Dies ist der erste Teil unseres Beitrages zu Datenschutzfragen beim Brexit. Der zweite Teil mit einem 5-Punkte-Plan für Ihr Unternehmen folgt in den nächsten Tagen.

Die Abstimmung zum Brexit Vertrag im Britischen Unterhaus ist vorüber. Selbst denen, die dachten, dass sich das Parlament noch in letzter Sekunde besinnen wird, ist jetzt klar geworden, dass dieser Austrittsvertrag nie in Kraft treten wird. Dadurch wird eine Frage immer drängender: was gilt denn, wenn der Austrittsvertrag nicht gilt?
Der Brexit Vertrag hatte sich der Regelung der großen Vielzahl von Einzelfragen angenommen, die zu klären sind, wenn die europäischen Gesetzesakte nicht mehr dem Umgang zwischen dem Kontinent und den Britischen Inseln regeln. Dazu gehören viele Themen, wie Einwanderung, Handel und gemeinsame Außenpolitik, und eben auch der Datenschutz.

Brexit heißt keine DSGVO für Großbritannien

Um zu verstehen, welche Auswirkungen der Austritt Großbritanniens aus der EU, der Austrittsvertrag, oder eben der Austritt ohne Vertrag auf den Datenschutz haben, ist es gut, sich erst einmal vor Augen zu halten, was denn dieser ‚Brexit‘ eigentlich ist.

In vieler Hinsicht ist die EU nichts anderes als eine internationale Organisation, gegründet durch ein internationales Vertragswerk. Dieses Vertragswerk ist allerdings recht umfangreich, und vor allem die darauf gegründeten weiteren Vereinbarungen (also die europäischen Gesetzesakte) regeln ein viel weiteres Feld als die allermeisten internationalen Verträge. Einen solchen Gesetzesakt stellt auch die DSGVO dar. Sie gilt für alle europäischen Mitgliedsstaaten – und gilt nicht für solche Staaten, die nicht Mitglied sind.

Im Allgemeinen ist es nicht nur möglich Verträge zu schließen, sondern auch, diese wieder aufzulösen. Das ist im internationalen Recht nicht anders als im täglichen Leben: Arbeitsverträge können gekündigt werden genauso wie Mietverträge. Aus einem Handy-Abo kommt man wieder raus und selbst eine Ehe kann man scheiden. Mietverträge und Arbeitsverträge sehen den Ablauf der Kündigung meistens sogar schon vor, aber nicht bei allen Verträgen ist das der Fall. Bei einer langen Ehe mit vielen gemeinsamen Besitzständen kommt es durchaus zu längeren Verhandlungen über den Ablauf des "uncoupling". (So gesehen sind die 40 Mrd., die das Vereinigte Königreich an die EU zahlen sollen noch ein Schnäppchen; die Scheidung von Amazon Gründer Bezos wird wahrscheinlich wesentlich teurer).

Der europäische Datenschutz ist ein solcher gemeinsamer Besitzstand – obwohl der Begriff hier vielleicht etwas ungeschickt wirkt. Aber die europäische Dateninfrastruktur und Datenflüsse sind nur möglich, weil durch die DSGVO ein gemeinsames, hohes Datenschutzniveau erreicht wird. Wenn also die DSGVO nicht mehr gilt, und damit das hohe Datenschutzniveau nicht mehr garantiert ist, dann stehen Datenflüsse nach Großbritannien auf dem Spiel.

Das Austrittsgesuch Großbritanniens hat das "uncoupling" notwendig gemacht. Der Austrittsvertrag wäre dann eben die Einigung über den Ablauf gewesen, und hätte die Voraussetzungen für den Datentransfer nach GB geschaffen.

Wenn es jetzt aber keine Einigung gibt, was passiert dann mit dem Datenaustausch?

