IT & Datenschutz
Vorheriger Beitrag

Brexit: Datenübermittlungen in Gefahr

4. Februar 2021 von Marcel Schieß

Was lange währt, wird endlich fertig: Seit dem 01.01.2021 ist der „Brexit“, der Austritt Großbritanniens aus der EU, vollzogen. Knapp eine Woche vor dem Ende der Übergangsfrist haben sich die beiden Staatenverbände auf ein Handelsabkommen geeinigt. Dennoch ist klar: Mit dem Austritt bleibt nur wenig so, wie es vorher war. Das betrifft jedes Unternehmen, dass Waren nach Großbritannien exportiert – oder Daten. Um letztere soll es in diesem Beitrag gehen.

Die Datenschutzgrundverordnung (DSGVO) erlaubt ein Exportieren von Daten innerhalb der EU ohne besondere Voraussetzungen, d.h. die Übermittlung muss nur – wie jede andere Verarbeitung – nach allgemeinen Grundsätzen gerechtfertigt sein. Anders ist es beim Datentransfer in sogenannte Drittländer außerhalb der EU. Der Datenschutz soll nach der Vorstellung des europäischen Gesetzgebers nicht durch eine Verlagerung der Datenverarbeitung in eine fremde, weniger strenge Rechtsordnung ausgehebelt werden. Möchte man Daten in ein Drittland exportieren, so sieht das Gesetz vor, dass das europäische Datenschutzniveau mit einem der besonderen Instrumente der Artikel 44 bis 49 DSGVO gesichert wird.

Und seit dem ersten Januar ist Großbritannien ein solches Drittland. Jedes Unternehmen, dass Daten dorthin transferiert, muss sich nunmehr mit den Übermittlungsinstrumenten auseinandersetzen. Dies betrifft z.B. Tochtergesellschaften britischer Unternehmen, Firmen mit Geschäftspartnern dort oder praktisch jeden, der Dienstleister mit einer Anschrift in der UK nutzt. Ein Datenexport ohne eine besondere Rechtfertigung nach Artikel 44-49 DSGVO ist unrechtmäßig und führt zu einem Bußgeldrisiko.

Welches Instrument für Ihr Unternehmen geeignet ist, hängt von der Art der Datenverarbeitung ab. Die nächstliegende Möglichkeit ist, einen Vertrag mit den sogenannten Standardvertragsklauseln der EU-Kommission zu vereinbaren, für die derzeit neue Versionen geschrieben werden; über die Neuerungen können sie hier im Blogbeitrag meines Kollegen Robert Faußner lesen. Möglicherweise sind – Schrems II lässt grüßen – auch zusätzliche Maßnahmen zum Datenschutz zu ergreifen, für die das EDPB („European Data Protection Board“) bisher aber nur vorläufige Empfehlungen veröffentlicht hat. Hier kommt es vor allem darauf an, wie die Datenverarbeitung gestaltet ist und welche Daten übersandt werden.

Das bestmögliche Szenario für Unternehmen wäre, dass die EU einen sogenannten Angemessenheitsbeschluss erlässt, d.h. das Datenschutzniveau im Land für im Wesentlichen mit dem in der EU gleichwertig erklärt. Geschieht dies, muss vom einzelnen Unternehmen nämlich gar nichts mehr veranlasst werden. Angemessenheitsbeschlüsse sind aber keine

Selbstverständlichkeit; man kann nicht empfehlen, sich auf deren Erlass zu verlassen, schon aus politischen Gründen und der Tatsache, dass die Kommission derzeit andere Prioritäten haben dürfte.

Unternehmen mit Datenexporten nach Großbritannien haben noch eine Gnadenfrist: EU und UK haben ausgehandelt, dass letztere für zunächst vier Monate nicht als Drittland zählt, d.h. die genannten Rechtsfolgen sind solange aufgeschoben. Diese Frist kann nochmals um zwei Monate verlängert werden, wenn beide Parteien dies wünschen. Allerspätestens Ende Juni jedoch wird Großbritannien wie jedes andere Drittland behandelt. Wer dann noch nicht auf die Rechtfertigung der Datenflüsse vorbereitet ist, setzt sich einem erheblichen Bußgeldrisiko aus.