Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Artikel von Bianca Pettinger·5. Februar 2020

Wer gedacht hat, man würde den Brexit – ebenso wie die Fertigstellung des BER – nicht mehr erleben, der wurde eines Besseren belehrt: Der Austritt des Vereinigten Königreichs aus der EU ist nach einer gefühlten Ewigkeit erfolgt. Um Unklarheiten zu beseitigen, widmet sich dieser Beitrag den datenschutzrechtlichen Auswirkungen der neuesten Brexit-Entwicklungen auf Unternehmen.

Der Inhalt im Überblick

Bye Bye, Britannia?
Was erwartet Unternehmen während der Übergangsfrist?
Mit was haben Unternehmen nach Ablauf der Übergangsfrist zu rechnen?
- Bietet das Vereinigte Königreich ein angemessenes Schutzniveau?
- Welche Alternativen bestehen?
Rette sich, wer kann?

Bye Bye, Britannia?

Was für ein Paukenschlag: In der Nacht vom 31. Januar auf den 01. Februar 2020 ist das Vereinigte Königreich Großbritannien und Nordirland aus der Europäischen Union ausgetreten. Lang genug hat es gedauert – wer erinnert sich nicht an den sagenumwobenen 23. Juni 2016, an welchem sich eine knappe Mehrheit der Wähler Großbritanniens als not amused entpuppte.

Nach all dem Brexit-Tohuwabohu wurde das Austrittsabkommen mit dem Vereinigten Königreich unterzeichnet, mit Ablauf des 31. Januars trat es in Kraft. Für Freudentränen und Trauerfeiern ist es jedoch zu früh – gemäß Art. 126 des Austrittsabkommens gilt eine Übergangsfrist bis Ende 2020.

Zumindest aber leuchtet schon einmal ein Licht am Ende des Tunnels. Ob dieses himmlische Erlösung prophezeit oder ob es sich um einen heranbrausenden Zug handelt, darüber hat sich jeder selbst eine Meinung zu bilden.

Was erwartet Unternehmen während der Übergangsfrist?

Nun, ganz einfach: Business as usual. Solange die Frist läuft, gilt das Unionsrecht auch weiterhin für das Vereinigte Königreich – und damit auch die DSGVO. Geregelt ist dies in Art. 127 Abs. 1 und 6 des Austrittsabkommens:

„Unless otherwise provided in this Agreement, Union law shall be applicable to and in the United Kingdom during the transition period.

Unless otherwise provided in this Agreement, during the transition period, any reference to Member States in the Union law applicable pursuant to paragraph 1, including as implemented and applied by Member States, shall be understood as including the United Kingdom.“

Die Uhr tickt, da die Übergangsfrist gemäß Art. 132 Abs. 1 des Austrittsabkommens lediglich bis zum 01. Juli 2020 einmalig um ein oder zwei Jahre verlängert werden kann.

Mit was haben Unternehmen nach Ablauf der Übergangsfrist zu rechnen?

Läuft die Übergangsfrist ab, wird das Vereinigte Königreich zum Drittland. Die Einstufung vom EU/EWR-Mitgliedsstaat zum Drittland führt gegebenenfalls dazu, zur Persona non grata des Datenschutzrechts zu werden – es wird zwar niemand des Landes verwiesen, die DSGVO fährt jedoch ihre Krallen aus: Wer personenbezogene Daten in Drittländer übertragen möchte, muss die Art. 44 ff. DSGVO beachten. Und die haben es durchaus in sich.

Wer da mit den Schultern zuckt, hat den Schuss wohl nicht gehört – immerhin beschäftigt jedes siebte deutsche Unternehmen einen Dienstleister im Vereinigten Königreich. Dazu kommen Unternehmen, die einen Sitz in Großbritannien bzw. Nordirland haben oder deren Muttergesellschaft sich dort befindet.

Überträgt ein Unternehmen personenbezogene Daten in ein Drittland, ohne die oben genannten Vorschriften zu beachten, handelt es schlicht und ergreifend rechtswidrig. Die ein oder andere Aufsichtsbehörde dürfte sich schon klammheimlich ins Fäustchen lachen.

Möchte ein Unternehmen bei der Datenübertragung in das Vereinigte Königreich nach Ablauf der Übergangsfrist datenschutzkonform handeln, gibt es mehrere Möglichkeiten. Die Auswahl unter den zur Verfügung stehenden Optionen orientiert sich an der Entscheidung der Europäischen Kommission.

Bietet das Vereinigte Königreich ein angemessenes Schutzniveau?

Bejaht die Europäische Kommission diese Frage, ergeht ein Angemessenheitsbeschluss nach Art. 45 Abs. 1 S. 1 DSGVO. Dieser wäre für europäische Unternehmen von Vorteil: Das Drittland würde dann wie ein Mitgliedsstaat der EU bzw. EWR behandelt.

Ein Angemessenheitsbeschluss wird zumindest laut Political Declaration vom 19. Oktober letzten Jahres bis Ende 2020 angestrebt. Um das Schutzniveau des Vereinigten Königreichs einschätzen zu können, prüft die Europäische Kommission gemäß Art. 45 Abs. 2 DSGVO mehrere Voraussetzungen, beispielsweise die Rechtsstaatlichkeit, die Achtung der Menschenrechte und die Datenschutzvorschriften im Vereinigten Königreich.

