Zum 01.01.2021 wird Groß­bri­tan­ni­en die EU ver­las­sen. Und damit auch den euro­päi­schen Rechts­raum. Aktu­ell wird Groß­bri­tan­ni­en daten­schutz­recht­lich noch wie ein EU-Mitgliedstaat behan­delt. Eine Eini­gung zwi­schen den EU-Mitgliedern und dem Ver­ei­nig­ten König­reich für die Zeit danach ist momen­tan nicht abzu­se­hen. Was also mit den Daten­über­mitt­lun­gen auf die Insel tun und wie damit umgehen?

Einen Beschluss, der Groß­bri­tan­ni­en ein ange­mes­se­nes Daten­schutz­ni­veau vor Ort bestä­tigt, gibt es noch nicht und wird es auch bis zum kurz bevor­ste­hen­den har­ten Brexit aller Vor­aus­sicht nach nicht geben. Damit wird Groß­bri­tan­ni­en zu einem Dritt­land wer­den, in das ohne wei­te­re Maß­nah­me durch Ver­ant­wort­li­che kei­nen per­so­nen­be­zo­ge­nen Daten über­mit­telt wer­den dür­fen.” – Eileen Binder

Zunächst ein­mal mit einem küh­len Kopf einen Über­blick ver­schaf­fen. Welt­un­ter­gans­stim­mung wie nach dem Schrems II-Urteil des EuGH (hier geht’s zum Arti­kel) wird es nicht geben, Rechts­un­si­cher­heit erst ein­mal schon. Die­se Rechts­un­si­cher­heit ist aber eben­falls ein klein biss­chen weni­ger schlimm. Auch hier kann man mit einem Auge auf das Schrems II-Urteil bli­cken und sich damit beru­hi­gen, dass die Rah­men­be­din­gun­gen recht ähn­lich sind und die Lösung damit wohl auch.

Mit dem Ver­las­sen des euro­päi­schen Rechts­raums kön­nen per­so­nen­be­zo­ge­ne Daten von Mit­glie­dern der euro­päi­schen Uni­on nicht mehr ohne wei­te­res in das Nicht-EU-Land über­mit­telt wer­den. In einem ers­ten Prü­fungs­schritt muss zunächst ermit­telt wer­den, ob der Daten­schutz vor Ort gewähr­leis­tet wer­den kann. Eine Gewähr­leis­tung kann dar­in lie­gen, dass die EU-Kommission gemäß Art. 45 DSGVO einen Ange­mes­sen­heits­be­schluss fasst. Einen Beschluss, der Groß­bri­tan­ni­en ein ange­mes­se­nes Daten­schutz­ni­veau bestä­tigt, gibt es jedoch noch nicht und wird es auch bis zum kurz bevor­ste­hen­den har­ten Brexit aller Vor­aus­sicht nach auch nicht geben. Damit wird Groß­bri­tan­ni­en zu einem Dritt­land wer­den, in das ohne wei­te­re Maß­nah­me kei­nen per­so­nen­be­zo­ge­nen Daten über­mit­telt wer­den dürfen.

Was kön­nen Unter­neh­men tun?

Unter­neh­men kön­nen und soll­ten sich kurz­fris­tig auf die neue Situa­ti­on ein­stel­len und auf den unge­re­gel­ten Brexit vor­be­rei­ten. Ver­ant­wort­li­che müssen

  • prü­fen, ob Daten­über­mitt­lun­gen nach Groß­bri­tan­ni­en über­haupt rele­vant sind. Unter­neh­men mit Stand­or­ten oder Toch­ter­un­ter­neh­men im Ver­ei­nig­ten König­reich sind in jedem Fall betroffen.
  • prü­fen, ob es Auf­trags­ver­ar­bei­ter mit Sitz in Groß­bri­tan­ni­en gibt, an die eine Daten­über­mitt­lung statt­fin­det. Hier hilft meist bereits ein Blick in das Ver­zeich­nis der Verarbeitungstätigkeiten.
  • die rele­van­ten Ver­ar­bei­tungs­tä­tig­kei­ten iden­ti­fi­zie­ren. Auch hier hilft das Ver­zeich­nis der Verarbeitungstätigkeiten.
  • man­gels Ange­mes­sen­heits­be­schluss der EU-Kommission für die Ver­ar­bei­tungs­tä­tig­kei­ten geeig­ne­te Garan­tien nach Art. 46 DSGVO zur Gewähr­leis­tung des Daten­schut­zes vor Ort vor­se­hen, z.B.
  • EU-Standardvertragsklauseln
  • Ver­bind­li­che unter­neh­mens­in­ter­ne Rege­lun­gen (Bin­ding Cor­po­ra­te Rules) oder
  • die Garan­tien so umset­zen, dass die­se ab dem 01. Janu­ar 2021 greifen.
  • Daten­schutz­hin­wei­se und –ver­trä­ge, das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten sowie Daten­schutz­in­for­ma­tio­nen, für z.B. die Web­site, anpassen.
  • prü­fen, ob die Daten­über­mitt­lung auf­grund des Risi­kos für die Rech­te und Frei­hei­ten betrof­fe­ner Per­so­nen zunächst aus­ge­setzt wer­den kön­nen oder soll­te, bis geeig­ne­te Garan­tien vor­ge­se­hen wurden.

Wei­te­re Über­le­gun­gen könn­ten sein, die Auf­trags­ver­ar­bei­ter nach EU-Servern für die Daten­über­mitt­lung und Daten­ver­ar­bei­tung zu fra­gen oder nach alter­na­ti­ven Anbie­tern in der EU / dem EWR Aus­schau zu halten.

Fazit

Der vor­aus­sicht­lich unge­re­gel­te Brexit hin­ter­lässt zunächst ein­mal einen unsi­che­ren Rechts­raum. Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten nach Groß­bri­tan­ni­en über­mit­teln, müs­sen sich nun gut dar­auf vor­be­rei­ten, unter wel­chen Umstän­den sie zukünf­tig per­so­nen­be­zo­ge­ne Daten auf die Insel über­mit­teln. Die Über­mitt­lung auf Grund­la­ge eines Ange­mes­sen­heits­be­schlus­ses der EU-Kommission ist nach dem Ende der Über­gangs­frist am 01.01.2021 unwahr­schein­lich. Dazu müss­te Groß­bri­tan­ni­en zunächst selbst Daten­schutz­ge­set­ze fas­sen. Bes­ser ist der Abschluss von Stan­dard­ver­trags­klau­seln. Wer Stan­dard­ver­trags­klau­seln mit bri­ti­schen Unter­neh­men schlie­ßen möch­te, soll­te prü­fen, die Daten­über­mitt­lung bis zum Abschluss des Ver­tra­ges aus­zu­set­zen. Das hängt von der Risi­koklas­se der per­so­nen­be­zo­ge­nen Daten ab. Lan­ge soll­te die­ser unge­re­gel­te Zustand indes nicht anhal­ten. Soll Groß­bri­tan­ni­en gleich­be­rech­tig­ter Han­dels­part­ner für die EU wer­den, müs­sen schnellst­mög­lich von allen Betei­lig­ten Rege­lun­gen getrof­fen wer­den, die die Frei­zü­gig­keit – auch und gera­de des Daten­ver­kehrs — unter­ein­an­der best­mög­lich zulassen.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN