Holpriger Datenaustausch nach dem Brexit
Die Frage des Datenschutzes blieb im EU-Abkommen mit Großbritannien offen. Ab Sommer ist die Übermittlung personenbezogener Daten nur unter besonderen Voraussetzungen möglich. Unternehmen sollten sich vorbereiten.
Es war tatsächlich fünf vor zwölf, als am 24. Dezember das Handels- und Kooperationsabkommen zwischen der Europäischen Union und dem Vereinigten Königreich finalisiert wurde. Zwar ist es seit Jahresanfang vorläufig anwendbar, aber einige wichtige Fragen sind offengeblieben. Eine Baustelle betrifft die Übermittlung personenbezogener Daten.
Erst im Jahr 2018 hat die EU mit der EU-Datenschutz-Grundverordnung (DSGVO) einen einheitlichen, hohen Datenschutzstandard geschaffen. Datenübermittlungen innerhalb der EU sind, unter Einhaltung der Bestimmungen der DSGVO, weitestgehend problemlos möglich. Für die Datenübermittlung sieht das Handels- und Kooperationsabkommen zwischen der EU und dem UK eine Übergangsregelung von vier Monaten mit einer einmaligen Verlängerungsmöglichkeit um zwei Monate vor. In dieser Zeit können personenbezogene Daten zwischen der EU und dem UK übermittelt werden wie bisher.
Drittland beim Datenschutz
Nach Ende dieser Frist gilt Großbritannien aus datenschutzrechtlicher Sicht final als Drittland. Die Übermittlung personenbezogener Daten ist danach nur unter den besonderen Voraussetzungen der Art. 44 ff DSGVO zulässig. Das Ende des freien Datenaustauschs kann allerdings auch dann eintreten, wenn das Vereinigte Königreich etwa neue Binding Corporate Rules nach Art. 46 DSGVO oder neue StandardDatenschutzklauseln erlässt. Eine reine Anpassung der bestehenden Bestimmungen, um den finalen Exit zu erleichtern, fällt nicht darunter.
In der Praxis hängt demnach alles von einem gültigen Übertragungsmechanismus ab. Werden nach Ende der Übergangsfrist weiterhin personenbezogene Daten im UK verarbeitet oder an einen Kooperationspartner übertragen, zum Beispiel durch Nutzung eines Clouddiensts, ist dies zulässig, solange ein den Bestimmungen der DSGVO entsprechender Übertragungsmechanismus gesetzt wird. Der Verantwortliche für die Datenverarbeitung haftet auch für die Einhaltung der gültigen Übertragungsmechanismen und dafür, dass die von der Datenverarbeitung betroffene Person vorab über die Datenübermittlung informiert ist.
Praxisrelevant sind – insbesondere in Bezug auf Clouddienste-Anbieter – allerdings vorrangig die in
Irland liegenden Server der großen US-Anbieter wie Google oder Amazon. Diese sind vom Brexit nicht betroffen und können demnach nach wie vor unter Abschluss eines Auftragsverarbeitungsvertrags genutzt werden.
Entscheidung aus Brüssel
Der einfachste Weg, um zu einem gültigen Übertragungsmechanismus zu kommen, ist eine Angemessenheitsentscheidung durch die Europäische Kommission, wie es sie derzeit für 13 Länder gibt. Es gilt sogar als sehr wahrscheinlich, dass innerhalb dieser kurzen Frist eine Angemessenheitsentscheidung erlassen wird, da sämtliche englischen Unternehmen bereits die letzten Jahre an die DSGVO gebunden waren und das britische Datenschutzniveau momentan jenem der EU entsprechen sollte. Allerdings sind derartige Angemessenheitsentscheidungen nicht in Stein gemeißelt, sondern unterliegen der Überprüfung durch den Europäischen Gerichtshof. Dieser hat erst im Vorjahr den EU-US-Privacy-Shield für ungültig erklärt – mangels ausreichender Garantie für ein dem europäischen Standard entsprechendes Datenschutzniveau.
Momentan herrscht nach wie vor eine nicht zufriedenstellende Situation
für viele Unternehmen, da noch keine einheitliche Nachfolge bzw. abschließende Lösung für das EUUS-Abkommen gefunden ist und ein anderer Übertragungsmechanismus gemäß Art. 44 ff DSGVO zur Übertragung von personenbezogenen Daten in die USA gesetzt werden muss. Dies droht auch in Bezug auf das Vereinigte Königreich, sollte dieses von der Möglichkeit Gebrauch machen, von EU-Richtlinien abweichende Gesetze zu erlassen, und das Datenschutzniveau in Zukunft derart senken, dass es mit den EU-Standards nicht mehr kompatibel ist.
Übertragungsmechanismen
Wird keine Angemessenheitsentscheidung von der EU-Kommission erlassen, haben Unternehmen einen anderen DSGVO-konformen Datenübertragungsmechanismus zu setzen. Dabei ist insbesondere an Binding Corporate Rules oder geeignete Garantien zu denken. Derartige Übertragungsmechanismen in Unternehmen zu implementieren ist allerdings sowohl zeit- als auch kostenintensiv und sollte demnach mit ausreichend Vorlaufzeit geplant und umgesetzt werden.
Wie sich die kommenden Wochen und Monate entwickeln werden, bleibt angesichts der bisher so schwierigen Verhandlungen offen. Unternehmen ist zu raten, das aktuelle Geschehen zu beobachten und auch für ein Worst-Case-Szenario vorbereitet zu sein. Jedenfalls sollten sie schon jetzt prüfen, welche personenbezogenen Daten sie nach Großbritannien und Nordirland übermitteln, und evaluieren, ob eine Übermittlung zum Beispiel auch anonymisiert ausreichend ist.
CATHRINE BONDI DE ANTONI ist Rechtsanwaltsanwärterin bei PHH Rechtsanwälte und spezialisiert auf Datenschutz und Zivilverfahrensrecht. bondi@phh.at