Zum 01.01.2021 wird Großbritannien die EU verlassen. Und damit auch den europäischen Rechtsraum. Aktuell wird Großbritannien datenschutzrechtlich noch wie ein EU-Mitgliedstaat behandelt. Eine Einigung zwischen den EU-Mitgliedern und dem Vereinigten Königreich für die Zeit danach ist momentan nicht abzusehen. Was also mit den Datenübermittlungen auf die Insel tun und wie damit umgehen?
“Einen Beschluss, der Großbritannien ein angemessenes Datenschutzniveau vor Ort bestätigt, gibt es noch nicht und wird es auch bis zum kurz bevorstehenden harten Brexit aller Voraussicht nach nicht geben. Damit wird Großbritannien zu einem Drittland werden, in das ohne weitere Maßnahme durch Verantwortliche keinen personenbezogenen Daten übermittelt werden dürfen.” – Eileen Binder
Zunächst einmal mit einem kühlen Kopf einen Überblick verschaffen. Weltuntergansstimmung wie nach dem Schrems II-Urteil des EuGH (hier geht’s zum Artikel) wird es nicht geben, Rechtsunsicherheit erst einmal schon. Diese Rechtsunsicherheit ist aber ebenfalls ein klein bisschen weniger schlimm. Auch hier kann man mit einem Auge auf das Schrems II-Urteil blicken und sich damit beruhigen, dass die Rahmenbedingungen recht ähnlich sind und die Lösung damit wohl auch.
Mit dem Verlassen des europäischen Rechtsraums können personenbezogene Daten von Mitgliedern der europäischen Union nicht mehr ohne weiteres in das Nicht-EU-Land übermittelt werden. In einem ersten Prüfungsschritt muss zunächst ermittelt werden, ob der Datenschutz vor Ort gewährleistet werden kann. Eine Gewährleistung kann darin liegen, dass die EU-Kommission gemäß Art. 45 DSGVO einen Angemessenheitsbeschluss fasst. Einen Beschluss, der Großbritannien ein angemessenes Datenschutzniveau bestätigt, gibt es jedoch noch nicht und wird es auch bis zum kurz bevorstehenden harten Brexit aller Voraussicht nach auch nicht geben. Damit wird Großbritannien zu einem Drittland werden, in das ohne weitere Maßnahme keinen personenbezogenen Daten übermittelt werden dürfen.
Was können Unternehmen tun?
Unternehmen können und sollten sich kurzfristig auf die neue Situation einstellen und auf den ungeregelten Brexit vorbereiten. Verantwortliche müssen
- prüfen, ob Datenübermittlungen nach Großbritannien überhaupt relevant sind. Unternehmen mit Standorten oder Tochterunternehmen im Vereinigten Königreich sind in jedem Fall betroffen.
- prüfen, ob es Auftragsverarbeiter mit Sitz in Großbritannien gibt, an die eine Datenübermittlung stattfindet. Hier hilft meist bereits ein Blick in das Verzeichnis der Verarbeitungstätigkeiten.
- die relevanten Verarbeitungstätigkeiten identifizieren. Auch hier hilft das Verzeichnis der Verarbeitungstätigkeiten.
- mangels Angemessenheitsbeschluss der EU-Kommission für die Verarbeitungstätigkeiten geeignete Garantien nach Art. 46 DSGVO zur Gewährleistung des Datenschutzes vor Ort vorsehen, z.B.
- EU-Standardvertragsklauseln
- Verbindliche unternehmensinterne Regelungen (Binding Corporate Rules) oder
- die Garantien so umsetzen, dass diese ab dem 01. Januar 2021 greifen.
- Datenschutzhinweise und –verträge, das Verzeichnis der Verarbeitungstätigkeiten sowie Datenschutzinformationen, für z.B. die Website, anpassen.
- prüfen, ob die Datenübermittlung aufgrund des Risikos für die Rechte und Freiheiten betroffener Personen zunächst ausgesetzt werden können oder sollte, bis geeignete Garantien vorgesehen wurden.
Weitere Überlegungen könnten sein, die Auftragsverarbeiter nach EU-Servern für die Datenübermittlung und Datenverarbeitung zu fragen oder nach alternativen Anbietern in der EU / dem EWR Ausschau zu halten.
Fazit
Der voraussichtlich ungeregelte Brexit hinterlässt zunächst einmal einen unsicheren Rechtsraum. Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, müssen sich nun gut darauf vorbereiten, unter welchen Umständen sie zukünftig personenbezogene Daten auf die Insel übermitteln. Die Übermittlung auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission ist nach dem Ende der Übergangsfrist am 01.01.2021 unwahrscheinlich. Dazu müsste Großbritannien zunächst selbst Datenschutzgesetze fassen. Besser ist der Abschluss von Standardvertragsklauseln. Wer Standardvertragsklauseln mit britischen Unternehmen schließen möchte, sollte prüfen, die Datenübermittlung bis zum Abschluss des Vertrages auszusetzen. Das hängt von der Risikoklasse der personenbezogenen Daten ab. Lange sollte dieser ungeregelte Zustand indes nicht anhalten. Soll Großbritannien gleichberechtigter Handelspartner für die EU werden, müssen schnellstmöglich von allen Beteiligten Regelungen getroffen werden, die die Freizügigkeit – auch und gerade des Datenverkehrs — untereinander bestmöglich zulassen.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]