Brexit = Datenschutz-Exit? Was bedeutet der EU-Austritt für die Beachtung der DSGVO?

Brexit = Datenschutz-Exit? Was bedeutet der EU-Austritt für die Beachtung der DSGVO?

In der Nacht vom 31. Januar zum 1. Februar 2020 war es schließlich soweit. Kaum einer hatte wahrscheinlich noch daran geglaubt, dass nach allen Strapazen und Verschiebungen dieses Mal der Termin wirklich eingehalten wird. Mittlerweile sind 24 Tage vergangen, seit das Vereinigte Königreich aus der EU ausgetreten ist. Doch was bedeutet der Brexit für die Unternehmen im Bezug auf die datenschutzrelevanten Themen?

Das neue Jahr begann direkt mit einer der größten Veränderungen der letzten Jahre. Das Vereinigte Königreich Großbritannien und Nordirland treten aus der EU aus. Ein Akt, der sich mit dem Referendum am 23. Juni 2016 bereits abgezeichnet hatte, aber wirklich daran glauben wollte keiner. Doch das Austrittsabkommen wurde trotz allen Brexit-Diskussionen unterzeichnet, mit Ablauf zum 31. Januar trat es in Kraft. So hat die EU seit dem 1. Februar nur noch 27 Mitgliedsstaaten.

Mit dem Austritt besteht auch keine Pflicht mehr, die Verordnungen der EU verbindlich umzusetzen. Die Folgen im Bereich Datenschutz möchten wir uns heute einmal genauer anschauen. Die Prozesse müssen nicht von heute auf morgen direkt umgestellt werden, denn gemäß Art. 126 des Austrittsabkommens gilt eine Übergangsfrist bis Ende 2020. Bis zum Ende des Jahres bleibt also alles wie gehabt: das Unionsrecht gilt für das Vereinigte Königreich und somit auch die DSGVO. Das Vereinigte Königreich könnte sogar bis zum 1. Juli 2020 die Übergangsfrist einmalig um ein oder zwei Jahre verlängern.

Früher oder später wird auf jeden Fall der Tag kommen, an dem sich das Vereinigte Königreich nicht mehr an das Unionsrecht halten muss, damit auch nicht mehr an die DSGVO. Dann wird das Vereinigte Königreich rechtlich gesehen zum Drittland. Von besonderer Bedeutung wird diese Konstellation bei der Übermittlung von personenbezogenen Daten. Denn wer personenbezogene Daten in Drittländer übertragen möchte, muss die Art. 44 ff. DSGVO beachten. Nach Art. 44 ff. DSGVO darf eine Übermittlung in ein Drittland nur erfolgen, wenn das Drittland ein angemessenes Schutzniveau vorweisen kann. Dies hat den Hintergrund, dass viele Länder außerhalb der EU lockere nationale Datenschutzgesetze haben und der Schutz der personenbezogenen Daten bei einer Übermittlung somit ins Leere laufen würde.

Allgemeine Voraussetzungen zur Datenübermittlung in ein Drittland

Die Zulässigkeitsprüfung einer solchen Datenübermittlung erfolgt in zwei Schritten. Die Datenübermittlung muss zunächst einmal zulässig sein, d.h. es muss mindestens einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO vorliegen. Anschließend muss die Übermittlung in das Drittland zulässig sein. Zulässig ist die Datenübermittlung, wenn das Drittland ein angemessenes Schutzniveau vorweisen kann. Die Kommission hat für eine Reihe von Drittländern solch ein angemessenes Datenschutzniveau feststellen können (Angemessenheitsbeschluss). Man bezeichnet diese Länder auch als sicheres Drittland.

Eine Datenübermittlung in ein unsicheres Drittland ist grundsätzlich nicht ausgeschlossen. In Art. 46 ff. DSGVO sind eine Reihe von weiteren Voraussetzungen terminiert, die eine Übermittlung unter bestimmten Voraussetzungen möglich machen. Möglichkeiten für eine Zusicherung eines angemessenen Datenschutzniveaus sind beispielsweise der Einsatz von Standardvertragsklauseln, bei Datenübertragungen innerhalb eines Konzerns durch Binding Coporate Rules, durch eine Verpflichtung zur Einhaltung von Vertragsregeln, die von der Kommission für allgemein gültig erklärt worden sind oder durch Zertifizierung des Verarbeitungsvorgangs geschehen. Wird eine Maßnahme nach Art. 46 ff. DSGVO umgesetzt, so ist die Datenübermittlung auch in ein unsicheres Drittland zulässig.

