Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Wer gedacht hat, man würde den Brexit – ebenso wie die Fertigstellung des BER – nicht mehr erleben, der wurde eines Besseren belehrt: Der Austritt des Vereinigten Königreichs aus der EU ist nach einer gefühlten Ewigkeit erfolgt. Um Unklarheiten zu beseitigen, widmet sich dieser Beitrag den datenschutzrechtlichen Auswirkungen der neuesten Brexit-Entwicklungen auf Unternehmen.

Bye Bye, Britannia?

Was für ein Paukenschlag: In der Nacht vom 31. Januar auf den 01. Februar 2020 ist das Vereinigte Königreich Großbritannien und Nordirland aus der Europäischen Union ausgetreten. Lang genug hat es gedauert – wer erinnert sich nicht an den sagenumwobenen 23. Juni 2016, an welchem sich eine knappe Mehrheit der Wähler Großbritanniens als not amused entpuppte.

Nach all dem Brexit-Tohuwabohu wurde das Austrittsabkommen mit dem Vereinigten Königreich unterzeichnet, mit Ablauf des 31. Januars trat es in Kraft. Für Freudentränen und Trauerfeiern ist es jedoch zu früh – gemäß Art. 126 des Austrittsabkommens gilt eine Übergangsfrist bis Ende 2020.

Zumindest aber leuchtet schon einmal ein Licht am Ende des Tunnels. Ob dieses himmlische Erlösung prophezeit oder ob es sich um einen heranbrausenden Zug handelt, darüber hat sich jeder selbst eine Meinung zu bilden.

Was erwartet Unternehmen während der Übergangsfrist?

Nun, ganz einfach: Business as usual. Solange die Frist läuft, gilt das Unionsrecht auch weiterhin für das Vereinigte Königreich – und damit auch die DSGVO. Geregelt ist dies in Art. 127 Abs. 1 und 6 des Austrittsabkommens:

„Unless otherwise provided in this Agreement, Union law shall be applicable to and in the United Kingdom during the transition period.

Unless otherwise provided in this Agreement, during the transition period, any reference to Member States in the Union law applicable pursuant to paragraph 1, including as implemented and applied by Member States, shall be understood as including the United Kingdom.“

Die Uhr tickt, da die Übergangsfrist gemäß Art. 132 Abs. 1 des Austrittsabkommens lediglich bis zum 01. Juli 2020 einmalig um ein oder zwei Jahre verlängert werden kann.

Mit was haben Unternehmen nach Ablauf der Übergangsfrist zu rechnen?

Läuft die Übergangsfrist ab, wird das Vereinigte Königreich zum Drittland. Die Einstufung vom EU/EWR-Mitgliedsstaat zum Drittland führt gegebenenfalls dazu, zur Persona non grata des Datenschutzrechts zu werden – es wird zwar niemand des Landes verwiesen, die DSGVO fährt jedoch ihre Krallen aus: Wer personenbezogene Daten in Drittländer übertragen möchte, muss die Art. 44 ff. DSGVO beachten. Und die haben es durchaus in sich.

Wer da mit den Schultern zuckt, hat den Schuss wohl nicht gehört – immerhin beschäftigt jedes siebte deutsche Unternehmen einen Dienstleister im Vereinigten Königreich. Dazu kommen Unternehmen, die einen Sitz in Großbritannien bzw. Nordirland haben oder deren Muttergesellschaft sich dort befindet.

Überträgt ein Unternehmen personenbezogene Daten in ein Drittland, ohne die oben genannten Vorschriften zu beachten, handelt es schlicht und ergreifend rechtswidrig. Die ein oder andere Aufsichtsbehörde dürfte sich schon klammheimlich ins Fäustchen lachen.

Möchte ein Unternehmen bei der Datenübertragung in das Vereinigte Königreich nach Ablauf der Übergangsfrist datenschutzkonform handeln, gibt es mehrere Möglichkeiten. Die Auswahl unter den zur Verfügung stehenden Optionen orientiert sich an der Entscheidung der Europäischen Kommission.

Bietet das Vereinigte Königreich ein angemessenes Schutzniveau?

Bejaht die Europäische Kommission diese Frage, ergeht ein Angemessenheitsbeschluss nach Art. 45 Abs. 1 S. 1 DSGVO. Dieser wäre für europäische Unternehmen von Vorteil: Das Drittland würde dann wie ein Mitgliedsstaat der EU bzw. EWR behandelt.

Ein Angemessenheitsbeschluss wird zumindest laut Political Declaration vom 19. Oktober letzten Jahres bis Ende 2020 angestrebt. Um das Schutzniveau des Vereinigten Königreichs einschätzen zu können, prüft die Europäische Kommission gemäß Art. 45 Abs. 2 DSGVO mehrere Voraussetzungen, beispielsweise die Rechtsstaatlichkeit, die Achtung der Menschenrechte und die Datenschutzvorschriften im Vereinigten Königreich.

Zwar beabsichtige die britische Regierung nach Aussage der britischen Aufsichtsbehörde ICO, sobald die Übergangsfrist abgelaufen sei, die DSGVO in das britische Datenschutzgesetz zu integrieren. Boris Johnson setzt beim Datenschutz jedoch neuerdings auf ein eigenständiges und unabhängiges Regelwerk. Ohne Kenntnis der britischen Datenschutzregelungen wird die Europäische Kommission allerdings keine Entscheidung treffen. Das Ziel, einen Angemessenheitsbeschluss bis Ende des Jahres erreicht zu haben, ist damit bestenfalls als sportlich anzusehen.

Zusätzlich ist unklar, ob die EU-Kommission dem Vereinigten Königreich überhaupt ein angemessenes Schutzniveau attestieren wird – die Briten nehmen es mit dem Datenschutz scheinbar nicht ganz so genau. Hinzuweisen sei hier auf den Investigatory Powers Act, ein Gesetz, welches eine umfangreiche Überwachung inklusive Vorratsdatenspeicherung anordnet. Dass eine anlasslose Massenüberwachung dem Datenschutzrecht zuwiderläuft, erkannte auch der EuGH. Dieser erklärte bereits das Safe-Harbor-Abkommen zwischen der EU und den USA 2015 für nichtig.

Welche Alternativen bestehen?

Wenn ein Angemessenheitsbeschluss nicht erfolgen sollte: Keine Panik! Zurückgegriffen werden kann auf folgende Möglichkeiten:

Manchmal kann eine Datenübermittlung in ein Drittland auch infolge einer Ausnahme nach Art. 49 Abs. 1 S. 1, 2 DSGVO erfolgen. Die dort genannten Voraussetzungen sind aber eng auszulegen. Wer sich Zeit und Nerven sparen möchte, wählt mit Ablauf der Übergangsfrist die Standardvertragsklauseln. Vorausgesetzt diese bieten zu dem Zeitpunkt noch eine ausreichende Garantie für ein angemessenes Datenschutzniveau. Zudem sind diverse Dokumentationspflichten einzuhalten.

Rette sich, wer kann?

Auch wenn der epische Kampf des Vereinigten Königreichs gegen die EU – aus Sicht der Brexit-Befürworter fast wie David gegen Goliath – mit dem Brexit auf den ersten Blick geschlagen sein dürfte, ist es noch lange nicht vorbei: Erneut wird mit dem No Deal gedroht. Von wem? Sein Name ist Johnson. Boris Johnson. Geschüttelt, nicht gerührt.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen.