Bald wird es ernst: Auch beim Datenschutz spielt der BREXIT eine große Rolle!

… insbesondere wenn Sie Daten in Großbritannien speichern oder das Vereinigte Königreich als Daten-Transitland nutzen. Während die wirtschaftlichen Folgen für das Land selbst zur Zeit in den Medien rauf und runter diskutiert werden, hören wir vom Datenschutz relativ wenig. Dabei hat das Folgen für die gesamte EU.

Der Brexit und der Datenschutz

Wie Sie sicher wissen, wird Großbritannien am 29./30. März 2019 die EU verlassen – wenn sie nicht noch im letzten Moment die Notbremse ziehen. Nach wie vor konnten sich die EU und Großbritannien auf keinen „Deal“ einigen, den das britische Parlament befürwortet. Und deshalb sieht derzeit alles nach einem „harten“, ungeordneten, chaotischen Brexit aus.

Auch in Deutschland wird das Auswirkungen auf den Datenschutz haben. Die EU-Kommission hat nämlich Anfang Januar 2018 bekannt gegeben, dass Großbritannien nach dem Austritt aus der EU keine Sonderbehandlung gegenüber anderen Dritt-staaten bekommen wird. Damit gelten die gleichen Regeln wie für andere Staaten außerhalb der EU, mit denen kein Abkommen über den Datenschutz besteht. Großbritannien wird voraussichtlich nicht einmal „sicheres Drittland“, sondern (erstmal) nur „Drittland“.

Nationales vs. EU-Recht

Im Falle eines ungeregelten Brexits gelten EU-Gesetze über Nacht nicht mehr. Großbritannien ist aber schon seit 1973 Mitglied der EU und hat dadurch automatisch EU-Gesetze angewendet, ohne diese aber in nationales Recht übernehmen zu müssen. Insbesondere beim Datenschutz hat sich seit 1973 natürlich extrem viel geändert. Daher droht hier eine totale Gesetzeslücke, die erst nach und nach mit nationalen Gesetzen gefüllt werden müsste.

Im Fall einer Einigung auf ein Austrittsabkommen in letzter Minute sollen planmäßig während einer Übergangsphase bis 2021 alle EU-Regeln eingehalten werden, um adäquate nationale Gesetze zu verabschieden. Aber auf einen Last-Minute-Deal sollten Sie sich lieber nicht verlassen.

Was ist mit der DSGVO?

Zwar gilt auch in Großbritannien seit Mai 2018 die DSGVO der EU. Allerdings ist im Königreich seit November 2016 zusätzlich eines der härtesten Überwachungsgesetze einer Demokratie, der Investigatory Powers Act, in Kraft. Das Gesetz gibt Geheimdiensten extrem weitreichende Überwachungsmöglichkeiten und ermöglicht die Vorratsdatenspeicherung. Ende 2018 hatte der britische Geheimdienst GCHQ zudem angekündigt, verstärkt auf großangelegte Hackerangriffe im Ausland setzen zu wollen. All dies wird die EU daran zweifeln lassen, dass in Großbritannien ein angemessener Datenschutz gewährleistet ist. Aus ähnlichen Gründen wurde schließlich bereits das Safe Harbor Abkommen mit den USA vom EuGH gekippt.

Bis heute existiert deshalb kein Angemessenheitsbeschluss der EU bezüglich Großbritannien, der den Datenschutz in einem Post-Brexit-Großbritannien als DSGVO-konform zertifizieren würde. Und die Chancen dafür stehen auch ausgesprochen schlecht. Deswegen wird das Vereinigte Königreich nicht automatisch zum „sicheren Drittland“ erklärt werden. Auch ohne einen Angemessenheitsbeschluss ist die Datenübermittlung ins UK möglich, aber sie wird natürlich deutlich komplizierter. Laut DSGVO (Art. 46 Abs. 1) ist eine Übermittlung ohne Angemessenheitsbeschluss (Art. 45 DSGVO) nur mit geeigneten Garantien (aufgelistet in Art. 46 Abs. 2) möglich. Ohne Angemessenheitsbeschluss und ohne Garantien drohen Unternehmen die üblichen hohen Bußgelder nach Art. 83 DSGVO.

