Ausgangssituation
Großbritannien plant Ende März 2019 aus der Europäischen Union auszutreten. Das Vereinigte Königreich, das 1973 der damaligen Europäischen Gemeinschaft beitrat, ist der erste Mitgliedsstaat, der aus der Gemeinschaft der nunmehr 28 Mitgliedstaaten ausschert. Etablierte Prozesse für einen derartigen Austritt bestehen noch nicht, alle Beteiligten bewegen sich auf rechtlich unbekannten Terrain, wenn derzeit die Modalitäten des Austritts zwischen der Europäischen Union und Großbritannien ausgehandelt werden. Dementsprechend schwierig und langwierig gestalten sich diese Verhandlungen. Wenig zielführend für einen erfolgreichen Abschluss der rechtlichen Rahmenbedingungen eines solchen Austritts scheinen auch die sehr selbstbewussten Forderungen Großbritanniens nach einer Beibehaltung vorteilhafter Rechtspositionen zu sein, die darin gipfeln, eine umfassende Einbeziehung britischer Staatsangehöriger bzw. in Großbritannien ansässiger Unternehmen in den europäischen Binnenmarkt zu vereinbaren.
Somit fehlen derzeit den europäischen Unternehmen und Verbrauchern belastbare Informationen, wie sich künftig die Rechtsbeziehungen mit in Großbritannien ansässigen Unternehmen ausgestalten werden. Die rechtlichen Szenarien reichen von einem übergangsweisen Verbleib Großbritanniens im Binnenmarkt und damit einer Fortgeltung der europäischen Rechts bis hin zu der Situation, dass sich die Verhandlungspartner nicht auf ein Freihandelsabkommen o.Ä. festlegen können und Großbritannien ohne jegliche rechtliche Regelung der künftigen Rechtsbeziehungen austritt und sich die Beziehungen zwischen der EU und Großbritannien auf die bloßen Regelungen der WTO stützen können.
Ohne Zweifel werden aber auch im Datenschutzrecht Änderungen insbesondere auf deutsche Unternehmen zukommen. Diese werden sich auf Anpassungen der bestehenden Rechtsbeziehungen mit britischen Unternehmen einstellen müssen.
Gilt die DS-GVO gar nicht mehr nach dem Brexit?
Doch, aber…
Nach dem Austritt Großbritanniens wird der räumliche Anwendungsbereich der DS-GVO in gewissen Konstellationen weiterhin eröffnet bleiben.
Britische Unternehmen, die Daten im Rahmen einer Niederlassung in der EU Daten verarbeiten, unterliegen künftig auch weiterhin den rechtlichen Anforderungen der DS-GVO, Art. 3 Abs. 1 DS-GVO. Aber auch ohne Niederlassung in der EU bleibt die DS-GVO normativer Anknüpfungspunkt für den Datenschutz. Der EU-Gesetzgeber hat einen sehr umfangreichen territorialen Anwendungsbereich festgelegt. Art. 3 Abs. 2 DS-GVO schreibt nämlich die Anwendung der Verordnung auf solche Verarbeitungssituationen vor, bei denen die Datenverarbeitung im Zusammenhang damit steht, Personen in der Union Waren- und Dienstleistungen anzubieten. Ein britisches Unternehmen, das über einen Online-Shop Waren in der EU anbietet, wird somit auch weiterhin die Regelungen der DS-GVO einhalten müssen. Der europäische Verbraucher wird auch nach April 2019 somit nicht seiner Betroffenenrechte beraubt; wie effektiv aber das Schutzregime der DS-GVO dann tatsächlich gegenüber dem Anbieter aus Großbritannien durch den Verbraucher selbst oder europäische Aufsichtsbehörden durchgesetzt werden kann, bleibt abzuwarten.
Problem: Übermittlung personenbezogener Daten an ein Drittland
Wir sehen die datenschutzrechtliche Brisanz des künftigen EU-Austritts Großbritannien auch eher im Bereich der Datenübermittlung.
