25. Februar 2019

Der Europäische Datenschutzausschuss (EDSA) erhöht jetzt den Druck auf die Unternehmen. Großbritannien und die EU ringen um eine Austrittsregelung zum bevorstehenden Brexit. Das britische Unterhaus hat sich zwar gegen einen ungeregelten Austritt aus der EU ausgesprochen. Es wird mittlerweile jedoch immer unwahrscheinlicher, dass in den wenigen verbleibenden Wochen eine Einigung über Austrittsregelungen erzielt werden kann.Am Stichtag des 30. März 2019 kann es daher zum (datenschutzrechtlich) ungeregelten „harten Brexit“ kommen. Aus datenschutzrechtlicher Sicht bedeutet das, Großbritannien wäre im Sinne der DSGVO als Drittland anzusehen. Personenbezogene Daten dürften dann zwischen EU und Großbritannien nur übertragen werden, wenn die erhöhten Anforderungen der Art. 44 ff. DS-GVO erfüllt sind.

Der stellvertretende Bundesdatenschutzbeauftragte Jürgen H. Müller hat jetzt den Druck auf die Unternehmen erhöht. Er sagte nach einer Sitzung des EDSA, es werde im Falle eines harten Brexits keine Schonzeit geben, in der die Datenschutzbehörden ein Auge zudrücken und Datenübermittlungen ohne die entsprechenden Voraussetzungen dulden. Betroffene Unternehmen müssten im Falle eines harten Brexits sofort mit einem konsequenten Durchgreifen der Behörden rechnen.

Die DSGVO gibt dem Verwender mehrere Instrumente für einen Datenaustausch mit einem Drittstaat – zu dem Großbritannien nach einem harten Brexit gehören würde – an die Hand. Konzerne mit bestehenden sog. „Binding Corporate Rules“ können ihre Verarbeitung hierauf stützen. Für eine schnelle Lösung können Unternehmen vor allem auf Standardvertragsklauseln zurückgreifen. Es ist aber in jedem Fall vorab prüfen, ob die Mustertexte zu den konkret stattfindenden Datenübermittlungsprozessen passen. Nur dann, wenn die Standarddatenschutzklauseln die tatsächlichen Prozesse abbilden, können sie die Verarbeitung rechtfertigen. Daneben besteht grundsätzlich noch die Möglichkeit eines Datentransfers im Rahmen eines Ausnahmetatbestandes nach Art. 49 DS-GVO.

Langfristig würde ein Angemessenheitsbeschluss der Europäischen Kommission für Rechtssicherheit sorgen. Wie schon gegenüber Japan (siehe vorausgegangenen Blogbeitrag) würde die Kommission Großbritannien attestieren, dass das dortige Datenschutzniveau mit dem der EU gleichwertig ist. Damit wäre zwischen Großbritannien und der EU ein ungehinderter Datenfluss möglich.

Bis zum Brexit wird ein Angemessenheitsbeschluss aber kaum mehr möglich sein. Hierzu muss die Europäische Kommission zunächst prüfen, ob die britischen Datenschutzregelungen den Anforderungen der EU genügen. Dieser Prozess kann sich über mehrere Monate hinziehen und sogar Jahre in Anspruch nehmen. Anzumerken ist in diesem Zusammenhang, dass die britische Regierung bereits im Jahr 2017 damit begonnen hat, das britische Datenschutzrecht dem Regelungsniveau der DS-GVO anzupassen. Es bleibt abzuwarten, ob dies in absehbarer Zeit passieren wird. Einen Streitpunkt könnten beispielsweise die Geheimdienstaktivitäten der Briten bilden. Die Aufklärungsbehörde GCHQ hat beispielsweise zuletzt angekündigt, zukünftig großangelegte Hackerangriffe im Ausland vorzunehmen. Deren Vereinbarkeit mit den Grundrechten der DS-GVO wird erst noch zu klären sein.

Zwar wird aktuell erwogen, den Brexit bis 2021 aufzuschieben. Es ist jedoch noch offen, ob die britische Regierung tatsächlich formell eine Verschiebung bei der EU beantragen wird. Daher sollten Unternehmen angesichts der knapp bemessenen bis zum geplanten Brexit am 30. März 2019 mit Hochdruck überprüfen, ob ihre Datenverarbeitungen mit britischem Auslandsbezug den strengen Anforderungen der DS-GVO standhalten und ggf. Auslegungshilfen der Aufsichtsbehörden hinzuziehen. Notwendige Anpassungen sind rechtzeitig vorzunehmen, um insbesondere hohe Geldstrafen nach den datenschutzrechtlichen Regelungen zu vermeiden.