Brexit- What’s next? Die Auswirkungen des Brexits auf den Datenschutz
Datenübermittlung in Drittländer
Der Brexit ist datenschutzrechtlich deshalb relevant, weil Datenübermittlungen in Drittländer (d.h. in Länder außerhalb der EU / des EWR) nur bei Vorliegen der besonderen Voraussetzungen der Art. 44 ff. DS.GVO zulässig sind, durch die ein mit der DS-GVO gleichwertiges Datenschutzniveau sichergestellt werden soll. Tritt das Vereinigte Königreich aus der EU aus, könnte es zu einem Drittland werden, womit Handlungsbedarf auf datenexportierende Unternehmen in der EU zukommen könnte.
„No-Deal-Brexit“
Bei einem „No-Deal-Brexit“ zum 31. Oktober 2019 würde das Vereinigte Königreich zu einem Drittland. Sofern nicht die EU-Kommission ein angemessenes Datenschutzniveau im Vereinigten Königreich im Rahmen eines Angemessenheitsbeschlusses nach Art. 45 DS-GVO feststellt, sind datenexportierende Unternehmen in der Pflicht, geeignete Garantien im Sinne des Art. 46 DS-GVO zur Gewährleistung eines angemessenen Schutzniveaus vorzusehen. Hierzu gehören:
· Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)
· Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde
· Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus
Wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen, kann eine Übermittlung im Einzelfall zulässig sein, wenn ein Ausnahmetatbestand nach Art. 49 DS-GVO einschlägig ist (zum Beispiel Einwilligung der betroffenen Person, Erforderlichkeit zur Vertragserfüllung).
„Deal Brexit“
Verlässt das Vereinigte Königreich die EU auf Grundlage des mit der EU ausgehandelten Austrittsabkommens „Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft (2019/C 66 I/01)“, sind in Titel VII (Art. 70 bis 74) Bestimmungen zur Verarbeitung personenbezogener Daten und Informationen vorgesehen.
Danach gilt die Datenschutzgrundverordnung übergangsweise bis 2020 für das Vereinigte Königreich weiter. In Art. 71 des Abkommens heißt es: „das Unionsrecht über den Schutz personenbezogener Daten im Vereinigten Königreich für die Verarbeitung der personenbezogenen Daten außerhalb des Vereinigten Königreichs gelte, sofern die personenbezogenen Daten vor dem Ablauf des Übergangszeitraumes im Vereinigten Königreich gemäß dem Unionsrecht verarbeitet wurden oder nach dem Ablauf des Übergangszeitraums aufgrund des vorliegenden Abkommens im Vereinigten Königreich verarbeitet werden.“ Der Übergangszeitraum kann einmalig auch um ein weiteres Jahr bzw. um weitere zwei Jahre verlängert werden.
Innerhalb dieses Übergangszeitraums sind die besonderen Regelungen der Art. 44 DS-GVO für Unternehmen, die aus der EU Daten in das Vereinigte Königreich exportieren, nicht relevant.
Fazit
Ein „No-Deal-Brexit“ wird zunehmend unwahrscheinlicher, jedoch nicht ausgeschlossen. Sowohl im Falle des „No-Deal-Brexit“ als auch des „Deal-Brexit“ scheint ein Angemessenheitsbeschluss die für Unternehmen praktikabelste Lösung, um personenbezogene Daten datenschutzkonform in das Vereinigte Königreich zu übermittelt. Ob die EU-Kommission so eine Entscheidung im Falle des „No-Deal-Brexit“ bis Ende Oktober 2019 realisieren kann, ist allerdings fraglich.
Für Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bleiben die weiteren Entwicklungen zum Brexit spannend. Kommt es Ende Oktober zum „No-Deal-Brexit“ müssen die Vorschriften des Art. 44 ff. DS-GVO beachtet werden.
Sie interessiert das Thema und wünschen nähere Informationen?
Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber