Brexit: Auswirkungen auf die Einhaltung des Datenschutzes
- Autor: Niklas Drexler
- Letzte Aktualisierung: 13.01.2020
- Kategorie: Allgemeine Verpflichtungen
Fast vier Jahre nachdem die Bürgerinnen und Bürger des Vereinigten Königreichs in einem Referendum für den Austritt aus der Europäischen Union gestimmt haben, rückt der Brexit am 31. Januar 2020 endlich näher. Da die Allgemeine Datenschutzverordnung (DSGVO) Teil des EU-Rechtsrahmens ist, der im Vereinigten Königreich grundsätzlich nicht mehr gelten wird, stellen sich Fragen zu den Auswirkungen des Brexit auf die Einhaltung der Datenschutzbestimmungen.
Was ist beim Datenschutz nach dem 31. Januar 2020 zu erwarten?
Die gute Nachricht ist, dass das Szenario eines "No Deal", d. h. eines Austritts des Vereinigten Königreichs aus der EU ohne ein rechtliches Abkommen zwischen den beiden Parteien, vom Tisch ist. Nach der Billigung des von Premierminister Boris Johnson ausgehandelten Vertragsentwurfs durch das britische Unterhaus am 9. Januar 2020 und heute durch das Europäische Parlament ist der Weg für eine einvernehmliche Lösung geebnet.
Teil 4 des Entwurfs des Austrittsabkommens sieht eine Übergangszeit vor, die zur Folge hat, dass das EU-Recht im Vereinigten Königreich bis zum 31. Dezember 2020 anwendbar bleibt, einschließlich der Bestimmungen der Datenschutz-Grundverordnung. Mit anderen Worten: Aus rechtlicher Sicht wird das Vereinigte Königreich für die Dauer des Übergangszeitraums so behandelt, als wäre es immer noch Mitglied der EU, auch wenn seine formale Mitgliedschaft bereits beendet ist.
Die britische Regierung will ein Abkommen aushandeln, das die künftigen Beziehungen zur EU während der Übergangszeit regeln soll. Da dies politisch recht ehrgeizig erscheint, enthält das Austrittsabkommen in Artikel 132 eine Hintertür zur Verlängerung der Übergangszeit um bis zu 1 oder 2 Jahre. Diese Entscheidung liegt in den Händen eines gemischten Ausschusses, der sich aus Vertretern der EU und des Vereinigten Königreichs zusammensetzt, und unterliegt einer Frist bis zum 1. Juli 2020.
Während die Präsidentin der Europäischen Kommission, Ursula von der Leyen, davor warnte, dass es "unmöglich" sei, bis Ende 2020 ein fertiges Abkommen auszuhandeln, versprach die Tory-Partei von Premierminister Johnson ihren Wählern im Manifest für die britischen Parlamentswahlen im Dezember 2019, sich an diesen engen Zeitplan zu halten und die Verlängerung nicht auszulösen. Ob die Übergangsfrist verlängert wird oder nicht, dürfte Ende Juli in letzter Minute entschieden werden.
Was ist beim Datenschutz nach der Brexit-Übergangszeit zu erwarten?
Nach Ablauf der (verlängerten oder nicht verlängerten) Übergangsfrist wird die DSGVO gemäß dem britischen EU-Austrittsgesetz in britisches Recht umgesetzt ("UK GDPR") und durch die UK Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 geändert. Dieser neue Rechtsrahmen, der vom britischen Parlament im Vorgriff auf den Brexit verabschiedet wurde, bedeutet, dass die neuen britischen Datenschutzgesetze dem Regelungskonzept der EU-DSGVO folgen werden. Unternehmen, die die EU-DSGVO einhalten, müssen daher ihre derzeitigen Verfahren im Allgemeinen nicht wesentlich ändern. Mindestens zwei Aspekte verdienen jedoch besondere Aufmerksamkeit.
Internationale Datenübermittlungen
Nach dem Brexit werden besondere Vorschriften für internationale Datenübermittlungen gelten. Nach der EU-DSGVO erfordert die Übermittlung personenbezogener Daten aus der EU an Anbieter (z. B. Cloud- und Hosting-Dienste, IT-Bedrohungserkennung und -Wartung), Geschäftspartner oder verbundene Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraums (sogenannte "Drittländer") zusätzliche Sicherheitsvorkehrungen. Nach dem Brexit wird das Vereinigte Königreich als ein solches "Drittland" betrachtet werden.
