Datenschutz und das Vereinigte Königreich nach dem Brexit

Seit dem 31. Januar 2020 ist der „Brexit“ bereits vollzogen

Am 31. Januar 2020 ist das Vereinigte Königreich Großbritannien und Nordirland infolge des bereits am 23. Juni 2016 durchgeführten Referendums aus der Europäischen Union ausgetreten; der „Brexit“ war damit vollzogen.

Was also gilt nun u.a. für kleine und mittelständische Unternehmen, Vereine, Universitäten, die mehr oder weniger zufällig seit Jahren IT-Dienstleistungen z.B. britischer Unternehmen nutzen, z.B. Microsoft Europe mit diversen Cloud-Lösungen?

Sind England, Wales, Schottland und Nordirland damit datenschutzrechtlich Drittländer geworden und möglicherweise sogar von deutschen Unternehmen genauso zu behandeln wie die Vereinigten Staaten von Amerika nach Wegfall des sog. „Privacy-Shield“, d.h., des Urteils des Europäischen Gerichtshofs darüber, daß der sog. „Privacy-Shield-Beschluss“ der Europäischen Kommission vom 12. Juni 2016 ungültig ist?

Der von Unklar- und -wägbarkeiten bei gleichzeitigen immensen Bußgeldandrohungen für Unternehmen geprägte datenschutzrechtliche Status der USA hat sich seit dem Wegfall des sog. „Privacy-Shield“ wenig geändert.

Kaum eine Aufsichtsbehörde wagt sich mit für Unternehmen handhabbaren Vorschlägen vor oder entwirft zumindest Einschätzungen für einzelne Drittländer. Jedes einzelne Unternehmen wird beispielsweise in Bezug auf das Hosting personenbezogener Daten auf Servern in den USA alleingelassen mit der für kleine und mittelständische Unternehmen praktisch undurchführbaren Aufgabe, das Erfordernis „zusätzlicher Schutzmaßnahmen“ einzuschätzen.

Ist das Vereinigte Königreich mit dem Brexit nun datenschutzrechtlich ein „Drittland“ geworden mit der Folge erheblichen zusätzlichen Handlungsbedarfs für Ihr Unternehmen? (Copyright: lazyllama/adobe.stock)

Auch Übergangszeitraum zum 31. Dezember 2020 nunmehr abgelaufen

Infolge des am 23. Juni 2016 durchgeführten Referendums war das Vereinigte Königreich bereits am 31. Januar 2020 aus der EU ausgetreten. Vernünftigerweise wurde vereinbart, daß für die Dauer eines Übergangszeitraums – und zwar bis zum 31. Dezember 2020 – das Unionsrecht über den Schutz personenbezogener Daten im Vereinigten Königreich für die Verarbeitung der personenbezogenen Daten betroffener Personen außerhalb des Vereinigten Königreichs weitergilt (Art. 71, 126, 127 des Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft vom 31. Januar 2020 (EU-Amtsblatt 2020/L 29/7 ff.)).

Damit war für den Übergangszeitraum – bis zum 31. Dezember 2020 – der von erheblichem zusätzlichen Handlungsbedarf für Unternehmen geprägte datenschutzrechtliche Status abgewendet.

Nunmehr ist aber dieser Übergangszeitraum abgelaufen, und die Regelungen der Art. 71, 126, 127 des Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft vom 31. Januar 2020 (EU-Amtsblatt 2020/L 29/7 ff.)) hinfällig. Wie sieht nun die Rechtslage aus?

Rechtslage nach dem Ende des Übergangszeitraums: Ein neuer Übergangszeitraum von zunächst vier Monaten

Datenübermittlungen in das Vereinigte Königreich sind vorerst weiterhin unter den bisherigen Voraussetzungen möglich.

Dafür hat man zwar nicht die in vorgenanntem Abkommen durchaus vorgesehene Option der Verlängerung des Übergangszeitraums gezogen. Das Vereinigte Königreich und die EU haben stattdessen den Weg gewählt, eine ganz neue Übergangsphase im Rahmen eines Handels- und Zusammenarbeitsabkommens auszurufen, und zwar in Artikel FINPROV.10A des Handels- und Kooperationsabkommen zwischen der Europäischen Union und der Europäischen Atomgemeinschaft einerseits und dem Vereinigten Königreich Großbritannien und Nordirland andererseits, dort S. 468 ff.).

Danach sollen Übermittlungen personenbezogener Daten von der EU nach England, Wales, Schottland und Nordirland für eine weitere Übergangsperiode nicht als Übermittlungen in ein Drittland angesehen werden.

Diese Phase beginnt mit Inkrafttreten des Abkommens und endet, falls die EU-Kommission dann keine das Vereinigte Königreich betreffende Angemessenheitsentscheidungen – vergleichbar mit den für die Vereinigten Staaten zwischenzeitlich für unwirksam erklärten „Safe Harbour“ und seinem Nachfolger, dem „Privacy Shield“ – getroffen hat, spätestens bereits nach vier Monaten. Das Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.

Unsicherheit für Unternehmen bleibt

Auch wenn für den Moment also Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich für eine weitere Übergangsperiode nicht als Übermittlungen in ein Drittland angesehen werden, bleiben für Unternehmen in der EU Unsicherheiten.

Die neue Übergangsphase genügt Unternehmen kaum für eine erforderliche mittelfristige Planung. Es droht letztendlich doch die Einordnung des Vereinigten Königreiches als datenschutzrechtliches Drittland.

Selbst die Aufsichtsbehörde in Rheinland-Pfalz scheint Unternehmen wenig Hoffnung auf einen damit verbundenen, weniger aufwendigen Status machen zu wollen, wenn sie unkt

„Auch wenn auf eine Angemessenheitsentscheidung der EU-Kommission gehofft werden kann, darauf verlassen sollten sich die Verantwortlichen und Auftragsverarbeiter in der EU nicht.“

Hinweis für die Praxis: „Keep Calm and Carry On“ ist riskant

Der Brexit bleibt auch weiterhin und im Hinblick auf den Datenschutz für Unternehmen eine Herausforderung.

Von „Vorläufiger Rechtssicherheit“ schreibt zwar die Konferenz der unabhängigen Datenschutzaufsichtsbehörden.

Sie wollen aber als mittelständisches Unternehmen möglicherweise vorausschauend ihre Datenübermittlungen für die Zukunft sicher und rechtskonform gestalten.

Die Hinweise des Europäischen Datenschutzausschuss in der am 12. Februar 2019 herausgegebenen „Information Note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits“ könnten trotz des Deal-Brexits wieder von Interesse werden:

Wenn die EU-Kommission keinen Angemessenheitsbeschluss erläßt, könnten mittelfristig „geeignete Garantien zum Schutz personenbezogener Daten bei der Übermittlung in ein Drittland“ zu schaffen sein, wenn nicht Ausnahmetatbestände greifen oder von den Betroffenen wirksame Einwilligungen eingeholt worden sind. Einwilligungen dürften jedoch in vielen Fällen weder eingeholt worden noch praktikabel sein.

Das bedeutet in den meisten Fällen, Vereinbarungen gemäß der von der Europäischen Kommission genehmigten Standarddatenschutzklauseln zu treffen.

Weiterhin dürfte in diesem Fall angezeigt sein,

• das Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung Ihrer Internetpräsenz anzupassen,
• sicherzustellen, daß entsprechend anfragende Betroffene auch über die Datenübermittlung in Drittländer beauskunftet werden
• sicherzustellen, daß im Verzeichnis von Verarbeitungstätigkeiten Datenübermittlungen in das Vereinigte Königreich als solche bezeichnet sind
• sicherzustellen, daß gegebenenfalls erstmals notwendige Datenschutz-Folgenabschätzungen durchgeführt werden.
  Zunächst sollten Sie aber feststellen, ob und welche personenbezogenen Daten Sie – oder etwa von Ihnen beauftragte Unternehmen und deren Unterauftragnehmer für Sie (!) – in das Vereinigte Königreich übermitteln.

Wo es Ihnen möglich ist, sollten Sie das Risiko ausschließen, indem Sie bei einer anstehenden Neuverhandlung von IT-Projekten / IT-Verträgen einen Transfer ausschließlich in die verbleibenden EU-Staaten erlauben, denn diesen wird ein angemessenes Datenschutzniveau unterstellt.
Wir empfehlen Ihnen, das Thema auf jeden Fall ernst zu nehmen, um Bußgelder und Untersagungsverfügungen zu vermeiden.

Sprechen Sie uns an – wir unterstützen Sie zunächst darin, Transparenz über ihre Datenübermittlungen zu schaffen. Auf dieser Grundlage können wir Lösungen zum Ausschluß oder zumindest zur Verminderung von Risiken entwickeln und umsetzen.