„Bye, Bye Britain!“ – Auswirkungen des Brexit

Brexit

Nach mehrmaligem Scheitern war es nun endlich soweit: der Brexit ist da. Seit dem 01. Februar 2020 sind das Vereinigte Königreich Großbritannien und Nordirland aus der Europäischen Union ausgetreten. Bereits im Vorfeld wurde in den Medien stark über die Auswirkungen dieses großen Schritts diskutiert, der auch Auswirkungen auf den Datenschutz hat.

Um etwas „Licht ins Dunkle“ zu bringen, informiert Sie Ihr externer Datenschutzbeauftragter über die datenschutzrechtlichen Auswirkungen der neusten Entwicklungen.

Brexit und der Datenschutz

Auch für den Datenschutz dürfte der Brexit erhebliche Auswirkungen mit sich bringen. Neben zahlreichen Unternehmen, welche ihren Hauptsitz im Vereinigten Königreich haben, dürften zudem etliche Unternehmen Dienstleister aus Großbritannien einsetzen.

Mit dem Austritt aus der EU muss sich zukünftig Großbritannien und Nordirland nicht mehr an die EU-Datenschutz-Grundverordnung (EU-DSGVO) halten, was jedoch nicht bedeutet, dass die „Ausgetretenen“ sich auch nicht mehr um den Datenschutz kümmern müssen. Der Austritt bringt den Status des Drittlandes mit sich, welcher für eine datenschutzkonforme weitere Zusammenarbeit mit Unternehmen aus dem Vereinigten Königreich bestimmte Bedingungen mit sich bringt. Der Premier Boris Johnson äußerte sich bereits zu dieser Thematik und will sich zukünftig nicht von dem Abkommen der EU-DSGVO „einengen lassen“. Seinen Plänen zur Folge will er jedoch die volle souveräne Kontrolle über den Datenschutz mit einer eigenen unabhängigen Linie verfolgen. Damit widerspricht er vor allem den Plänen von Theresa May, welche 2017 versprach, die DSGVO in das nationale Recht zu integrieren. Durch den „Drittlands-Status“ ist ein Datentransfer nicht mehr so einfach möglich und erfordert gemäß des geltenden Datenschutzrechts in der EU bestimmte Voraussetzungen, welche im Vorfeld getroffen werden müssen. Viele Unternehmen stellen sich daher die Frage, was sie jetzt genau tun sollen und wie es weiter geht.

Übergangsfrist für den Brexit

Zunächst dürfte sich für Unternehmen, welche mit „Great Britain“ eine wirtschaftliche Beziehung hegen, nichts ändern. Im Austrittsabkommen ist eine Übergangsfrist bis Ende 2020 vorgesehen, womit sich das Vereinigte Königreich noch bis Ende der Übergangsfrist an das Unionsrecht – und damit auch an die EU-DSGVO – halten muss. Zudem besteht die Möglichkeit, die Übergangsfrist bis zum 01. Juli 2020 einmalig um ein oder zwei Jahre zu verlängern. Dies bedeutet jedoch nicht, dass Unternehmen, welche den Brexit direkt betreffen, die „Füße still halten“ sollten. Läuft diese Übergangsfrist nämlich ab, wird das Vereinigte Königreich zum Drittland und es müssen die Art. 44 ff DSGVO beachtet werden.

Datentransfer zwischen Großbritannien und der EU

Mit dem Austritt der Briten stellen sich neue Herausforderungen für den Datentransfer zwischen Großbritannien und der EU. Gemäß der DSGVO können die Datenweitergabe oder der -zugriff nicht mehr auf einen Vertrag zur Auftragsverarbeitung, nach Art. 28 DSGVO, erfolgen. Das Königreich muss demnach ein bestimmtes Schutzniveau nachweisen können, um zumindest als ein „sicheres Drittland mit einem angemessenen Datenschutzniveau“ gelten zu können. Erfolgt dies nicht, sind die Briten mit Ländern gleichzusetzen, wie der USA, China oder auch Indien. Erfolgt eine Datenweitergabe weiterhin ohne entsprechend getroffene Maßnahmen, ist diese Verarbeitung bzw. Datenweitergabe rechtswidrig und könnte von den Aufsichtsbehörden mit einem Bußgeld geahndet werden. Dies bedeutet jedoch nicht, dass eine Datenweitergabe gänzlich verboten ist. Gesetzt den Fall die Briten schaffen es zukünftig nicht, ein angemessenes Datenschutzniveau zu gewährleisten, so sollte in zwei Prüfschrittverfahren die Weitergabe von personenbezogenen Daten an ein Drittland sichergestellt werden.

Hierfür muss zunächst die Zulässigkeit der Verarbeitung gewährleistet werden, was bedeutet, dass die Verarbeitung personenbezogener Daten einer Rechtsgrundlage bedarf. Im zweiten Prüfschritt sollten für ein angemessenes Schutzniveau frühzeitig geeignete Maßnahmen getroffenen werden, wie unter anderem:

  • Vertragsschluss und Einsatz von EU-Standardvertragsklauseln
  • Binding Corporate Rules
  • Zertifizierungen
  • Entsprechende genehmigte Verhaltensregeln oder
  • individuell ausgehandelte Vertragsklauseln bzw. Verwaltungsvereinbarungen

Ob das geplante unabhängige Regelungswert von Premier Johnson einem sicheren und angemessenen Datenschutzniveau entsprechen wird, hängt letztlich auch von der Entscheidung der Europäischen Kommission ab. Sollte die Europäische Kommission einen Angemessenheitsbeschluss bestätigen, würden die Briten weiterhin wie ein Mitgliedstaat der EU bzw. des Europäischen Wirtschaftsraums (EWR) behandelt werden. Für die wirtschaftliche Beziehung zwischen der EU und Großbritannien wäre dies durchaus von Vorteil. Bislang steht die Antwort jedoch noch in weiter Ferne und es bleibt abzuwarten, wie sich die Lage entwickeln wird.

Fazit

Der Austritt des Königreichs aus der EU stellt Unternehmen – insbesondere aus Datenschutzsicht – vor zahlreiche Herausforderungen. Zwar gilt bis Ende 2020 noch eine gewisse Übergangsfrist, jedoch sollten sich Unternehmen nicht darauf „ausruhen“. Unternehmen, welche den Brexit direkt durch wirtschaftliche Beziehungen mit dem Vereinigten Königreich betreffen, sollten sich frühzeitig Gedanken machen und entsprechende Maßnahmen ergreifen, um auch zukünftig einen datenschutzkonformen Datentransfer gewährleisten zu können. Binden Sie hierfür ihren Datenschutzbeauftragten frühzeitig ein.

Haben Sie weitere Fragen zu diesem Thema oder wollen Sie sich im Datenschutz dauerhaft besser positionieren? Brands Consulting steht Ihnen gerne als kompetenter und fachkundiger Ansprechpartner in Sachen Datenschutz zur Seite. Kontaktieren Sie uns und/oder holen Sie sich ein unverbindliches und kostenloses sowie auf Ihre Bedürfnisse abgestimmtes Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen