Der No-Deal-Brexit und die DSGVO: Wird UK zum „Drittland“?
Der Europäische Datenschutzausschuss hat am 12. Februar 2019 eine „Information note on data transfers under the GDPR in the event of a no-deal Brexit“ veröffentlicht. Die Mitteilung zeigt auf, was für die Übermittlung personenbezogener Daten aus Mitgliedstaaten der künftigen EU-27 an Stellen im Vereinigten Königreich zu beachten ist, sollte der Austritt von Großbritannien und Nordirland aus der EU zum 30. März 2019 wirksam werden, ohne dass ein Austrittsabkommen den Übergang regelt.
Der gefürchtete No-Deal-Brexit hätte auch für das Datenschutzrecht gravierende Auswirkungen, denn das Vereinigte Königreich wäre mit einem Schlag ein „Drittland“ im Sinne der DSGVO.
Der Hintergrund
Bislang gibt es für das mit der EU verhandelte Austrittsabkommen keine Mehrheit in Westminster und auf erfolgreiche Nachverhandlungen besteht wenig Aussicht. Damit steigt die Wahrscheinlichkeit, dass das Vereinigte Königreich am 30. März 2019 abrupt den Binnenmarkt verlässt. Das hätte gravierende Auswirkungen auf viele Bereiche der Wirtschaft. Dazu gehört auch der Austausch von personenbezogenen Daten zwischen der künftigen EU-27 einerseits und dem Vereinigten Königreich andererseits.
Die Europäische Kommission hatte bereits in einer Mitteilung vom 9. Januar 2018 darauf aufmerksam gemacht, dass das Vereinigte Königreich nach dem Ausscheiden aus dem Binnenmarkt nicht mehr im räumlichen Geltungsbereich der DSGVO liegt, also zum „Drittland“ im Sinne der Art. 44 ff. DSGVO wird. In Drittländer dürfen personenbezogene Daten nur übermittelt werden, wenn entweder dort ein „angemessenes Schutzniveau“ für personenbezogene Daten besteht oder der Verantwortliche „geeignete Garantien“ vorgesehen hat.
Das angemessene Schutzniveau in einem Drittland wird von der Europäischen Kommission durch einen „Angemessenheitsbeschluss“ verbindlich festgestellt. Solche Angemessenheitsbeschlüsse gibt es beispielsweise für die Schweiz oder die USA (für Unternehmen, die nach dem „Privacy Shield Framework“ zertifiziert sind) und seit Kurzem auch für Japan. Für das Vereinigte Königreich gibt es keinen Angemessenheitsbeschluss, da es ja noch kein Drittland ist und daher bisher kein Anlass bestand, dass Schutzniveau auf seine Angemessenheit zu überpüfen.
Sollte der Ernstfall eines „No-Deal-Brexit“ eintreten, dürfte ein Transfer personenbezogener Daten in dieses Drittland daher vorerst nur auf der Grundlage „geeigneter Garantien“ gemäß Artikel 46 DSGVO stattfinden.
Was sind „geeignete Garantien“?
Artikel 46 DSGVO sieht Rechtsinstrumente unterschiedlicher Art als geeignete Garantien vor. Ihr Zweck ist, das im Drittland unzureichende gesetzliche Datenschutzniveau dadurch auszugleichen, dass sie den Personen, deren Daten verarbeitet werden „durchsetzbare Rechte und wirksame Rechtsbehelfe“ gewähren. Die geeignete Garantie kann insbesondere in einer vertraglichen Regelung zwischen dem Exporteur personenbezogener Daten im Geltungsbereich der DSGVO und dem Datenimporteur im Drittland bestehen.
Die einzige geeignete Garantie, die Unternehmen ohne vorherige Genehmigung durch eine Datenschutzbehörde zur Verfügung steht, sind die von der Europäischen Kommission erlassenen „Standarddatenschutzklauseln“ nach Artikel 46 Absatz 2 Buchstabe c DSGVO. Diese von der Europäischen Kommission veröffentlichten Dokumente sind Vertragsvorlagen, die zwischen einem Datenexporteur im Binnenmarkt und einem Datenimporteur im Drittland unverändert vereinbart werden müssen.
Solche Vorlagen gibt es sowohl für den Datentransfer zwischen zwei „Verantwortlichen“ (d. h. Unternehmen, die Daten für eigene Zwecke verarbeiten) als auch zwischen einem Verantwortlichen und einem „Auftragsverarbeiter“ (d. h. einem Dienstleister, der personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet).
Konsequenzen für die Praxis
Was ist also zu tun, um datenschutzrechtlich für den drohenden „No-Deal-Brexit“ gewappnet zu sein?
- Unternehmen müssen sich fragen, ob sie regelmäßig personenbezogene Daten an Unternehmen in Großbritannien und Nordirland übermitteln ‒ zum Beispiel an Kunden oder Dienstleister.
- Falls ja, ist zu prüfen, ob eine ‒ bislang ja nicht erforderliche ‒ geeignete Garantie bereits besteht.
- Wenn das nicht der Fall ist, sollte man vorsorglich rechtzeitig vor dem 30. März 2019 mit dem Empfänger der Daten die Standarddatenschutzklauseln vereinbaren.
- Die Übermittlung personenbezogener Daten in ein Drittland und die dafür vorgesehenen geeigneten Garantien müssen intern dokumentiert werden.
- Die betroffenen Personen müssen gemäß Artikel 13 bzw. 14 DSGVO informiert werden: über die Tatsache, dass ihre Daten an ein Drittland ohne angemessenes Schutzniveau übermittelt werden; darüber, welche geeigneten Garantien vorgesehen sind; sowie über „die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind“. Datenschutzerklärungen müssen entsprechend ergänzt werden.
Auch wenn der No-Deal-Brexit nur ein Eventualfall ist – anders kann ein Unternehmen, das Daten mit britischen Unternehmen austauscht, nicht verhindern, dass dieser Austausch möglicherweise von einem Tag auf den anderen unzulässig wird.