach Großbritannien enthalten sein. Ob und wann ein solches Abkommen aber überhaupt geschlossen wird und ob es dann tatsächlich Vorgaben zum Datenschutz macht, ist allerdings noch unklar.

Rettung durch die EU-Kommission?

Neben zwischenstaatlichen Abkommen besteht auch noch die Möglichkeit, dass die EU-Kommission einen "unmittelbaren" Angemessenheitsbeschluss nach Artikel 45 DSGVO erlässt. In einem solchen Beschluss wird festgestellt, dass das datenschutzrechtliche Niveau eines Staates dem Niveau der DSGVO entspricht. Dann wäre eine Übermittlung personenbezogener Daten zulässig.

Allerdings ist sehr fraglich, ob die Kommission einen solchen Beschluss fassen wird. Mit dem britischen "Investigatory Powers Bill" von 2016 und der damit einhergehenden umfassenden Möglichkeit zur Vorratsdatenspeicherung sowie der fehlenden Geltung des EU-US-Privacy-Shield für Datenübermittlungen im Verhältnis zwischen Großbritannien und USA existieren unter anderem zwei erhebliche Risiken für personenbezogene Daten, die es in dieser Form in der EU nicht gibt. Ein Angemessenheitsbeschluss dürfte daher erheblichen Bedenken begegnen.

Harter Brexit? - Keine Panik!

Im Falle eines harten Brexit gäbe es keine Übergangsregelung.

Für den Datenschutz gibt es aber eine Lösung. Denn die DSGVO bietet auch für den Fall, dass weder ein Angemessenheitsbeschluss noch ein Abkommen rechtzeitig vorliegen, hinreichende Werkzeuge, um Übermittlungen personenbezogener Daten nach Großbritannien künftig zu ermöglichen.

Aber Achtung: Unternehmen müssen dann selbst sogenannte "geeignete Garantien" nach Artikel 46 DSGVO nachweisen. Zu diesen gehören beispielsweise

All diesen Maßnahmen ist jedoch eins gemeinsam: Sie erfordern proaktives Handeln der datenverarbeitenden Unternehmen. Und dies nicht erst in ferner Zukunft, sondern jetzt!

  • Bestehende Auftragsverarbeitungsverträge müssen dringend geprüft und in Nachverhandlungen gegebenenfalls durch EU-Standardvertragsklauseln ergänzt werden. Diese sind auch heute schon das Mittel der Wahl für grenzüberschreitenden Datenverkehr außerhalb der EU/des EWR.

  • Unternehmensintern müssen zeitnah BCR neu eingeführt oder (falls bereits vorhanden) bestehende BCR überarbeitet werden.

  • Und für Zertifizierungen muss anhand von Kriterienkatalogen der Aufsichtsbehörden und den Prüfanforderungen der zertifizierenden Stelle nachgewiesen werden können, dass die Verarbeitung personenbezogener Daten in Großbritannien dem Datenschutzniveau der EU entspricht.

Last Exit: Ausnahmetatbestand

Sind die vorgenannten Instrumente nicht anwendbar, so bietet die DSGVO mit Artikel 49 einen letzten "Rettungsanker". Die dort aufgelisteten Ausnahmen sehen eine Zulässigkeit von Datenübermittlungen auch ohne Angemessenheitsbeschluss oder geeignete Garantien vor, zum Beispiel bei der expliziten Einwilligung des Betroffenen. Diese Ausnahmen sind aber sehr restriktiv zu verstehen, ihre Anwendung muss grundsätzlich ausführlich beurteilt und diese Beurteilung dokumentiert werden.

In der Praxis dürften diese Ausnahmen aufgrund des Aufwandes und der Aufklärungspflichten tatsächlich nur den letzten Ausweg darstellen. Denn auch die Einwilligungserklärung müsste mit Bezug zur Datenübermittlung nach Großbritannien überarbeitet und neu eingeholt werden. Der Auslandsbezug könnte zudem, je nach Einzelfall, eine Datenschutzfolgenabschätzung vor der Datenübermittlung erforderlich machen.

Unternehmen sind gefordert

Die DSGVO bietet auch für den Brexit-Fall genug Möglichkeiten, die Datenübermittlung nach Großbritannien auf ein rechtlich sicheres Fundament zu stellen. Unternehmen müssen jedoch jetzt aktiv werden und diese Instrumente schnellstmöglich umsetzen.

Anderenfalls droht ein worst-case-Szenario und die Übermittlung personenbezogener Daten nach Großbritannien wäre gänzlich einzustellen. Mit Blick auf die voranschreitende Digitalisierung und den zunehmenden Wert von Daten sind Unternehmen gut beraten, es nicht so weit kommen zu lassen.