Standpunkt : Brexit: Herausforderung für den Datenschutz

Durch den verschobenen Brexit gewinnen deutsche Unternehmen etwas an Zeit, um sich auf die rechtlichen Folgen des EU-Austritts der Briten einzustellen. Für viele Unternehmen stellt sich dabei die Frage, welchen Einfluss der Brexit auf die bestehenden Datenschutzstrukturen und etwaige Datenübermittlungen ins Vereinigte Königreich hat.

Warum besteht datenschutzrechtlicher Anpassungsbedarf?

Anpassungsbedarf besteht für deutsche Unternehmen sowohl bei einem ungeregelten als auch bei einem geregelten Brexit, weil die Vorgaben der Datenschutzgrundverordnung (DSGVO) im Vereinigten Königreich früher oder später nicht mehr direkt gelten. Damit wird es zum Drittland im Sinne der DSGVO, so dass Datenübermittlungen nur unter Einhaltung der zusätzlichen Anforderungen der Art. 44ff. DSGVO möglich sind.

Im Falle eines geregelten Brexit wird das Vereinigte Königreich entsprechend des Entwurfs für das Austrittsabkommen erst nach einer Übergangsphase zum Drittland. In dieser Phase soll die DSGVO weiterhin anwendbar sein, so dass Datenübermittlungen unter den gleichen Voraussetzungen wie bisher stattfinden könnten. Weder zum Gelingen der Ratifizierung des Abkommens noch zur Dauer der Übergangsphase lassen sich nach jetzigem Stand allerdings verlässliche Aussagen treffen. Käme es zu einem ungeregelten Brexit, würde das Vereinigte Königreich unmittelbar mit Austritt zum Drittland im Sinne der DSGVO.

Um Unternehmen eine Datenübermittlung ins Vereinigte Königreich als Drittland zu erleichtern, könnte die Europäische Kommission einen sogenannten Angemessenheitsbeschluss nach Art. 45 DSGVO fassen. Dieser würde ein mit der DSGVO vergleichbares Datenschutzniveau im Vereinigten Königreich bestätigen und als Garantie für Datenübermittlungen dienen. Die britische Regierung hat bereits Gesetzgebungspläne, um DSGVO-Standards im nationalen Recht nach dem Brexit zu erhalten. Allerdings ist unklar, ob und wie schnell die Europäische Kommission einen Angemessenheitsbeschluss fassen wird; voraussichtlich werden andere Angelegenheiten von der Kommission höher priorisiert. In der Zwischenzeit müssen Unternehmen ihre Datenübermittlungen mit anderen Garantien nach Art. 44 ff. DSGVO absichern.

Was können Unternehmen tun?

Ohne Angemessenheitsbeschluss bietet sich eine Datenübermittlung insbesondere auf der Grundlage von sogenannten Standarddatenschutzklauseln gemäß Art. 46 II lit. c DSGVO an. Dies sind von der Europäischen Kommission vorformulierte Standardverträge, die EU-Unternehmen mit allen Datenempfängern im Vereinigten Königreich abschließen können. Liegt ein entsprechender Vertrag vor, wird keine Genehmigung der Datenübermittlung durch die Aufsichtsbehörden erforderlich.

Daneben treffen EU-Unternehmen aber auch weitergehende datenschutzrechtliche Pflichten. So müssen Unternehmen unter anderem. ihre Datenschutzerklärungen oder -informationen im Hinblick auf die Datenübermittlung ins Vereinigte Königreich aktualisieren und Betroffene über die verwendete Datenschutzgarantie (z.B. Standarddatenschutzklauseln) informieren (Art. 13, 14 DSGVO). Die Datenübermittlung ist auch in das Verzeichnis von Verarbeitungstätigkeiten aufzunehmen (Art. 30 DSGVO). Übt eine betroffene Person ein Auskunftsrecht nach Art. 15 DSGVO aus, so muss er/sie über die Datenübermittlung ins Vereinigte Königreich informiert werden. Werden Daten in größerem Umfang in das Vereinigte Königreich übermittelt, könnte dies Unternehmen außerdem zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO verpflichten. Daneben müssen EU-Unternehmen ohne Niederlassung im Vereinigten Königreich voraussichtlich einen Vertreter im Vereinigten Königreich bestellen, der als Ansprechpartner für die UK-Behörden und betroffenen Personen agiert.

Wie viel Zeit werden entsprechende Vorbereitungen in Anspruch nehmen?

Aus Unternehmenssicht ist besonders problematisch, dass der unmittelbare Handlungsbedarf von der Art und Weise des Brexit und dem unklaren Austrittszeitpunkt abhängt. In der täglichen Beratungsarbeit spiegelt sich diese Unsicherheit wider: Unternehmen möchten wissen, wie viel Zeit sie für datenschutzrechtliche Anpassungen vor dem Brexit benötigen werden. In großen Konzernen sind dafür gegebenenfalls mehrere Monate einzuplanen. In dieser Zeit müssen Unternehmen feststellen, ob und welche Datentransfers ins Vereinigte Königreich erforderlich werden, welcher datenschutzrechtliche Änderungsbedarf besteht und erforderliche Anpassungen vornehmen.

Paul Voigt ist Partner im Berliner Büro der internationalen Sozietät Taylor Wessing. Er verfügt über ausgewiesene Expertise im IT-Vertragsrecht, im Datenschutzrecht sowie im IT-Sicherheitsrecht.