Datenschutzrechtliche Konsequenzen des Austritts des Vereinigten Königreichs aus der EU

Einführung

Der Austritt des Vereinigten Königreichs aus der Europäischen Union wird neben enormen wirtschaftlichen Folgen insbesondere auch datenschutzrechtliche Konsequenzen mit sich bringen. Der sogenannte „Brexit“ wird, wenn bis dahin keine politische Lösung gefunden werden kann, am 29. März 2019 um 23:00 Uhr britischer Zeit rechtskräftig. Damit wird das Vereinigte Königreich als Nichtmitglied der Europäischen Union und des Europäischen Wirtschaftsraums ein sogenanntes „Drittland“ im Sinne von Art. 44 DS-GVO. Für Unternehmen aus der EU und dem Vereinigten Königreich gilt es spätestens jetzt, sich auf dieses „Worst Case Scenario“ vorzubereiten.

Noch Fragen?
Wir bieten Hilfe zu allen Fragen rund um das Thema Datenschutz
0228 - 74 89 80

Auswirkungen auf EU-Unternehmen

Aus datenschutzrechtlicher Perspektive haben sich EU-Unternehmen mit den Folgen des Brexits zu beschäftigen, soweit sie personenbezogene Daten von Kunden oder Beschäftigten an Auftragsverarbeiter, Konzernunternehmen oder Dritte übermitteln, welche ihren Sitz im Vereinigten Königreich haben. Eine Vielzahl von personenbezogene Daten verarbeitenden Anbietern, besonders aus dem Bereich der IT-Branche, haben ihren Sitz im Vereinigten Königreich.

Wie oben angedeutet, wird das Vereinigte Königreich ab 30.03.2019 aller Voraussicht nach als sogenanntes Drittland im Sinne der Datenschutz-Grundverordnung (DS-GVO) zu klassifizieren sein, gleich ob dort während einer Übergangszeit weiterhin die Anforderungen der DS-GVO fortgelten sollen, oder nicht.  Die Übermittlung von Daten in Drittländern gestattet die DS-GVO nach Art. 44 S. 1 DS-GVO nur unter Einhaltung des europäischen Datenschutzniveaus. Während die Einhaltung bei Mitgliedstaaten der EU und des Europäischen Wirtschaftsraums vermutet wird, muss sie bei Drittstaaten positiv festgestellt werden. Dies kann dadurch geschehen, dass  die EU-Kommission den jeweiligen Staaten mittels Angemessenheitsbeschlusses nach Art. 45 Abs. 1 DS-GVO ein grundsätzlich dem europäischen entsprechendes Datenschutzniveau attestiert. Sollte die Kommission diesen Schritt nicht gehen, müssen Unternehmen die Übermittlung personenbezogener Daten in das Vereinigte Königreich auf andere Weise rechtfertigen. Möglich wäre dies unter den engen Voraussetzungen des Art. 46 Abs. 1 DS-GVO, wonach allen voran die sogenannten „EU-Standardvertragsklauseln“ oder „Binding Corporate Rules“ in Frage kämen. Bestehende Rechtsinstrumente zur Regelung der Übermittlung personenbezogener Daten (Auftragsverarbeitungsvereinbarungen oder Vereinbarungen nach Art. 26 DS-GVO) müssen ergänzt oder ersetzt werden. Weiterhin wird zu den Pflichtaufgaben die Anpassung von Datenschutzinformationstexten gehören. Unternehmen haben ihre Kunden über die Datentransfers in Drittländer in transparenter Weise aufzuklären; im Falle des Brexits auch über Transfers in das Vereinigte Königreich. Handlungsbedarf besteht auch im Hinblick auf die ggf. erforderliche neue Erteilung von Einwilligungen, der Information über Auskunftserteilung von Betroffenen, dem verpflichtendem Verarbeitungsverzeichnis, und einer Datenschutz-Folgenabschätzung bei sogenannten risikoreichen Datenverarbeitungen.

Auswirkungen auf Unternehmen aus dem Vereinigten Königreich

Neben den Bestimmungen des UK Data Protection Act 2018 zum internationalen Datentransfer werden britische Unternehmen nach Vollzug des Brexits auch weiterhin  die DS-GVO zu beachten haben, wenn sie personenbezogene Daten von EU Bürgern verarbeiten. Insoweit ist nach Art. 3 DS-GVO noch nicht einmal erforderlich, dass die Unternehmen über eine Niederlassung in der EU verfügen. Ausreichend ist schon, dass Unternehmen betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder aber das Verhalten betroffener Personen in der EU beobachten. Sollte ein solches Unternehmen nicht über einen Sitz in der EU verfügen, wäre es zudem erforderlich, einen Vertreter nach Art. 27 DS-GVO in der EU zu benennen.

Spiegelbildlich zum Pflichtenkreis der Unternehmen aus der Union sollten sich auch britische, als Auftragnehmer oder sonst als Empfänger agierende Unternehmen auf Anfragen ihrer europäischen Geschäftskunden nach entsprechenden Vereinbarungen über den Datentransfer ins Vereinigte Königreich vorbereiten.  

Fazit

Vor dem Hintergrund der drohenden „No Deal“-Variante sollten sowohl die Unternehmen mit Sitz im Vereinigten Königreich, als auch die europäischen Unternehmen, die im Rahmen ihrer wirtschaftlichen Tätigkeit Kundendaten an Unternehmen im Vereinigten Königreich übermitteln, eine Umsetzung aller erforderlichen Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus anstreben. Im Fokus stehen hierbei die EU-Standardvertragsklauseln als auch die Binding Corporate Rules (BCR). In Anbetracht der Tatsache, dass die Umsetzung dieser Maßnahmen einen nicht unerheblichen zeitlichen Rahmen beanspruchen wird, sollte ein entsprechender Plan zur möglichst strukturierten und vollständigen Umsetzung alsbald gefertigt werden.

Gerne unterstützen wir Sie bei der Bewältigung der mit dem Brexit einhergehenden Herausforderungen auf dem Gebiet des Datenschutzrechts.