Kein EU Mitgliedsstaat = Drittland

Ohne weitere Regelung ist das Vereinigte Königreich (VK) vom 29.3.2019 an einfach ein ganz normales ‚Ausland‘ für die EU; in Datenschutzbegriffen ein ‚Drittland‘. Hierbei muss man wissen, dass die Regelungen für den Datentransfer im EU Inland andere sind als die in ein Drittland. Vereinfacht gesagt: Innerhalb der EU dürfen Daten relativ einfach transferiert werden, ob an einen anderen Dienstleister oder einfach nur an einen anderen Verarbeitungsort. Der Transfer in ein Land außerhalb der EU ist aber nicht so ohne weiteres möglich.

Der Datentransfer nach Großbritannien ist natürlich generell genauso möglich wie der Datentransfer in die USA oder nach Kanada, der tagtäglich in großen Mengen stattfindet. Aber es bedarf dann eben einer anderen Vorsorge.

Angemessenheitsbeschluss

Für den Transfer in ein Drittland braucht es ausreichende Garantien des Datenschutzniveaus. Diese können am besten durch einen Angemessenheitsbeschluss der Kommission festgestellt werden; also einen Beschluss in dem die Kommission allgemein gültig feststellt, dass in einem bestimmten Drittland ein angemessen hohes Datenschutzniveau garantiert ist. Mit so einem Beschluss kann der Datentransfer fast wie in ein anderes europäisches Land erfolgen.

Einen solchen Beschluss gibt es aber für das VK bis jetzt nicht – denn bis jetzt war er ja nicht nötig. Denn obwohl die britische Regierung versprochen hat, mit dem UK withdrawal act die DSGVO weitergelten zu lassen, gelten auch dadurch u. U. andere Datenschutzregelungen, dass das VK nicht mehr durch die entsprechenden Gerichtsurteile des EuGH gebunden sind oder im den Datenschutz-Integrationsprozess involviert sind, der vom Europäischen Datenschutzausschuss (EDSA, oder auch wegen des englischen Akronyms EDPB genannt) geleitet wird. Also muss die Kommission erstmal prüfen, was denn die Unterschiede sind, und welche Auswirkungen diese auf den Datenschutz der Daten von europäischen Bürgern haben.

Sonstige Arrangements

Ansonsten können konzerninterne oder vertragliche Regelungen getroffen werden, die für bestimmte Datenflüsse die geeigneten Datenschutzregelungen und -verpflichtungen treffen, oder die Aufsichtsbehörden können Transfers im Einzelfall genehmigen. Der Art. 46 DSGVO stellt hier mehrere Möglichkeiten vor; keine davon ist jedoch besonders einfach umzusetzen.

Falls es sich um die Datenübertragung zwischen zwei Unternehmen handelt, von denen eines auf dem Kontinent, und eines im VK sitzt, so ist der Abschluss eines neuen Vereinbarung mit den EU Standardvertragsklauseln wahrscheinlich die einfachste Möglichkeit (das sagt zumindest auch die britische Regierung). Falls es sich um Datenübertragung innerhalb eines Unternehmens handelt, sind es eher die konzerninternen Regelungen die unter Art. 46 Abs. 2 lit. e) DSGVO fallen. Aber auch jede vertragliche Regelung und jede Verhaltensregelung braucht danach die Überwachung.

Wie die dacuro Sie unterstützen kann

Natürlich ist noch vieles im Fluss in den Verhandlungen – aber den großen Wurf sollte man jetzt lieber nicht mehr erwarten. Insofern sollte man lieber jetzt Vorsorge treffen, und sich mit Vertragspartnern in Großbritannien in Verbindung setzen.
Bei genau dieser Vorsorge unterstützen wir unsere Kunden – mit Fachkenntnissen in Datenschutzfragen und den nötigen Englischkenntnissen. Gerne beraten wir Sie, falls Sie sich hier vor ungeplante Herausforderungen gestellt sehen. Nehmen Sie einfach Kontakt zu uns auf. Wir beraten unsere Kunden nicht nur im Rhein-Neckar und Rhein-Main Gebiet sondern auch in Speyer, Karlsruhe, Stuttgart bis nach Hamburg und darüber hinaus.