Datenschutz nach dem Brexit

Großbritannien und die EU-DSGVO

17.01.2020
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Mit dem Brexit sollten Unternehmen, die mit Großbritannien in Geschäftsverbindungen stehen ihre Verträge hinsichtlich der Datenschutzbestimmungen überprüfen. Hier lesen Sie, welche das sind.

Bis zum Brexit ist Großbritannien ein Mitgliedsstaat in der EU. Bis dahin gilt dort - genauso wie in Deutschland - die Datenschutzgrundverordnung (DSGVO) direkt und unmittelbar. Die DSGVO regelt Rechte und Pflichten zum Schutz personenbezogener Daten und sanktioniert Verstöße mit erheblichen Bußgeldern. Das mit der DSGVO geschaffene Schutzniveau in der EU soll nicht dadurch untergraben werden, dass Daten ins Ausland übermittelt werden, wo möglicherweise andere Datenschutzbestimmungen gelten, die dem von der DSGVO geforderten Schutz nicht entsprechen. Innerhalb der EU gelten für den Datentransfer hingegen keine besonderen Voraussetzungen.

Mit dem Brexit müssen Unternehmen, die in Großbritannien Daten verarbeiten, genau prüfen, ob die nötigen Maßnahmen zum Datenschutz eingeghalten werden.
Mit dem Brexit müssen Unternehmen, die in Großbritannien Daten verarbeiten, genau prüfen, ob die nötigen Maßnahmen zum Datenschutz eingeghalten werden.
Foto: Ivan Marc - shutterstock.com

Internationaler Datenverkehr

Der internationale Datenfluss ist für den internationalen Handel besonders wichtig. Zu Datenübertragungen kommt es beispielsweise dann, wenn Dienstleister im Ausland als Auftragsverarbeiter eingesetzt werden, aber auch und insbesondere dann, wenn Cloud-Lösungen genutzt werden, bei denen sich die Server in der Regel im Ausland befinden. Laut einer aktuellen Studie im Auftrag von Bitkom lassen 11 Prozent der deutschen Unternehmen personenbezogene Daten in Großbritannien verarbeiten, davon wollen aber nur 2 Prozent die Datenverarbeitung in Großbritannien nach dem Brexit fortführen.

Übergangszeitraum

Die Auswirkungen auf den Datenschutz hängen dabei erheblich von dem Austrittsszenario ab. Sollte das neu gewählte Parlament dem Austrittsabkommen zustimmen, gilt bis Ende 2020 ein Übergangszeitraum. In dieser Zeit würde Großbritannien im Hinblick auf die DSGVO weiterhin als EU-Mitgliedsstaat behandelt, so dass die Verantwortlichen mehr Zeit hätten, sich auf den Ernstfall vorzubereiten.

Das Austrittsabkommen sieht zudem die Option vor, die Übergangszeit bis zu zweimal zu verlängern. Letztendlich ist die Fortgeltung der DSGVO aber kein Dauerzustand. Über kurz oder lang ist eine Anpassung an die neue Rechtslage notwendig.

Im Falle des No-Deal-Brexits oder nach Ablauf einer etwaigen Übergangsphase wird die Datenübermittlung in Großbritannien dann so behandelt wie in jedes andere Drittland auch. Sie ist nicht grundsätzlich unzulässig, solange das europäische Datenschutzniveau gewährleistet bleibt. Die DSGVO bietet hierfür einige Lösungsmöglichkeiten.

Die Datenübermittlung in ein Drittland nach der DSGVO

Eine Möglichkeit, daten in ein Drittland zu übermitteln, bietet die Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission. Damit stellt die Kommission fest, dass in dem Drittland ein angemessenes Datenschutzniveau besteht, so dass die Datenübermittlung DSGVO-konform möglich ist. Entsprechende Beschlüsse bestehen bereits unter anderem für Kanada, die Schweiz oder die USA unter Geltung des Privacy Shields.

Es ist nicht fernliegend, dass die Kommission für Großbritannien als ehemaligem EU-Mitgliedsstaat einen Angemessenheitsbeschluss erlassen könnte. Momentan ist ein solches Verfahren aber nicht im Gange, so dass mit dem Erlass eines Angemessenheitsbeschlusses in nächster Zeit (vorerst) nicht zu rechnen ist.

Ohne Angemessenheitsbeschluss der Kommission ist eine Datenübermittlung ins Ausland möglich, wenn geeignete Garantien bestehen. Dies können sein:

  • Standarddatenschutzklauseln

  • Verbindliche unternehmensinterne Regelungen (Binding Corporate Rules, BCR)

  • Genehmigte Verhaltensregeln

  • Zertifizierungen

Darüber hinaus kommen für bestimmte Fälle Ausnahmen in Betracht. Die Ausnahmetatbestände sind in der DSGVO aufgelistet und restriktiv auszulegen.