Nach der DSGVO ist der freie Datenverkehr mit Drittländern nur dann gewährleistet, wenn die Europäische Kommission ausdrücklich festgestellt hat, dass das betreffende Land ein angemessenes Datenschutzniveau gewährleistet (sogenannter "Angemessenheitsbeschluss" gemäß Artikel 45 DSGVO), wie dies beispielsweise bei Japan, Kanada, der Schweiz und - sofern das empfangende Unternehmen nach dem EU-US Privacy Shield zertifiziert ist - den USA der Fall war. Da das Vereinigte Königreich die EU-Datenschutzstandards in nationales Recht umgesetzt hat, ist es wahrscheinlich, dass die Europäische Kommission nach dem Brexit auch eine solche Angemessenheitsentscheidung für das Vereinigte Königreich erlassen wird.
Die EU-Unterhändler warnten jedoch, dass die anfängliche Übergangsfrist von 11 Monaten zu kurz sein könnte, um eine Einigung über die Datenübermittlung zu erzielen, wie die Financial Times berichtete. Laut dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski ist eine Einigung innerhalb der Übergangszeit "noch möglich, aber schwierig". Die größten Hindernisse betreffen die Bedingungen, unter denen britische Geheimdienste auf personenbezogene Daten im Vereinigten Königreich zugreifen können, da das Vereinigte Königreich nicht mehr dem EU-Rechtsrahmen für Geheimdienste unterliegen wird.
Bei Datenübertragungen zwischen der EU und dem Vereinigten Königreich müssen sich die Unternehmen in Ermangelung eines Angemessenheitsbeschlusses auf alternative Instrumente verlassen, um die Einhaltung der DSGVO zu gewährleisten. Die gebräuchlichsten Rahmenwerke zur Absicherung internationaler Datenübermittlungen, die in Kapitel 5 der DSGVO anerkannt werden, sind die "Binding Corporate Rules", die internationale konzerninterne Datenübermittlungen abdecken und von den EU-Aufsichtsbehörden genehmigt werden müssen, und die sogenannten "Standardvertragsklauseln". Bei letzteren handelt es sich um eine Reihe von standardisierten Vertragszusätzen, die dem Datenexporteur oder -importeur außerhalb der EU verschiedene Datenschutzverpflichtungen auferlegen. Die Unternehmen wären verpflichtet, bestehende Verträge zu überprüfen und, falls erforderlich, Vertragsänderungen mit Geschäftspartnern einzuführen.
Unternehmen, die Daten zwischen dem Vereinigten Königreich und anderen Nicht-EU-Staaten austauschen, sollten die Anforderungen der neuen britischen Datenschutz-Grundverordnung überprüfen. Die von der Europäischen Kommission erlassenen Angemessenheitsbeschlüsse werden für solche Übermittlungen nicht mehr gelten, und die Zuständigkeit für den Erlass solcher Beschlüsse liegt nach der britischen Datenschutz-Grundverordnung beim britischen Staatssekretär. Es wird erwartet, dass das Vereinigte Königreich die Angemessenheitsbeschlüsse der EU übernehmen wird. Allerdings sind die technischen Einzelheiten, insbesondere in Bezug auf die bestehenden EU-US-Privacy-Shield-Zertifizierungen, noch unklar, vor allem, ob die Unternehmen formell einen separaten Rahmen beantragen müssen, auch wenn dieser auf denselben Grundsätzen beruht.
Vertreter des Vereinigten Königreichs
Gemäß Art. 27 UK GDPR müssen Unternehmen, die in den Geltungsbereich der britischen Datenschutzgesetze fallen, aber keine Niederlassung im Vereinigten Königreich haben (die Kriterien der EU GDPR zur Bestimmung des territorialen Geltungsbereichs gelten entsprechend, d.h. nicht britische Unternehmen, die auf den britischen Markt abzielen, unterliegen der UK GDPR), einen Datenschutzbeauftragten im Vereinigten Königreich benennen.
Wir von EU-REP.Global bereiten uns auf diese Anforderung vor und werden in der Lage sein, einen britischen Vertreter zu benennen. Wir halten uns über die rechtlichen Entwicklungen auf dem Laufenden und werden unsere Kunden informieren, falls Anpassungen der Datenschutzrichtlinien erforderlich werden.
Insgesamt, ...
... besteht kein Grund zur Panik, da die Übergangsfrist mindestens bis Ende 2020 Rechtssicherheit bietet. Angesichts des britischen Rechtsrahmens für die Zeit nach dem Brexit ist nach der Übergangszeit kein größerer Anpassungsbedarf zu erwarten. Unternehmen sollten jedoch die Verhandlungen über ein Handelsabkommen zwischen der EU und dem Vereinigten Königreich und deren Auswirkungen auf internationale Datentransfers zwischen der EU und dem Vereinigten Königreich im Auge behalten. Gleiches gilt für die "Angemessenheitsentscheidungen" der britischen Regierung im Hinblick auf die Zukunft der Datenübermittlung zwischen dem Vereinigten Königreich und Nicht-EU-Ländern.