Großbritannien wird nach dem Austritt formal kein Mitglied der EU mehr sein. Inwieweit Großbritannien eventuell anstelle dann Teil des Europäischen Wirtschaftsraums (EWR) sein wird, ist derzeit reine Spekulation, soll somit nicht Grundlage der folgenden Ausführungen sein.
Die Übermittlung von Daten an einen Empfänger in einem Drittland außerhalb der EU oder des EWR ist nur dann datenschutzkonform, wenn die Regelungen der Art. 44 ff. DS-GVO auch eingehalten werden. Die Normen enthalten Regelungen, mit denen die globalisierte Verarbeitungen von personenbezogenen Daten aus der EU in oder auch über mehrere Drittstaaten hinweg einem mit der DS-GVO vergleichbaren Datenschutzniveau unterworfen werden sollen. In dem Drittland vorgehaltenen Schutzstandards können nur dann als gleichwertig angesehen werden, wenn dies durch eines der folgenden Instrumentarien verbindlich festgestellt worden ist:
Die Kommission kann nach einer dezidierten Prüfung der Schutzstandards des Drittlandes einen sog. Angemessenheitsbeschluss Art. 45 DS-GVO erlassen. Darin stellt sie fest, dass das Drittland ein angemessenes Schutzniveau für die Datenverarbeitung bietet. Als Beurteilungsmaßstab legt die Kommission u.a. an, ob die Gesetzeslage im Drittland rechtsstaatlichen Grundsätzen genügt und der Rechtsweg gewährleistet ist. Der Beschluss der Angemessenheit wird fortlaufend überprüft; er kann von der Kommission widerrufen werden, wenn seine Voraussetzungen wegfallen sollten.
Liegt ein solcher Beschluss vor, dürfen die Daten ohne eine weitere Genehmigung an das Drittland übermittelt werden. Bislang existieren nur für wenige Staaten derartige Angemessenheitsbeschlüsse der Kommission. Zu den ausgewählten Staaten zählen u.a. Argentinien, Kanada (mit Einschränkungen) und die Schweiz. Ein sehr prominenter Angemessenheitsbeschluss ist das Privacy-Shield-Abkommen der EU mit den USA, der die Übermittlung von Daten aus der EU an ausgewählte amerikanische Unternehmen, die sich vor dem US-Handelsministerium auf hohe Datenschutzstandards verpflichtet haben, gestattet.
Fehlt ein derartiger Angemessenheitsbeschluss – wie es für Großbritannien nach seinem Ausstieg (zunächst) der Fall sein wird – können geeignete Garantien i.S.d. Art. 46 DS-GVO eine angemessenes Schutzniveau für die Datenverarbeitung im Drittland gewährleisten. Zu diesen Garantien zählen u.a. von den Aufsichtsbehörden genehmigte verbindliche interne Datenschutzvorschriften gemäß Art. 47 DS-GVO, Standardschutzklauseln der Aufsichtsbehörden oder Kommission oder Zertifizierungen i.S.d. Art. 42 DS-GVO.
Fazit:
Alle europäischen Unternehmen, die derzeit mit einem in Großbritannien ansässigen Unternehmen einen Vertrag über Auftragsverarbeitung geschlossen haben, sollten sich frühzeitig mit diesem Thema auseinandersetzen und ihre vertraglichen Vereinbarungen überprüfen lassen.
Wir beraten Sie gerne, wie Sie Ihre Rechtsbeziehungen mit Auftragsverarbeitern aus Großbritannien nach dem 29. März 2019 ausgestalten können und welche Möglichkeiten es im Verhältnis zu den einzelnen Vertragspartner gibt, die Datenübermittlung nach Großbritannien auch künftig datenschutzkonform und komfortabel für Sie auszugestalten.
Haben Sie Fragen zum Thema Datenübermittlung in Drittländer? Unsere Ansprechpartner finden Sie hier.