Im Falle eines ungeregelten harten Brexit würde auch das EU-Datenschutzrecht mit voller Härte zuschlagen: Das Vereinigte Königreich würde von heute auf morgen zu einem „normalen“ Drittland und datenschutzrechtlich auch so behandelt. Eine Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich wäre nur unter Einhaltung besonderer Bedingungen zulässig.
Mit der EU-Datenschutzgrundverordnung (DSGVO) wurde ein unionsweites einheitliches Datenschutzniveau begründet, was einen freien Datenaustausch zwischen Stellen innerhalb der EU erlaubt: Da in sämtlichen EU-Mitgliedsstaaten (grundsätzlich) dasselbe Datenschutzrecht gilt, dürfen personenbezogene Daten innerhalb der Union (binnen-) grenzüberschreitend ohne besondere Bedingungen übermittelt werden, denn sie sind hier wie dort über die DSGVO gleichermaßen gut geschützt.
Datentransfer in Drittländer: Nur unter besonderen Voraussetzungen
Sobald das Vereinigte Königreich die EU verlässt, wird es von einem Tag auf den anderen zu einem Drittland. In ein Drittland dürfen nach den Vorgaben der DSGVO personenbezogene Daten anders als innerhalb der Union nur dann übermittelt werden, wenn besondere Voraussetzungen erfüllt sind, auf die unten näher eingegangen wird.
Erfolgt der Brexit ungeregelt, d. h. ohne besondere Vereinbarung zwischen der Union und dem Königreich, gilt dies auch für das UK – sofort und unmittelbar, und zwar ab dem 29. März 2019 um 0:00 Uhr MEZ, ohne jede Übergangsfrist, wie sie noch in dem am 15. Januar 2019 von dem britischen Unterhaus abgelehnten Übergangsabkommen vom 14. November 2018 in dem dortigen Artikel 71 vorgesehen war: Bis Ende des Jahres 2020 sollte die DSGVO fortgelten. Für die Zeit danach sollte ein nationales britisches Recht etabliert werden, das im Wesentlichen denselben Datenschutz in dem Vereinigten Königreich gewähren soll, wie innerhalb der Union.
Was bedeutet dies für Unternehmen mit Sitz in der EU?
Ein ungeregelter Brexit trifft datenschutzrechtlich vor allem die „Hinterbliebenen“ in der EU, nämlich die dort ansässigen Unternehmen, die mit dem UK Daten austauschen möchten: Sie sind dann sog. „Datenexporteure“ und deshalb auch diejenigen, welche die Voraussetzungen für eine datenschutzkonforme Übermittlung schaffen müssen. Werden die Voraussetzungen nicht erfüllt, darf eine Datenübermittlung in das Drittland nicht erfolgen. Erfolgt sie dennoch, begehen in erster Linie sie einen Datenschutzverstoß. Es liegt also im unmittelbaren eigenen Interesse der EU-Unternehmen, die Vorgaben der DSGVO für einen Drittlandtransfer einzuhalten.
Die Sondervorschriften der DSGVO für den Datenexport in Drittländer verfolgen das Ziel, die personenbezogenen Daten und die Personen, auf die sie sich beziehen, auch im Drittland so gut wie möglich zu schützen. Der Drittlandtransfer ist nur zulässig, wenn
- die Europäische Kommission in Bezug auf das konkrete Drittland durch Angemessenheitsbeschluss festgestellt hat, dass dort ein angemessenes Datenschutzniveau gewährleistet wird,
- oder besondere geeignete Garantien vorgesehen sind,
- oder die Übermittlung über eine der Ausnahmevorschriften gerechtfertigt werden kann.
Im Einzelnen:
- Angemessenheitsbeschluss der Kommission
In Bezug auf einige Drittländer hat die Europäische Kommission im Beschlusswege festgestellt, dass dort ein angemessenes Datenschutzniveau besteht. Hierzu zählen z. B. Kanada, Japan, die Schweiz und Israel. In diese Länder dürfen personenbezogene Daten übermittelt werden, ohne zusätzliche Voraussetzungen zu schaffen.
