Die Auswirkungen des Brexit auf EU-Datenexporte ins Vereinigte Königreich

Seit Anfang des Jahres steht fest: Der Brexit ist Realität. In den nun laufenden Verhandlungen gilt es das künftige Verhältnis zwischen EU und Vereinigtem Königreich neu zu regeln. Knapp 21.000 Vorschriften und Gesetze sind laut einer Analyse des Europäischen Parlaments von dieser Neuordnung betroffen – u.a. auch das Gebiet des Datenschutzes. Das ist insofern bedeutsam, als unsere modernen, vernetzten Wertschöpfungsketten auf einen ungehinderten Datenaustausch angewiesen sind. So lässt allein in Deutschland jedes siebte Unternehmen personenbezogene Daten im Vereinigten Königreich verarbeiten. Es stellt sich daher die Frage, welche Auswirkungen der Brexit auf diese wirtschaftlich so wichtigen Datenexporte der EU ins Vereinigte Königreich haben wird.

Derzeit kein Grund zur Sorge – zumindest bis zum 31. Dezember 2020

Trotz des bereits am 31. Januar 2020 erfolgten Austritts aus der EU wird das Vereinigte Königreich auf Grundlage des mit der EU geschlossenen Austrittabkommens noch mindestens bis zum 31. Dezember 2020 als EU-Mitgliedstaat behandelt: Die Datenschutzgrundverordnung (DSGVO) gilt also bis dahin im Vereinigten Königreich fort. Dieser Übergangszeitraum kann gemeinsam vom Vereinigten Königreich und der EU bis zum 1. Juli 2020 einmalig um höchstens ein oder zwei Jahre verlängert werden.

Und danach?

Nach diesem Übergangszeitraum wird das Vereinigte Königreich wie jedes andere Drittland im Sinne der DSGVO behandelt. Somit müssen für jede Übermittlung personenbezogener Daten von der EU ins Vereinigte Königreich nicht nur die allgemeinen Datenverarbeitungsvoraussetzungen gemäß Art. 5 ff. DSGVO (nachfolgend „erste Stufe“), sondern zusätzlich auch die speziellen Zulässigkeitsvoraussetzungen für einen Drittlandtransfer gemäß Art. 44 ff. DSGVO (nachfolgend „zweite Stufe“) vorliegen. Im Hinblick auf die zweite Stufe sehen die Art. 44 ff. DSGVO die folgenden alternativen Erlaubnistatbestände vor:

• Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO.
• Vorliegen geeigneter Garantien seitens des Verantwortlichen oder Auftragsverarbeiters gemäß Art. 46 DSGVO (z.B. in Form von Standardvertragsklauseln oder Binding Corporate Rules).
• Vorliegen einer Ausnahme gemäß Art. 49 DSGVO (z.B. in Form einer entsprechenden Einwilligung des Betroffenen in den Datentransfer in ein Drittland).

Für Unternehmen würde ein Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO) sicherlich die einfachste und optimalste Lösung darstellen. Solche Angemessenheitsbeschlüsse existieren bereits für diverse Länder (z.B. Argentinien, die Schweiz oder jüngst Japan). Hierbei würde die Europäische Kommission dem Vereinigten Königreich insgesamt ein angemessenes, dem europäischen Datenschutz gleichwertiges Schutzniveau attestieren. Im Ergebnis wäre damit die zweite Stufe stets gegeben und Unternehmen müssten sich nur noch auf die erste Stufe in Form der Einhaltung der allgemeinen Datenverarbeitungsvoraussetzungen gemäß Art. 5 ff. DSGVO konzentrieren.

Boris Johnson: „Losgelöste und unabhängige“ Datenschutzpolitik

Standen die Zeichen für einen solchen Angemessenheitsbeschluss bislang gut, lassen jüngste Äußerungen des britischen Premierministers Boris Johnson einen Kurswechsel vermuten. Der noch unter seiner Vorgängerin Theresa May eingeleitete Kurs sah eigentlich vor, dass die DSGVO ins nationale britische Recht implementiert werden sollte, um auch nach dem Brexit einen ungehinderten Datenaustausch sicherzustellen. Nun aber kündigte Boris Johnson in einer schriftliche Erklärung an das Unterhaus an, die britische Regierung wolle eine „losgelöste und unabhängige“ Datenschutzpolitik verfolgen. Noch ist unklar, was genau damit gemeint ist und ob sich hier ggf. eine Abkehr vom Schutzniveau der DSGVO abzeichnet.

Keep Calm and Carry On?

Auch wenn bis mindestens 31. Dezember 2020 zunächst alles beim Alten bleiben wird, so ist aktuell noch unklar, wie es danach weitergeht. Selbst wenn der politische Wille nach einem Angemessenheitsbeschluss noch bestehen sollte, ist fraglich, ob ein solcher Beschluss auch rechtzeitig bis Ende des Übergangszeitraums zustande käme. Vor dem Hintergrund, dass die bisherigen Verfahren zur Annahme eines Angemessenheitsbeschlusses im Durchschnitt über zwei Jahre dauerten, erscheint der Zeitplan zumindest ambitioniert. Sollte der Angemessenheitsbeschluss nicht oder nicht rechtzeitig zustande kommen, sind geeignete (Zwischen-)Lösungen erforderlich. In Betracht kommen hier Garantien gemäß Art. 46 DSGVO, insbesondere sog. Standardvertragsklauseln oder Binding Corporate Rules. Gerade für kleinere und mittlere Unternehmen stellen Standardvertragsklauseln ein einfach handhabbares und schnell umsetzbares Instrument dar. Allerdings sind sie relativ unflexibel und stoßen gerade in Fällen von diversen involvierten Unternehmen an ihre Praktikabilitätsgrenzen. Im Unterschied dazu eignen sich Binding Corporate Rules vor allem für größere, internationale Unternehmen. Da Binding Corporate Rules jedoch erst von der zuständigen Datenschutzaufsichtsbehörde verifiziert und genehmigt werden müssen, ist die Implementierung zeitaufwändiger. Im Ergebnis bestehen durchaus Möglichkeiten das vielerorts gefürchtete „Datenchaos“ abzuwenden. Allerdings ist die Wahl und Implementierung geeigneter Instrumente mit einem gewissen Zeit- oder Kostenaufwand verbunden. Deshalb sollten Unternehmen die aktuelle Karenzzeit nutzen, um Datentransfers ins Vereinigte Königreich zu identifizieren und rechtzeitig entsprechende Vorsichtsmaßnahmen einzuleiten. Auf diese Weise kann möglichen Überraschungen vorgebeugt und sicherstellt werden, dass personenbezogene Daten auch künftig ungehindert ins Vereinigte Königreich fließen können.