Datentransfer mit UK nach dem BREXIT

Fachbeitrag

Ohne große Erwähnungen in der Tagespresse hat die EU-Kommission am 09.01.2018 mitgeteilt, dass Großbritannien mit Austritt am 30. März 2019 zum Drittland wird und dass es einen Angemessenheitsbeschluss nicht ohne weiteres geben wird. Diese Nachricht hat einige Brisanz und stellt Unternehmen vor neue Herausforderungen. Dachte man bisher doch noch, dass Großbritannien die Regelungen der DSGVO weitestgehend übernehmen und die EU ihnen den Status eines sicheren Drittlandes zuerkennen werden.

Was ist bisher passiert?

Bereits im Mai 2016, damals kurz vor dem Referendum der Briten, haben wir in unserem Artikel „BREXIT auch im Datenschutz?“ das erste Mal darüber berichtet, welche Auswirkungen der BREXIT für den Datenschutz hat. Die Überlegungen waren zunächst noch sehr theoretisch, da nicht absehbar war wie sich die Briten entscheiden und ob sie sich am EU Datenschutzrecht orientieren oder lieber eigene Regelungen schaffen möchten.

Großbritannien will sich am europäischen Datenschutz orientieren.

Ein erstes Update gab es von uns 24. Juni 2016, als klar war, dass die Briten die EU tatsächlich verlassen werden. Das Information Comissioner’s Office beteuerte damals noch, dass die nationale Gesetzgebung sich auch weiterhin an die Vorgaben der Datenschutzrichtlinie halten werde. Im weiteren Verlauf wurde die Stellungnahme dahingehend abgeändert, dass Großbritannien auch die Regelungen der Datenschutz-Grundverordnung übernehmen wolle. Klar war aber auch damals schon, dass für eine unkomplizierte Datenübermittlung zwischen den Mitgliedsstaaten der EU und Großbritannien ein Angemessenheitsbeschluss notwendig sein wird.

Ein erster Dämpfer

Im November 2016 dann der erste Hammer, die britische Regierung segnete eines der härtesten Überwachungsgesetze einer Demokratie, die Investigatory Powers Bill ab. Mit einer derart weitreichenden Überwachungsmöglichkeit durch die Geheimdienste wird es deutlich schwieriger werden, die EU davon zu überzeugen, dass in Großbritannien ein angemessener Datenschutz gewährleistet ist. Aus ähnlichen Gründen wurde schließlich bereits das Safe Harbor Abkommen mit den USA vom EuGH gekippt.

Bedenken des House of Lords

In einer Mitteilung von Juli 2017 äußerte auch der verantwortliche Ausschuss des House of Lords Bedenken hinsichtlich der datenschutzrechtlichen Vorbereitung auf den EU Austritt. Der Konsens war auch hier, dass die britische Regierung einen Angemessenheitsbeschluss der Europäischen Kommission anstreben solle. Wir berichteten genauer in unserem Artikel „House of Lords zum Brexit: GB muss Adäquanzentscheidung anstreben

Einen Angemessenheitsbeschluss wird es ohne weiteres nicht geben

Anfang dieses Monats wurde durch eine Stellungnahme der europäischen Kommission klar, dass es so einfach nicht werden wird. Weniger überraschend war die Feststellung, dass Großbritannien als Drittland gelten wird, denn das europäische Primär- und Sekundärrecht gilt mit Austritt am 30. März 2019 in Großbritannien nicht mehr. Darüber hinaus machte die Kommission aber auch klar, dass es einen automatischen Angemessenheitsbeschluss nicht geben wird.

Was ist zu tun?

Derzeit sind Unternehmen bereits umfangreich damit beschäftigt die eigenen Prozesse und Schriftstücke an die im Mai 2018 kommende Datenschutz-Grundverordnung anzupassen. Es ist daher beruhigend zu realisieren, dass zumindest in der Zeit zwischen Mai 2018 und März 2019 der Datentransfer nach oder aus Großbritannien unter keinen größeren Hürden steht, denn bis zum Austrittsdatum gilt die Datenschutz-Grundverordnung auch dort.

Es geht auch ohne Angemessenheitsbeschluss

Ebenfalls beruhigend ist, dass ohne einen Angemessenheitsbeschluss die Datenübermittlung nicht vollends unmöglich wird. Sie wird allerdings komplizierter. Die zu diesem Zeitpunkt bereits geltende Datenschutz-Grundverordnung sieht in Art. 46 Abs. 1 DSGVO vor, dass eine Übermittlung ohne einen Angemessenheitsbeschluss (Art. 45 DSGVO) nur mit geeigneten Garantien möglich ist. Wie diese Garantien erbracht werden können zeigt Art. 46 Abs. 2 DSGVO auf, der verschiedene Möglichkeiten aufzählt.

Besteht kein Angemessenheitsbeschluss und schaffen Unternehmen ihrerseits keine Art. 46 DSGVO entsprechende Garantien, drohen nach Art. 83 DSGVO hohe Bußgelder.

Was ist mit dem Datentransfer zwischen Großbritannien und den USA

Für alle Unternehmen mit Sitz in Großbritannien besteht zusätzlich die Frage wie es mit dem Datentransfer in die USA aussieht. Der Privacy Shield als Abkommen zwischen der EU und den USA wird für Großbritannien ebenfalls nicht gelten. Ermöglicht die britische Regierung den Datentransfer in die USA nur unter Anwendung eines dem Angemessenheitsbeschluss ähnlichen Verfahren, wird zunächst ein vergleichbares Abkommen zu verhandeln sein. Bei weniger strengen Vorgaben wird es hingegen noch schwieriger gegenüber der EU zu argumentieren, man habe selbst ein angemessenes Datenschutzniveau implementiert.

Handlungsbedarf besteht aktuell noch nicht!

Es bleibt abzuwarten, ob Großbritannien es schafft vor dem Austritt ein angemessenes Datenschutzniveau zu schaffen, um so rechtzeitig einen Angemessenheitsbeschluss zu erlangen. Bis dahin ist es noch nicht notwendig Dokumente und Prozesse anzupassen. Dennoch sollten sich Unternehmen bereits darauf vorbereiten Maßnahmen zu treffen, denn sicher ist eine ausreichende Vorbereitung Großbritanniens nicht und Bußgelder drohen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.