Brexit und DSGVO

Wie sich Unternehmen auf den Ernstfall „harter Brexit“ vorbereiten können

Veröffentlicht am: 15.02.2019
Von: ROSE & PARTNER Rechtsanwälte Steuerberater
Lesedauer:

Wie sich Unternehmen auf den Ernstfall „harter Brexit“ vorbereiten können

Ein Beitrag von Thomas Repka

Der bevorstehende Austritt von Großbritannien aus der Europäischen Union am 29. März 2019 bringt nicht nur politische und wirtschaftliche Folgen mit sich. Auch im Bereich des Datenschutzrechts kommt es zu maßgeblichen Änderungen im Falle des Brexit. Mit dem Austritt aus der EU gilt Großbritannien ab dem 30. März 2019 als datenschutzrechtlich (unsicheres) „Drittland“. Viele Unternehmen sind derzeit immer noch mit der Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO) beschäftigt und müssen sich jetzt bereits wieder umstellen. Betroffen sind neben Unternehmen mit Sitz im Vereinigten Königreich auch Unternehmen in der EU, die Daten in Großbritannien verarbeiten, beispielsweise weil sie Clouddienste oder Marketing Tools von britischen Unternehmen nutzen.

Folgen des Austritts

Die Folgen des Austritts hängen maßgeblich davon ab, ob sich die EU mit Großbritannien auf ein Austrittsabkommen einigen kann, oder es zu einem „harten Brexit“ kommt. Auch wenn derzeit ein „Deal“ politisch nicht in Sicht ist, sollen die geplanten Regelungen hier kurz vorgestellt werden: Nach dem mit der EU ausgehandelten Austrittsabkommen sollte in Großbritannien die DSGVO bis zum 31. Dezember 2020 anwendbar bleiben. Diese Zeit sollte die Europäische Kommission dafür nutzen, dem Vereinigten Königreich einen sog. Angemessenheitsbeschluss zu erlassen, der Großbritannien ein angemessenes Schutzniveau bescheinigt. Weiterhin würde sich die EU in dem Abkommen verpflichten, britische personenbezogene Daten nicht anders zu behandeln als solche aus EU-Staaten.

Großbritannien als „unsicheres Drittland“

Kommt es zum harten Brexit, wird Großbritannien von einem auf den anderen Tag ab dem 30. März 2019 zum datenschutzrechtlichen Drittland. Da ein Angemessenheitsbeschluss einige Zeit in Anspruch nimmt, wäre dieser nicht bis Ende März zu realisieren, sodass für Großbritannien ab diesem Tag die gleichen Datenschutz-Regeln wie für Chile, Indien oder Russland. Datenübermittlungen wären dann nur zulässig mit ausdrücklicher Einwilligung der Betroffenen, mit dem Abschluss von Standarddatenschutzklauseln oder bei Vorliegen von Garantien. Gerade für kleine und mittelständische Unternehmen stellt dies einen ganz erheblichen Mehraufwand in der Unternehmensorganisation und im Datenschutzmanagement dar.

Wie funktioniert der Datenaustausch mit Drittländern?

Die DSGVO sieht für Datenverarbeitungen mit Bezug zu Drittländern besondere Regelungen und Voraussetzungen vor. Danach ist eine Datenübermittlung nur zulässig, bei

  • Vorliegen eines Angemessenheitsbeschlusses der EU (Art. 45 DSGVO) – gibt es derzeit u.a. für Australien, die Schweiz, Kanada, Israel und Neuseeland,
  • Abschluss von EU-Standarddatenschutzklauseln (Art. 46 DSGVO),
  • erforderlichen Datenübertragungen in das Drittland, z.B. bei Abschluss von Verträgen mit Bezug (Art. 49 DSGVO)
  • ausdrücklicher und informierter Einwilligung der Betroffenen, oder
  • Vorliegen von Garantien, z.B. „Binding Corporate Rules“ (Art. 46, 47 DSGVO).

Genau diese Regelungen werden ab dem 30. März 2019 – sofern es kein Abkommen gibt – auch für Datenverarbeitungen mit Bezug zu Großbritannien gelten.

Behörden wollen bei hartem Brexit durchgreifen

Die Datenschutzbehörden haben bereits angekündigt, bei rechtswidrigen Datentransfers durchzugreifen. Nach Auskunft des Europäischen Datenschutzausschusses (EDSA) werde es bei einem harten Brexit keine Übergangszeit geben. Auf die Milde der Datenschutzbehörden können Unternehmen daher nicht hoffen. Es drohen Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes, sodass ein enormes Haftungsrisiko besteht.

Droht ein Datenchaos? Was ist zu tun?

Der IT-Branchenverband spricht von einem drohenden „Datenchaos“, wenn Großbritannien ohne Austrittsabkommen oder Übergangsfrist aus der EU ausscheidet. Spätestens jetzt ist also ein Handeln erforderlich, um auf die unterschiedlichen Szenarien im Falle des Brexit vorbereitet zu sein. Unternehmen sollten

  1. Verarbeitungs- und Geschäftsprozesse mit Bezug zu Großbritannien herausfiltern und zusammenstellen,
  2. die Betroffenen feststellen (Kunden, Mitarbeiter, Nutzer),
  3. prüfen, ob für die betroffenen Verarbeitungsprozesse bereits ausreichende Einwilligungen oder Standarddatenschutzklauseln vorliegen,
  4. mit Dienstleistern und Unternehmen dieser Prozesse das Gespräch suchen, um gemeinsam Lösungen zu erarbeiten,
  5. das Auskunftsmanagement anpassen,
  6. ggf. Datenschutzfolgeabschätzungen in Zusammenarbeit mit dem Datenschutzbeauftragten neu durchführen,
  7. das Verarbeitungsverzeichnis und die Datenschutzerklärung prüfen und ergänzen.

Gern unterstützen wir Sie bei den notwendigen Umstellungen und beraten Sie zu allen Fragen des Datenschutzes in Ihrem Unternehmen.