Nach dem aktuellen Stand verlässt Großbritannien Ende März 2019 womöglich ohne ein Brexit-Abkommen die Europäische Union. Alle tatsächlichen wirtschaftlichen und gesellschaftlichen Auswirkungen eines solchen Szenarios sind aktuell kaum vorherzusehen. Deutlich klarer einzuschätzen sind jedoch die datenschutzrechtlichen Folgen. Dieser Beitrag erklärt übersichtlich die datenschutzrechtlichen Folgen eines „harten Brexit“ und gibt Unternehmen Hinweise und Tipps, wie sie sich aus datenschutzrechtlicher Sicht auf den Einschnitt vorbereiten können.
1. Großbritannien als Drittland
Wenn die EU und Großbritannien sich nicht doch noch auf ein Abkommen einigen, gilt Großbritannien ab dem 30. März 2019 als sogenanntes Drittland. Die Übermittlung personenbezogener Daten in Drittländer kann nur rechtmäßig sein, wenn sie die im fünften Kapitel der DSGVO aufgeführten Anforderungen erfüllt. Wie die Europäische Kommission am 9. Januar 2019 mitteilte, ist aktuell kein Angemessenheitsbeschluss gemäß Art. 45 EU Datenschutz-Grundverordnung (DSGVO) für Großbritannien geplant. Das bedeutet, dass mit dem 30. März 2019 die Übermittlung personenbezogener Daten aus der EU nach Großbritannien nur dann rechtmäßig sein kann, wenn eine der Anforderungen der Art. 46 bis 49 DSGVO erfüllt ist. Der Datentransfer aus Großbritannien in die EU bleibt hingegen nach Informationen des britischen „Department for Digital, Culture, Media & Sport“ voraussichtlich unproblematisch weiter möglich.
2. Rechtmäßigkeit von Datenübermittlungen nach Großbritannien
Unternehmen, die auch nach dem 30. März 2019 personenbezogene Daten nach Großbritannien übermitteln wollen, haben verschiedene Möglichkeiten, dies datenschutzkonform zu gestalten:
a) Einwilligungen nur für Einzelfälle praktikabel
Unternehmen können in Einzelfällen die Datenübermittlung nach Großbritannien durch eine Einwilligung der betroffenen Person rechtlich absichern (vgl. Art. 49 Abs. 1 lit. a) DSGVO). Für umfassende Datenübermittlungen sind Einwilligungen oder andere Ausnahmetatbestände des Art. 49 DSGVO jedoch kein geeignetes Mittel. Von allen betroffenen Personen Einwilligungserklärungen einzuholen, ist in den meisten Fällen viel zu aufwändig. Zudem können die Betroffenen diese Einwilligungserklärungen jederzeit ohne Angabe eines Grundes widerrufen.
b) Zu wenig Zeit für Binding Corporate Rules
Eine weitere vom Europäischen Datenschutzausschuss vorgeschlagene Möglichkeit der zulässigen Absicherungen von Datenübermittlungen nach Großbritannien sind verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“) nach Art. 47 DSGVO. Der Genehmigungsprozess für derartige verbindliche interne Datenschutzvorschriften dauerte bereits vor der durch die DSGVO bedingten Überlastung der Aufsichtsbehörden regelmäßig mehrere Monate bis teilweise Jahre. Unternehmen, die nicht ohnehin bereits kurz vor der Genehmigung von verbindlichen internen Datenschutzvorschriften stehen, können solche Binding Corporate Rules somit nicht rechtzeitig umsetzen.
c) Standarddatenschutzklauseln als Lösung
In der kurzen verbleibenden Zeit können Unternehmen großflächige Datenübermittlungen nach Großbritannien am besten durch den Abschluss von Standarddatenschutzklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c) DSGVO absichern. Der Abschluss von Datenübermittlungsverträgen auf Grundlage der Standarddatenschutzklauseln ist vergleichsweise unkompliziert und bietet (trotz einer gerade laufenden Prüfung der Schutzwirkung der Klauseln vor dem EuGH) ein hohes Maß an Rechtssicherheit. Jedoch sollten Unternehmen berücksichtigen, dass das transparente und vollständige Ausfüllen der SCCs regelmäßig einen erheblichen Aufwand bedeutet. Angesichts des näher rückenden Brexit-Termins sollte der Abschluss derartiger Verträge bei betroffenen Unternehmen hohe Priorität haben.
d) Information der betroffenen Personen
Neben der datenschutzrechtlichen Absicherung der Datenübermittlung nach Großbritannien müssen die betroffenen Unternehmen auch ihre Datenschutzinformationen entsprechend anpassen. Gemäß Art. 13 Abs. 1 lit. f), Art. 14 Abs. 1 lit. f) DSGVO müssen Unternehmen die betroffenen Personen über geplante Datenübermittlungen in Drittländer informieren. Betroffene Unternehmen sollten bereits jetzt entsprechende Versionen der Datenschutzinformationen vorbereiten, um keinen unnötigen Zeitdruck zu bekommen, wenn sie gegebenenfalls am 30. März 2019 ihre bestehenden Informationen ersetzen müssen.
Fazit
Angesichts der wenigen Zeit bis zu einem möglichen harten Brexit sollten Unternehmen spätestens jetzt anfangen, auch ihr Datenschutzmanagement auf dieses Szenario vorzubereiten. Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, sollten entsprechende Standarddatenschutzklauseln abschließen und angepasste Datenschutzinformationen vorbereiten. Angesichts der mehrfachen Vorwarnungen der europäischen Datenschutzbehörden rechnen wir nicht damit, dass diese bei rechtswidrigen Datenübermittlungen nach Großbritannien im Fall eines harten Brexits sonderlich nachsichtig sind.