Brexit und DSGVO

Wie sich Unternehmen auf den Ernstfall „harter Brexit“ vorbereiten können

Veröffentlicht am: 15.02.2019

Von: ROSE & PARTNER Rechtsanwälte Steuerberater

Lesedauer:

Wie sich Unternehmen auf den Ernstfall „harter Brexit“ vorbereiten können

Ein Beitrag von Thomas Repka

Der bevorstehende Austritt von Großbritannien aus der Europäischen Union am 29. März 2019 bringt nicht nur politische und wirtschaftliche Folgen mit sich. Auch im Bereich des Datenschutzrechts kommt es zu maßgeblichen Änderungen im Falle des Brexit. Mit dem Austritt aus der EU gilt Großbritannien ab dem 30. März 2019 als datenschutzrechtlich (unsicheres) „Drittland“. Viele Unternehmen sind derzeit immer noch mit der Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO) beschäftigt und müssen sich jetzt bereits wieder umstellen. Betroffen sind neben Unternehmen mit Sitz im Vereinigten Königreich auch Unternehmen in der EU, die Daten in Großbritannien verarbeiten, beispielsweise weil sie Clouddienste oder Marketing Tools von britischen Unternehmen nutzen.

Folgen des Austritts

Die Folgen des Austritts hängen maßgeblich davon ab, ob sich die EU mit Großbritannien auf ein Austrittsabkommen einigen kann, oder es zu einem „harten Brexit“ kommt. Auch wenn derzeit ein „Deal“ politisch nicht in Sicht ist, sollen die geplanten Regelungen hier kurz vorgestellt werden: Nach dem mit der EU ausgehandelten Austrittsabkommen sollte in Großbritannien die DSGVO bis zum 31. Dezember 2020 anwendbar bleiben. Diese Zeit sollte die Europäische Kommission dafür nutzen, dem Vereinigten Königreich einen sog. Angemessenheitsbeschluss zu erlassen, der Großbritannien ein angemessenes Schutzniveau bescheinigt. Weiterhin würde sich die EU in dem Abkommen verpflichten, britische personenbezogene Daten nicht anders zu behandeln als solche aus EU-Staaten.

Großbritannien als „unsicheres Drittland“

Kommt es zum harten Brexit, wird Großbritannien von einem auf den anderen Tag ab dem 30. März 2019 zum datenschutzrechtlichen Drittland. Da ein Angemessenheitsbeschluss einige Zeit in Anspruch nimmt, wäre dieser nicht bis Ende März zu realisieren, sodass für Großbritannien ab diesem Tag die gleichen Datenschutz-Regeln wie für Chile, Indien oder Russland. Datenübermittlungen wären dann nur zulässig mit ausdrücklicher Einwilligung der Betroffenen, mit dem Abschluss von Standarddatenschutzklauseln oder bei Vorliegen von Garantien. Gerade für kleine und mittelständische Unternehmen stellt dies einen ganz erheblichen Mehraufwand in der Unternehmensorganisation und im Datenschutzmanagement dar.

Wie funktioniert der Datenaustausch mit Drittländern?

Die DSGVO sieht für Datenverarbeitungen mit Bezug zu Drittländern besondere Regelungen und Voraussetzungen vor. Danach ist eine Datenübermittlung nur zulässig, bei

Vorliegen eines Angemessenheitsbeschlusses der EU (Art. 45 DSGVO) – gibt es derzeit u.a. für Australien, die Schweiz, Kanada, Israel und Neuseeland,
Abschluss von EU-Standarddatenschutzklauseln (Art. 46 DSGVO),
erforderlichen Datenübertragungen in das Drittland, z.B. bei Abschluss von Verträgen mit Bezug (Art. 49 DSGVO)
ausdrücklicher und informierter Einwilligung der Betroffenen, oder
Vorliegen von Garantien, z.B. „Binding Corporate Rules“ (Art. 46, 47 DSGVO).

Genau diese Regelungen werden ab dem 30. März 2019 – sofern es kein Abkommen gibt – auch für Datenverarbeitungen mit Bezug zu Großbritannien gelten.

Behörden wollen bei hartem Brexit durchgreifen

Die Datenschutzbehörden haben bereits angekündigt, bei rechtswidrigen Datentransfers durchzugreifen. Nach Auskunft des Europäischen Datenschutzausschusses (EDSA) werde es bei einem harten Brexit keine Übergangszeit geben. Auf die Milde der Datenschutzbehörden können Unternehmen daher nicht hoffen. Es drohen Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes, sodass ein enormes Haftungsrisiko besteht.

Droht ein Datenchaos? Was ist zu tun?

Der IT-Branchenverband spricht von einem drohenden „Datenchaos“, wenn Großbritannien ohne Austrittsabkommen oder Übergangsfrist aus der EU ausscheidet. Spätestens jetzt ist also ein Handeln erforderlich, um auf die unterschiedlichen Szenarien im Falle des Brexit vorbereitet zu sein. Unternehmen sollten

Verarbeitungs- und Geschäftsprozesse mit Bezug zu Großbritannien herausfiltern und zusammenstellen,
die Betroffenen feststellen (Kunden, Mitarbeiter, Nutzer),
prüfen, ob für die betroffenen Verarbeitungsprozesse bereits ausreichende Einwilligungen oder Standarddatenschutzklauseln vorliegen,
mit Dienstleistern und Unternehmen dieser Prozesse das Gespräch suchen, um gemeinsam Lösungen zu erarbeiten,
das Auskunftsmanagement anpassen,
ggf. Datenschutzfolgeabschätzungen in Zusammenarbeit mit dem Datenschutzbeauftragten neu durchführen,
das Verarbeitungsverzeichnis und die Datenschutzerklärung prüfen und ergänzen.

Gern unterstützen wir Sie bei den notwendigen Umstellungen und beraten Sie zu allen Fragen des Datenschutzes in Ihrem Unternehmen.

Cookie	Beschreibung
_gcl_au	This cookie is used by Google Analytics to understand user interaction with the website.
_ga	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
_gat	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
_gat_UA-4305110-1	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_fbp	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.