DSGVO & Brexit: Datenaustausch mit UK ab 30. März 2019
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) entfaltet seit dem 25.05.2018 Wirkung und soll die personenbezogenen Daten natürlicher Personen innerhalb der EU schützen. Die Einwohner des Vereinigen Königreichs haben mehrheitlich in einem Referendum am 23.06.2016 für den Austritt aus der EU, den Brexit, gestimmt. Da die DSGVO erhebliche Änderungen bei der Verarbeitung personenbezogener Daten für Unternehmen und Behörden mit sich brachte, ist nun fraglich, inwieweit die DSGVO nach dem Brexit weiterhin im Vereinigten Königreich Relevanz hat.
Anwendungsbereich der Verordnung
Grundsätzlich gilt, dass Richtlinien und Verordnungen der EU ihre Wirkung nur innerhalb der EU entfalten. Verordnungen, wie auch die DSGVO, gelten unmittelbar und müssen nicht mehr in nationales Recht umgesetzt werden. Als Mitgliedstaat der EU gilt für das Vereinigtes Königreich aktuell somit noch die DSGVO. Zwar endet die EU-Mitgliedschaft der Briten erst, wenn ein Austrittsabkommen verhandelt und in Kraft getreten ist. Gelingt dies nicht, endet die EU-Mitgliedschaft des Vereinigten Königreichs automatisch im März 2019, zwei Jahre nach der offiziellen Austrittserklärung.
“Nichts ist verhandelt, bis nicht alles verhandelt ist.”
// Michel Barnier
Im März dieses Jahres konnten sich beide Verhandlungspartner darauf einigen, dass es nach dem Austritt des aus der EU am 29. März 2019 ein Übergangsabkommen geben soll, welches den Zugang des Vereinigten Königreichs zum Binnenmarkt und zur Zollunion bis zum 31. Dezember 2020 garantieren und die Auswirkungen des Brexit auf die Bürger und Wirtschaftsbeteiligten somit abmildern soll. Die EU hat gab jedoch zu erkennen, dass derartige Übergangsregeln nur dann verbindlich werden, wenn sie im Rahmen eines umfangreichen Austrittsabkommens vereinbart werden. Ohne Austrittsabkommen gäbe es folglich auch keine Übergangsregeln und die bislang geltenden Regelungen des Binnenmarktes und der Zollunion würden ab dem 30. März 2019, 0:00 Uhr, zwischen dem Vereinigten Königreich und der EU keine Anwendung mehr finden.
Szenario 1: “Harter” Brexit
Da es sich bei dem Übergangsabkommen lediglich um einen Entwurf handelt, werden die EU-Richtlinien und Verordnungen nach dem Brexit – aus heutiger Sicht – nicht mehr für Großbritannien (als Drittstaat) gelten, so dass auch die DSGVO keine unmittelbare Wirkung mehr entfalten würde. Käme somit kein Übergangsabkommen zustande, würde es sich um einen sog. “harten” Brexit handeln.
Dies bedeutet jedoch nicht, dass Unternehmen in Großbritannien die DSGVO nicht mehr beachten müssten.
Unternehmer im Vereinigten Königreich
Sofern Sie ein Unternehmer im Vereinigten Königreich sind und in Deutschland bzw. der EU Waren und Dienstleistungen anbieten, verarbeiten Sie in aller Regel die personenbezogenen Daten der betroffenen EU-Bürger. Diese könnten beispielweise Name oder Anschrift sein. In diesem Fall würden Sie als Unternehmer auch nach dem Brexit den Regelungen der DSGVO unterliegen, wie Art. 3 Nr. 2 DSGVO unmissverständlich klarstellt.
Auch außereuropäische Dienstleister und Händler haben also die DSGVO zu beachten. Bei Nichteinhaltung können den Unternehmen Geldbußen (Art. 83 DSGVO) auferlegt werden, selbst wenn die DSGVO nicht mehr unmittelbar im Vereinigten Königreich gelten sollte. Sofern Sie als Unternehmer von keinen natürlichen Personen innerhalb der EU personenbezogene Daten verarbeiten, sind die Regelungen der DSGVO grundsätzlich nicht anzuwenden. Maßgeblich ist, ob personenbezogene Daten verarbeitet werden.
Zwischenzeitlich wurde mit einem Gesetz des britischen Parlaments, dem European Union (Withdrawal) Act 2018, die Übernahme der aktuell unmittelbar geltenden EU-DSGVO in nationales Recht gesetzlich verfestigt. Dies hat zur Folge, dass die DSGVO nach dem Brexit in nationales Recht umgewandelt werden muss. Unternehmer in Großbritannien müssten somit auch nach dem Austritt die in nationales Recht übernommene DSGVO wie bislang beachten und für natürliche Personen in dem eigenen Land anwenden.
Übermittlung personenbezogener Daten nach UK
Nicht nur Waren und Dienstleistungen, sondern auch personenbezogene Daten werden zwischen den verschiedenen Mitgliedstaaten übermittelt. Die zwischenstaatliche Übermittlung von personenbezogenen Daten ist innerhalb der EU aufgrund des vereinheitlichten Datenschutzstandards durch die DSGVO grundsätzlich unproblematisch. Unternehmer in Spanien und Italien beispielsweise können ohne weitere Hindernisse Daten austauschen.