Fallbeispiel UK

Für eine Datenübermittlung in das Vereinigte Königreich gibt es nach Ablauf der Übergangsfrist mehrere Szenarien:

  • Der Angemessenheitsbeschluss
    Die Kommission könnte dem Vereinigten Königreich einen Angemessenheitsbeschluss aussprechen. Eine Datenübermittlung wäre in das gesamte Land zulässig und man müsste nicht mit jedem „Inselansässigen“-Unternehmen gesonderte datenschutzkonforme Datenschutzregeln aushandeln. Die Kommission überprüft dazu gemäß Art. 45 Abs. 2 DSGVO mehrere Voraussetzungen, die von dem Drittland datenschutzkonform umgesetzt werden müssen. Die Briten könnten dazu die DSGVO in das britische Datenschutzgesetz integrieren. Laut aktuellem Sachstand möchte aber Boris Johnson sein eigenständiges Regelwerk erlassen.
  • Der Zertifizierungsmechanismus
    Man könnte mit dem Vereinigten Königreich ein ähnliches Abkommen aushandeln, wie mit der USA. Ein Selbstzertifizierungsmechanismus, dem sich jedes Unternehmen aus dem Vereinigten Königreich freiwillig unterwerfen könnte.
  • Möglichkeiten nach der DSGVO
    Wenn keine allgemeingültige Regelung getroffen wird, müssten sich die Unternehmen individuell einigen. Um eine nach der DSGVO zulässige Übermittlung zu ermöglichen, müsste sich somit jedes EU-Unternehmen mit den Datenverarbeitern aus dem Vereinigten Königreich auf eine der aufgeführten Möglichkeiten einigen.
    • Standardvertragsklauseln
    • Binding Coporate Rules
    • Zertifizierungen
    • Genehmigte Verhaltensregeln
    • Individuell ausgehandelte Vertragsklauseln

Es bleibt also spannend, für welches Modell sich die Kommission entscheidet. Es wird auf jeden Fall für viele Unternehmen von Bedeutung sein, da fast jedes siebte deutsche Unternehmen einen Dienstleister mit Sitz im Vereinigten Königreich beschäftigt.

Datenschutzschulung per App

Sie möchten mehr über Datenübermittlung in ein Drittland erfahren? Wissen Sie bereits, welche Anforderungen bei der Verarbeitung personenbezogener Daten greifen?

In unserer Datenschutz-Schulungsapp wird die DSGVO und das Thema Datenschutz verständlich erklärt. Lernen Sie die notwendigen Grundlagen und gängigen Begrifflichkeiten. In sieben verschiedene Themengebiete unterteilt, können Sie sich mit Hilfe anschaulicher Infotexte, Bilder sowie Videos an das Fachwissen der Datenschützer herantasten. Am Ende jedes Kapitels gibt es eine integrierte Lernerfolgskontrolle zum autodidaktischen Lernen. Erhältlich ist die App für alle iOS und Android-Geräte im Appstore. Weitere Infos finden Sie unter www.dsgvo-schulungsapp.com.

Brexit Drittland Datenübermittlung DSGVO Angemessenheitsbeschluss

Maren Kübler

Maren Kübler

Datenschutz­beauftragte

veröffentlicht am

24. Februar 2020

Weitere Artikel lesen

In unserem Blog behandeln wir topaktuelle Themen rund um den Datenschutz und unsere Arbeit. Bleiben Sie immer informiert.

$title_de

26. März 2020

#WirVsVirus - Datenschutzberatung beim Hackathon der Bundesregierung

$title_de

31. Januar 2020

Google Analytics & die aktive Einwilligung - Der datenschutz­konforme Umgang mit Cookies

$title_de

20. Dezember 2019

Die Zukunft des EU-US-Privacy-Shields: Schrems vor dem EuGH - Runde 2

Alle Artikel im Überblick

Alle

Artikel im Überblick

Noch Fragen offen?

Sie haben Anmerkungen oder Fragen zum Thema? Oder benötigen Sie unsere Expertise? Kontaktieren Sie uns mit Ihrem Anliegen, wir freuen uns, Sie kennenzulernen.

VELIT Consulting GmbH & Co. KG