Zwar beabsichtige die britische Regierung nach Aussage der britischen Aufsichtsbehörde ICO, sobald die Übergangsfrist abgelaufen sei, die DSGVO in das britische Datenschutzgesetz zu integrieren. Boris Johnson setzt beim Datenschutz jedoch neuerdings auf ein eigenständiges und unabhängiges Regelwerk. Ohne Kenntnis der britischen Datenschutzregelungen wird die Europäische Kommission allerdings keine Entscheidung treffen. Das Ziel, einen Angemessenheitsbeschluss bis Ende des Jahres erreicht zu haben, ist damit bestenfalls als sportlich anzusehen.

Zusätzlich ist unklar, ob die EU-Kommission dem Vereinigten Königreich überhaupt ein angemessenes Schutzniveau attestieren wird – die Briten nehmen es mit dem Datenschutz scheinbar nicht ganz so genau. Hinzuweisen sei hier auf den Investigatory Powers Act, ein Gesetz, welches eine umfangreiche Überwachung inklusive Vorratsdatenspeicherung anordnet. Dass eine anlasslose Massenüberwachung dem Datenschutzrecht zuwiderläuft, erkannte auch der EuGH. Dieser erklärte bereits das Safe-Harbor-Abkommen zwischen der EU und den USA 2015 für nichtig.

Welche Alternativen bestehen?

Wenn ein Angemessenheitsbeschluss nicht erfolgen sollte: Keine Panik! Zurückgegriffen werden kann auf folgende Möglichkeiten:

Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO,
Binding Corporate Rules nach Art. 47 DSGVO,
Zertifizierungen nach Art. 46 Abs. 2 lit. f, 42 DSGVO,
genehmigte Verhaltensregeln nach Art. 40 DSGVO
oder individuell ausgehandelte Vertragsklauseln bzw. Verwaltungsvereinbarungen.

Manchmal kann eine Datenübermittlung in ein Drittland auch infolge einer Ausnahme nach Art. 49 Abs. 1 S. 1, 2 DSGVO erfolgen. Die dort genannten Voraussetzungen sind aber eng auszulegen. Wer sich Zeit und Nerven sparen möchte, wählt mit Ablauf der Übergangsfrist die Standardvertragsklauseln. Vorausgesetzt diese bieten zu dem Zeitpunkt noch eine ausreichende Garantie für ein angemessenes Datenschutzniveau. Zudem sind diverse Dokumentationspflichten einzuhalten.

Rette sich, wer kann?

Auch wenn der epische Kampf des Vereinigten Königreichs gegen die EU – aus Sicht der Brexit-Befürworter fast wie David gegen Goliath – mit dem Brexit auf den ersten Blick geschlagen sein dürfte, ist es noch lange nicht vorbei: Erneut wird mit dem No Deal gedroht. Von wem? Sein Name ist Johnson. Boris Johnson. Geschüttelt, nicht gerührt.

- angemessenes Datenschutzniveau
  EU-Kommission überprüft AngemessenheitsbeschlüsseNews·19. März 2024
- Verbot von TikTok – Montana schlägt AlarmNews·22. Mai 2023
- Datenreziprozität – Was bedeutet das?Fachbeitrag·17. April 2023
Mehr zum Thema
- Binding Corporate Rules
  Internationale Datentransfers: EDSA-Empfehlungen zu BCRFachbeitrag·29. Juni 2023
- BfDI Infoschreiben zum internationalen Datentransfer nach Schrems IINews·15. Oktober 2020
- Privacy Shield ungültig – EDSA veröffentlicht FAQ zum EuGH-UrteilFachbeitrag·27. Juli 2020
Mehr zum Thema
- BREXIT
  Großbritanniens Datenschutzreform – Neuer AnlaufNews·20. März 2023
- Die Datenschutzreform in Großbritannien rückt näher!News·21. Juli 2022
- Großbritannien plant eigenständiges DatenschutzrechtNews·31. August 2021
Mehr zum Thema
- EU-Kommission
  EU-Kommission prüft Digital Markets Act bei PlattformbetreibernFachbeitrag·15. April 2024
- EU-Kommission überprüft AngemessenheitsbeschlüsseNews·19. März 2024
- Amazon Web Services (AWS) datenschutzkonform nutzenFachbeitrag·5. März 2024
Mehr zum Thema
- Safe Harbor
  Das US-Datenschutzniveau als Problem beim Cloud ComputingNews·16. Dezember 2020
- Microsoft Office 365 ab sofort über deutsche Server nutzbarNews·21. Februar 2020
- Artikel-29-Datenschutzgruppe: Erste Überprüfung des Privacy ShieldNews·16. Juni 2017
Mehr zum Thema
- Standardvertragsklauseln
  China: Neue Erleichterungen bei internationalen DatentransfersNews·11. April 2024
- Datentransfer mit EU: Neues Abkommen rückt näher!?News·10. Juli 2023
- China: Neue SCC für internationale DatentransfersFachbeitrag·15. März 2023
Mehr zum Thema
- Überwachung
  Videoüberwachung auf dem WeihnachtsmarktUrteil·24. Oktober 2023
- Anti-Tracking-Tools und Tracking-Blocker vorgestelltFachbeitrag·19. September 2023
- Werden französische Polizisten bald zu Hackern?News·13. Juli 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Das hört sich ja sehr bedrohlich an. Aber letztendlich geht es beim ganzen Datenschutz nur darum, den Betroffenen vor Mißbrauch seiner Daten zu schützen. Und wie genau ändert sich jetzt diese Bedrohungslage durch den BREXIT? Werden in England jetzt alle Maßnahmen deinstalliert? Doch wohl nicht …

BDSB am 6. Februar 2020, 08:32 Uhr

Antworten