Bei einer Übermittlung in Drittstaaten ist die Weitergabe der Daten dagegen an weitere Voraussetzungen gebunden (vgl. Art. 44 ff. DSGVO). Hier muss neben einer weiterhin erforderlichen Rechtsgrundlage für die Verarbeitung bzw. Übermittlung auch ein ausreichender Datenschutzstandard in dem Drittstaat vorliegen. Nach dem Brexit gilt Großbritannien bzw. das Vereinigte Königreich grundsätzlich als ein solcher Drittstaat. Sollte das Vereinigte Königreich Maßnahmen ergreifen, um einen solchen Standard herbeizuführen, kann die EU mit einem Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DSGVO den Status des Drittstaates heben. Danach wäre wie auch bei Mitgliedstaaten der EU die Übermittlung vereinfacht. Die Europäische Kommission hat allerdings zuletzt klargestellt, dass der Maßnahmenkatalog für das sog. No-Deal-Szenario keinen Angemessenheitsbeschluss nach Art. 45 DSGVO umfasst.
Im Falle eines harten Brexits wären Datenübermittlungen in das Vereinigte Königreich daher durch die in den Art. 44 ff. DSGVO vorgesehenen Mechanismen umzusetzen. Die Europäische Kommission benennt hierzu ausdrücklich die in Art. 46 DSGVO benannten
- Garantien (insbesondere die Nutzung sog. Standardvertragsklauseln),
- Einwilligungen der Betroffenen (Art. 49 Abs. 1 lit. a) DSGVO),
- Übermittlungen zur Erfüllung eines Vertrags (Art. 49 Abs. 1 lit. b) DSGVO)
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs. 1 lit. e) DSGVO) oder
- aus wichtigen Gründen des öffentlichen Interesses (Art. 49 Abs. 1 lit. d) DSGVO).
Die Planung und Umsetzung der obigen Mechanismen wäre aber mit erheblichen organisatorischen und finanziellen Belastungen verbunden, so dass ein solches No-Deal-Szenario nicht im Interesse des Vereinigten Königreichs sein dürfte.
Die britische Datenschutzbehörde, das Information Commissioner’s Office (ICO), stellt auf der eigenen Webseite einen Leitfaden („Six Steps to Take“) wie auch Leitlinien zu den Auswirkungen eines harten Brexits und häufig gestellte Fragen (FAQs) zur Verfügung. Als primäre Folge eines harten Brexits empfiehlt das ICO Standardvertrgsklauseln. Das ICO stellt zudem in Aussicht, dass in den nächsten Wochen zusätzlich ein Online-Tool bereitgestellt werden soll, das automatisch Standardvertragsklauseln generiert.
Szenario 2: Übergangs- und Austrittsabkommen
Im Gegensatz zum oben aufgezeigten Szenario 1 (“harter Brexit”) würde sich die Situation nach dem aktuellen Entwurf des Austritts- und Übergangsabkommens vom 14. November 2018 erheblich entspannter darstellen. Aktuellen Berichten zufolge hat das britische Regierungskabinett dem Entwurf vom 14. November 2018 für eine Austrittsvereinbarung mit der Europäischen Union nunmehr zugestimmt.
Dem Entwurf zufolge soll das europäische Datenschutzrecht während der Übergangsphase weiterhin im Wesentlichen gelten. In Art. 71 Abs. 1 des Abkommens wird zwischen zwei Arten von Daten unterschieden: D.h. zwischen solchen Daten,
- die bis zum Ablauf der Übergangsphase verarbeitet wurden und solchen,
- die danach verarbeitet werden.
Demnach soll bis zum Ende der Übergangsphase weiterhin Unionsrecht gelten.
Art. 71 Abs. 2 des Abkommens sieht für die Zeit nach Ablauf der Übergangsphase die Möglichkeit vor, dass ein nationales Datenschutzrecht mit dem Ziel beschlossen wird, einen Angemessenheitsbeschluss der Europäischen Kommission zu erlangen. Für den Fall, dass dieser nicht gewährt wird oder entfallen sollte, verpflichtet sich das Vereinigte Königreich in Art. 71 Abs. 2 des Entwurfs des Abkommens dazu, einen im Wesentlichen gleichen Datenschutz zu gewährleisten.
In Art. 73 des Abkommens wird postuliert, dass die EU vor und nach Ablauf der Übergangsphase Daten aus dem Vereinigten Königreich wie Daten aus einem EU-Mitgliedsland behandelt.
“DSGVO & Brexit”: Schlusswort
Halbwegs sicher ist derzeit lediglich, dass der Brexit auf das Vereinigte Königreich und die EU zukommt. Ob ab Ende März 2019 oder mit Ablauf des 31. Dezember 2020 oder nach Ablauf des Jahres 2021…
Wir können Ihnen daher nur raten sicherzustellen, dass Ihr Unternehmen vorbereitet ist!
Update (14.03.2019): Harter Brexit droht…
Gestern hat das britische Parlament das Austrittsabkommen zwischen der EU und Großbritannien abgelehnt! Ein somit möglicher Brexit ohne Abkommen würde – wie oben aufgezeigt – bedeuten, dass Großbritannien ab dem 30. März 2019 aus europäischer Sicht als Drittland behandelt werden müsste.
Zwar gehen Beobachter davon aus, dass sich die Regierung mit dem Parlament noch auf eine kurzfristige Verschiebung des Austrittstermins einigen könnte. Gesichert ist dieser Umstand jedoch nicht und verschiebt das Kernproblem letztlich bloß.
[yasr_visitor_votes]
Quellen: EU-Kommission; Bildnachweis: daniel_diaz_bardillo, CC0 pixabay
Hamburger Rechtsanwalt für IT-Recht, Datenschutzrecht & Vergaberecht sowie zertifizierter externer Datenschutzbeauftragter (TÜV Nord).