Wie kann es überhaupt zum Datenaustausch mit Großbritannien kommen?

Viele Unternehmen haben einen oder sogar Ihren Hauptsitz auf der Insel. Viele nutzen externe Dienstleister, die in Großbritannien angesiedelt sind oder zumindest ihre Daten dort speichern. Natürlich können auch Kunden im Vereinigten Königreich sitzen. Betroffen sind sie als Konzern-Unternehmen, im Rahmen von Joint-Ventures, Lieferketten und anderen IT-gestützten Prozessen. Laut einer Bitkom-Studie aus dem Jahr 2018 lässt jedes siebte deutsche Unternehmen (14%) personenbezogene Daten extern in Großbritannien verarbeiten. Deutlich härter trifft es die Unternehmen in Großbritannien selbst: Laut BDI finden 75 Prozent des grenzüberschreitenden britischen Datenverkehrs mit den restlichen EU-Staaten statt.

Was ist nun zu tun?

 Bitkom weist darauf hin, dass nach dem Brexit personenbezogene Daten nicht mehr ohne weiteres nach Großbritannien übermittelt werden dürfen. Ohne Brexit-Deal und Fristverlängerung würden insbesondere kleine und mittlere Unternehmen viele Geschäftsprozesse zunächst einfrieren und anpassen müssen. Denn: Die notwendigen Datenschutzmaßnahmen sind innerhalb der verbleibenden wenigen Wochen nicht mehr umsetzbar. Ebenso wenig sei der Angemessenheitsbeschluss ohne Brexit-Deal zeitlich nicht mehr machbar. Trotzdem sieht es danach aus, als wenn die EU gewillt ist, Großbritannien auflaufen zu lassen.

Schließlich hat auch der Europäische Datenschutzausschuss (EDSA) kürzlich klargestellt, dass es keine Übergangszeit geben werde, in der die Datenschutzaufsichtsbehörden Übermittlungen ohne entsprechenden Schutzvorkehrungen tolerieren könnten. Sowohl Unternehmen als auch Behörden sollten sich daher “spätestens jetzt” Gedanken über Lösungen machen, hieß es Mitte Februar vom EDSA. Die EU hat offenbar auch keinen Notfallplan für einen No-Deal-Brexit beim Thema Datenschutz in der Hinterhand.

Allerdings hat der EDSA mittlerweile Guidelines (auf Englisch) bereitgestellt, wie Sie sich auf einen möglichen No-Deal-Brexit vorbereiten.

Auch die britische Datenschutzbeauftragte informiert auf ihrer Webseite.

Der rheinland-pfälzische Datenschutzbeauftragte hebt insbesondere hervor:

In jedem Fall müssen Unternehmen die folgenden Bestimmungen berücksichtigen und ggf. Dokumente entsprechend überarbeiten und zwar unabhängig davon, ob es zu einem „deal“ zwischen der EU und dem UK kommt oder nicht:

  • Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO über die Datenübermittlung in ein Drittland zu informieren.
  • Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO auch über die Datenübermittlung in Drittländer zu informieren.
  • Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
  • Ggf. sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das UK als Drittland geht (Art. 35 DSGVO).

Falls Sie nach einer Alternative außerhalb der EU suchen: Die EU hat gerade Japans Datenschutz für DSGVO-konform erklärt. Damit können Daten zwischen Japan und der EU ungehindert fließen. Ähnliche Abkommen gibt es bereits mit Ländern wie Neuseeland, Schweiz, Uruguay und den USA. Ab dem 30. März ist es also einfacher, Daten mit Uruguay oder Japan auszutauschen als mit dem UK.

Noch haben Sie drei Wochen Zeit bis zum endgültigen Brexit. Handeln Sie jetzt, um auf der sicheren Seite zu sein.
Ich bin Ihr Fachmann und stehe Ihnen gerne zur Seite.

Weitere Quellen (neben den Links im Text):