06.01.2020 von

Brexit und Datenschutz – das müssen Unternehmen beachten

Bereits im März 2019 haben wir auf „Kompass“ über die Auswirkungen eines Brexit-Austrittsabkommen für die Übermittlung von personenbezogenen Daten nach UK berichtet. Nun gibt es einen neuen Entwurf eines Austrittsabkommens.

Was gibt es Neues aus Datenschutzgesichtspunkten und was müssen Unternehmen beachten, nachdem das Brexit-Austrittsabkommen zustande gekommen ist?

Ebenso wie der erste Entwurf des Austrittsabkommens sieht auch das Austrittsabkommen vom 12. November 2019 vor: Im Vereinigten Königreich soll für eine Übergangszeit bis zum 31. Dezember 2020 die Datenschutz-Grundverordnung („DSGVO“) gelten (Art. 71 Abs. 1 des Abkommens).

Außerdem regelt auch das neue Abkommen, dass Bezugnahmen in Bestimmungen des anwendbaren Unionsrechts – also auch die DSGVO – auf Mitgliedstaaten innerhalb des Übergangszeitraums auch als Bezugnahmen auf das Vereinigte Königreich zu verstehen sind (Art. 7 Abs. 1 des Abkommens).

Was passiert während des Übergangszeitraums:
Wie können Unternehmen personenbezogene Daten nach UK übermitteln?

Auch mit Blick auf die Regelungen für den Übergangszeitraum hält der überarbeitete Entwurf an den Regelungen des ersten Entwurfs fest.

Und zwar: Nach Inkrafttreten des Abkommens sind Übermittlungen personenbezogener Daten aus der Europäischen Union (EU) in das Vereinigte Königreich entsprechend Übermittlungen innerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) nur auf der sog. ersten Stufe zu bewerten. Hier geht es darum, dass die Verarbeitung der Daten rechtmäßig ist.

Die Voraussetzungen an Übermittlungen in Drittländer – also in Länder außerhalb der EU bzw. des EWR – (sog. zweite Stufe) sind während des Übergangszeitraums bis zum 31. Dezember 2020 nicht zu berücksichtigen. Für den Übergangszeitraum ist das Vereinigte Königreich als EU-Mitgliedstaat anzusehen.

Zu beachten: Das Ende des Übergangszeitraums wurde wie im ersten Entwurf auf den 31. Dezember 2020 datiert. Damit ist der Übergangszeitraum nun eher kurz bemessen.

Was gilt nach dem Übergangszeitraum?

Wie es nach dem Übergangszeitraum weitergeht, war bisher nicht geklärt. Nun gibt die politische Erklärung für die künftigen Beziehungen zwischen EU und Vereinigtem Königreich eine Richtung für die Zukunft an. Beide Seiten sollen ein hohes Schutzniveau für personenbezogene Daten gewährleisten, um den Datenfluss und -austausch auch künftig zu ermöglichen.

Die Europäischen Kommission strebt so bald wie möglich nach dem Austritt des Vereinigten Königreichs Bewertungen bzgl. eines angemessenen Schutzniveaus der Datenschutzstandards an einzuleiten und bis Ende 2020 Beschlüsse zu fassen. Würde ein angemessenes Schutzniveau positiv bewertet, ist der Erlass eines Angemessenheitsbeschlusses (Art. 45 DSGVO) möglich.

Zugleich plant das Vereinigte Königreich eigene Regelungen für internationale Datenübermittlungen zu treffen. Ziel ist es, Regelungen zu treffen, die eine erleichterte Übermittlung personenbezogener Daten in die EU sicherstellen sollen.

Auch Vorkehrungen für eine angemessene Zusammenarbeit der Regulierungsstellen sollen getroffen werden.

Was gilt, wenn es zu einem ungeregelten Brexit kommt?

Das Vereinigte Königreich wäre dann als ein Drittland i.S.d. DSGVO anzusehen. Die Folge: Daten aus der EU bzw. aus dem EWR an einen Empfänger im Vereinigten Königreich zu übermitteln, wäre nur nach den Bedingungen in Art. 44 ff. DSGVO erlaubt.

Dasselbe gilt für den Zeitraum nach dem 31. Dezember 2020, wenn bis dahin kein Angemessenheitsbeschluss erlassen wurde.

Geeignete Garantien nach der DSGVO

Ein Verantwortlicher oder Auftragsverarbeiter darf personenbezogene Daten an ein Drittland nur übermitteln, wenn er geeignete Garantien vorgesehen hat ( 46 Abs. 1 DSGVO). Dies sind z.B. verbindliche konzerninterne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b DSGVO) oder Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Oft werden Übermittlungen personenbezogener Daten auf Standarddatenschutzklauseln zu stützen sein. In Bezug auf die Anwendungsfälle der geeigneten Garantien ergeben sich seit unserem Beitrag aus März 2019 keine wesentlichen Änderungen.

Hochaktuell ist jedoch der Schlussantrag des Generalanwalts vor dem Europäischen Gerichtshof (EuGH) in der Sache Schrems II (Schlussantrag, Case C‑311/18) vom 19. November 2019, in dessen Fokus die Standarddatenschutzklauseln stehen. Der Generalanwalt vertritt hier die Auffassung, dass die Standarddatenschutzklauseln grundsätzlich gültig seien.

Allerdings betont er: Verantwortliche und Aufsichtsbehörden seien verpflichtet Übermittlungen zu stoppen, wenn die Datenschutzvorgaben nicht eingehalten werden. Die Stellungnahme des Generalanwalts ist für den EuGH nicht bindend, auch wenn er ihr oft folgt. Wie der EuGH letztlich entscheiden wird und wie die Aufsichtsbehörden künftig in solchen Fällen entscheiden werden, ist noch offen.

Es bleibt daher spannend: Auch unter dem überarbeiteten Austrittsabkommen sind aus datenschutzrechtlicher Sicht Strukturierungen in Sachen Brexit nötig. EU-Unternehmen bzw. Unternehmen aus dem EWR sind gut beraten, dies frühzeitig in ihre Überlegungen einzubeziehen, wenn sie personenbezogene Daten in das Vereinigte Königreich übermitteln.

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.