Brexit: Konsequenzen für den Datenschutz

Brexit und der DatenschutzAm 29. März 2019 entfaltet der Brexit Rechtskraft (es sei denn der Europäische Rat verlängert die Übergangsfrist). Das Vereinigte Königreich ist dann nicht mehr Mitglied der EU. Allerdings hat die EU dem Vereinigten Königreich angeboten, die Übergangsfrist bis Ende 2020 zu verlängern, so dass das Vereinigte Königreich bis dahin noch am Binnenmarkt und der Zollunion teilhaben könnte.

Im „Extremfall“ kann es zu einem „harten Brexit“ kommen, was Auswirkungen auf den grenzüberschreitenden Datenverkehr und somit auf den Datenschutz hat: Nach dem Austritt des Vereinigten Königreichs aus der EU gilt die DSGVO nicht mehr unmittelbar innerhalb des Vereinigten Königreichs (UK; hierzu gehören England, Wales, Schottland, Nordirland, Kanalinseln).  Die DSGVO wird jedoch weiterhin Auswirkungen auf den Datenverkehr zwischen UK und der EU haben.

Von der veränderten Lage sind Unternehmen u. a. in folgenden Situationen betroffen:

A.    Unternehmen mit Sitz in der EU

A1. Auftragsverarbeitung / Dienstleistung (Controller to Processor / C2P)

  • Nutzung von Shared Services (wie IT- oder Personal-Services) bei einer Mutter- oder Tochtergesellschaft mit Sitz in UK
  • Externe Dienstleister mit Sitz in UK 
  • Sub-Dienstleister eines Dienstleisters mit Sitz in UK

A2. Datenübermittlung an eine andere Konzerngesellschaft (Controller to Controller / C2C)

  • bitte beachten Sie: Es existiert kein Konzernprivileg.
  • Beispiel: Unternehmensübergreifende Organisationsstrukturen (Matrix-Organisation, Divisionsstrukturen mit unterschiedlichen fachlichen und disziplinarischen Vorgesetzten und Berichts-/Reporting-Wegen in verschiedenen Konzern-Gesellschaften)

A3. Datenübermittlung an eine andere Gesellschaft (Controller to Controller / C2C)

  • Beispiel: Im Rahmen von Versicherungsleistungen werden personenbezogene Daten an ein Unternehmen in UK übermittelt.

B.    Unternehmen mit Sitz in UK

B1. Personenbezogene Datenverarbeitung von in der EU befindlichen Betroffenen

B2. Auftragsverarbeitung für Auftraggeber innerhalb der EU

Um den Übergang bzw. Austritt möglichst fließend zu gestalten und den grenzüberschreitenden Datenfluss von und zu britischen Unternehmen innerhalb Europas sowie um den Handel nicht über Gebühr zu beeinträchtigen, wurde in UK der Data Protection Act 2018 beschlossen.

Ferner liegt dem britischen Parlament seit dem 14. November 2018 ein Entwurf des Austrittsabkommens vor. Teil VII dieses 585 Seiten umfassenden Entwurfes betrifft den Datenschutz (Näheres können Sie der Anlage (Punkt 8.1; „Entwurf des Austrittsabkommens zwischen der EU und UK “) entnehmen. Da das Abkommen noch nicht angenommen wurde und es noch immer zum harten Brexit kommen kann, ist Folgendes bei einem harten Brexit zu bedenken:

2    Besonderheiten des „Drittland-Transfers“

UK wird mit dem Austritt zum sog. Drittland (Land außerhalb der EU/EWR). Dies bedeutet für Unternehmen, die Daten nach UK übermitteln oder mit dort ansässigen Dienstleistern zusammenarbeiten (Auftragsverarbeitung), neben der Rechtmäßigkeit der Übermittlung bzw. Ordnungsmäßigkeit der Auftragserteilung zusätzlich Folgendes zu prüfen ist:

In dem Drittland muss ein angemessenes Datenschutzniveau bestehen. Zu den Ländern, die als sichere Drittländer seitens der EU-Kommission anerkannt wurden, zählen u. a. die Isle of Man, Guernsey und Jersey, die zu UK gehören. Obschon UK eine Anerkennung anstrebt und im Zuge der Brexit-Vorbereitungen bereits den Data Protection Act 2018 erlassen hat, so ist dennoch damit zu rechnen, dass UK bis zum 29. März 2019 noch nicht als sicheres Drittland anerkannt wird (falls dies überhaupt geschieht). Näheres kann der Anlage (Punkt 8.2: „Verhandlungen über den Angemessenheitsbeschluss “) entnommen werden; aktuell liegt kein Anerkennungsbeschluss vor.

3    Möglichkeiten zur Gewährleistung eines angemessenen Datenschutzniveaus

Bis zur Anerkennung eines angemessenen Datenschutzniveaus in UK muss die Einhaltung eines angemessenen Datenschutzniveaus beim Datenexport auf andere Weise sichergestellt werden. Andernfalls müssten zum Stichtag (29. März 2019) alle Datentransfers nach UK beendet werden.
Ein angemessenes Datenschutzniveau kann durch folgende geeignete Garantien, die in Art. 46 DSGVO genannt sind, gewährleistet werden:

  • Standarddatenschutzklauseln der EU-Kommission [EU-Standardvertragsklauseln / Standard Contractual Clauses / SCC] (Art. 46 Abs. 2 lit. c, 93 Abs. 2 DSGVO)
  • Standarddatenschutzklauseln der Aufsichtsbehörden (Art. 46 Abs. 2 lit. d, 93 Abs. 2 DSGVO)
  • Verbindliche interne Datenschutzvorschriften [Binding Corporate Rules / BCR] (Art. 46 Abs. 2 lit. b, Art. 47 DSGVO)

Ebenfalls möglich, aktuell aber weniger geläufig:

  • Genehmigte Verhaltensregeln zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland (Art. 46 Abs. 2 lit. e, 40 DSGVO)
  • Abschluss eines genehmigten Zertifizierungsmechanismus zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland (Art. 46 Abs. 2 lit. f, 42 DSGVO)
  • Rechtlich bindende und durchsetzbare Dokumente zwischen öffentlichen Stellen (Art. 46 Abs. 2 lit. a DSGVO)