In Bezug auf das UK existiert kein Angemessenheitsbeschluss der Kommission, und es ist auch nicht damit zu rechnen, dass ein derartiger Beschluss zeitnah ergehen wird. In einer Mitteilung der Kommission vom 13. November 2018 hieß es hierzu schlicht: „ (…) the adoption of an adequacy decision is not part of the Commission’s contingency planning.“
- Vorsehen „geeigneter Garantien“
Ein Datenexport in Drittländer ist zulässig, wenn von dem Datenexporteur „geeignete Garantien“ vorgesehen werden, die ein ausreichendes Datenschutzniveau herstellen. Hierzu zählt vor allem der Einsatz der von der Kommission genehmigten „EU-Standardvertragsklauseln“ zwischen dem Datenexporteur und dem Dritten im Drittland. Diese Musterverträge sind aktuell wohl grundsätzlich, in modifizierter Form, noch einsetzbar, aber auch nicht frei von Bedenken. Sie stehen im Rahmen eines beim EuGH anhängigen Verfahrens auf dem Prüfstand, wobei es nicht unwahrscheinlich ist, dass diese Klauseln dasselbe Schicksal ereilen könnte wie einst das Safe-Harbor-Abkommen, das vom EuGH für unzulässig erklärt wurde.
Als „geeignete Garantien“ gelten z. B. auch verbindliche interne Datenschutzvorschriften (sog. Bindung Corporate Rules) innerhalb von Konzernen, die allerdings zuvor von den Aufsichtsbehörden zu genehmigen sind.
- Ausnahmen für bestimmte Fälle
Die DSGVO sieht eine Reihe von „Ausnahmen für bestimmte Fälle“ vor, in denen eine Datenübermittlung in ein Drittland auch ohne Angemessenheitsbeschluss und ohne „geeignete Garantien“ zulässig ist. Hierzu zählt vor allem der Fall, dass die betroffene Person, nach einer obligatorischen Aufklärung über die möglichen Risiken in die Übermittlung, ausdrücklich in die Übermittlung eingewilligt hat. Auch dürfen bspw. personenbezogene Daten in ein Drittland übermittelt werden, sofern dies für die Erfüllung eines mit der betroffenen Person geschlossenen oder im Interesse dieser Person geschlossenen Vertrages erforderlich ist.
Ob der Transfer mit den Ausnahmen gerechtfertigt ist, sollte im Einzelfall sorgfältig geprüft werden.
Zu beachten ist, dass nicht nur die Rechtmäßigkeit des Drittlandtransfers sicherzustellen ist, sondern er auch im Rahmen der Informationspflichten Berücksichtigung findet. Die Betroffenen sind über den geplanten Drittlandtransfer ebenso zu informieren, wie darüber, wie das angemessene Datenschutzniveau sichergestellt werden soll.
Was bedeutet dies für Unternehmen mit Sitz im UK?
Die DSGVO ist Unionsrecht und gilt unmittelbar in sämtlichen EU-Mitgliedsstaaten. Man möchte meinen, dass sie somit nach dem EU-Austritt des Königreichs für Unternehmen mit Sitz im UK keine Rolle mehr spielt. Dies jedoch ist nicht der Fall: Auch Unternehmen mit Sitz in Drittländern unterfallen vollständig den Regeln der DSGVO jedenfalls dann, wenn sie vom UK aus in der Union Waren oder Dienstleistungen anbieten und in diesem Zusammenhang personenbezogene Daten von Personen verarbeiten, die sich in der Union befinden. Ein britischer Online-Shop bspw., der in die EU hinein Waren anbietet und verkauft, unterliegt uneingeschränkt den Spielregeln des EU-Datenschutzrechts. Dasselbe gilt, wenn aus dem Drittland heraus das Verhalten von Personen in der EU beobachtet wird (z. B. über ein Webtracking).
Für derartige UK-Unternehmen bedeutet der ungeregelte Brexit also: Sie unterliegen einerseits aufgrund ihrer Aktivitäten in der EU den strengen EU-Datenschutzregeln, kommen aber andererseits als Unternehmen in einem Drittland nicht (mehr) in den Genuss des freien Datenverkehrs.
Prüfungsstufe 1 nicht vergessen
Die Frage, ob und unter welchen Voraussetzungen die Übermittlung von Daten in ein Drittland zulässig ist, betrifft die Stufe 2 der Prüfung, ob die Daten von einer Stelle an eine andere übermittelt werden dürfen. Unabhängig davon, ob der Empfänger der Daten nun innerhalb oder außerhalb der Union sitzt, ist zusätzlich auf der ersten Stufe zu prüfen, ob die Übermittlung an einen Dritten überhaupt statthaft ist. Hierfür bedarf es immer zusätzlich einer entsprechenden Rechtsgrundlage.
Fazit
Ein ungeregelter Brexit muss insbesondere auch von Unternehmen mit Sitz in der EU, die personenbezogene Daten in das Vereinigte Königreich übermitteln wollen, vorbereitet werden. Es ist zu prüfen, auf welcher rechtlichen Grundlage der Drittlandtransfer ab dem Stichtag des Brexit datenschutzkonform erfolgen kann, und es müssen entsprechende Maßnahmen ergriffen werden.