Datenschutzrechtliche Auswirkungen eines No-Deal-Brexits
Aktuell (September 2019) ist das Vereinigte Königreich ein Mitgliedsstaat der Europäischen Union (EU). Angeführt von Premierminister Boris Johnson steuert das Land jedoch immer stärker auf einen sogenannten No-Deal-Brexit zu. Dies hätte zur Folge, dass das Vereinigte Königreich die EU am 31.10.2019 ohne eine vertragliche Regelung bezüglich seines Austritts verlässt.
Kunden mit Dienstleistern im Vereinigten Königreich müssen jetzt dringend handeln!
Denn mit dem Austritt werden alle Unternehmen in Europa vor die Anforderung gestellt, ihre Datenverarbeitungen und –übermittlungen in das Vereinigte Königreich datenschutzrechtlich neu zu regeln. Da es inzwischen unwahrscheinlich ist, dass es noch zu einer vertraglichen Regelung kommt, sind jetzt alle Verträge mit IT-Dienstleistern, die ihren Sitz im Vereinigten Königreich haben oder Subdienstleister im Vereinigten Königreich beschäftigen auf ihre rechtlichen Bestand zu prüfen. Gelingt dies nicht bis zum Austrittsdatum, ist jede weitere Übermittlung personenbezogener Daten – ob Mitarbeiter- oder Kundendaten – datenschutzrechtlich unzulässig.
In datenschutzrechtlicher Hinsicht bedeutet ein No-Deal-Brexit: Noch unterfällt das Land der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) mit einem EU-weit harmonisiertem Rechtsrahmen für den Datenschutz, einheitlicher Koordinierung und einheitlichen Kontrollen. Innerhalb der EU können personenbezogene Daten mit entsprechenden Erlaubnisgrundlagen in allen Mitgliedsstaaten verarbeitet oder gespeichert werden oder auch an Dienstleister oder Handelspartner zur weiteren Bearbeitung gesendet werden, ohne dafür gesonderte Bedingungen einhalten zu müssen.
Dies ändert sich jedoch bei einem ungeregelten Austritt schlagartig:
Mit dem ungeregeltem Austritt gilt das Vereinigte Königreich hingegen datenschutzrechtlich unmittelbar als „Drittstaat“. Zur ungehinderten Datenübertragung nach oder einer Datenverarbeitung im Vereinigten Königreich wäre daher (beispielsweise) ein Angemessenheitsbeschluss der EU-Kommission nötig (lesen Sie dazu auch unseren Beitrag Auswirkungen des Brexit auf den Datenschutz). Dies ist nur nach einer eingehenden, zeitaufwendigen Evaluierung möglich. Dieser Prozess kann zudem erst mit dem Austritt aus der EU begonnen werden.
Zwar ist ein eigenes britisches Datenschutzrecht vorgesehen, konkrete Angaben zum Inhalt gibt es jedoch noch nicht. Ohne das damit geschaffene Datenschutzniveau zu kennen, ist eine Entscheidung über einen Angemessenheitsbeschluss ohnehin unmöglich.
Konkret sind folgende Auswirkungen zu beachten:
1) Britische Unternehmen, die Waren und Dienstleistungen in der EU anbieten, sind auch nach einem No-Deal-Brexit an die Datenschutzgrundverordnung gebunden.
Die Datenschutz-Grundverordnung gilt nicht nur für Unternehmen mit Sitz in einem EU-Mitgliedsstaat, sondern auch für alle Unternehmen, die in der EU Waren und Dienstleistungen anbieten und dabei personenbezogene Daten verarbeiten sowie auch für all jene, die zum Beispiel im Zuge personalisierter Werbung oder durch die Verwendung von Tracking-Cookies Daten von EU-Bürgern verarbeiten. Dies betrifft neben Händlern somit unter anderem auch Web-Dienstleistungsanbieter (Hosting von Websites oder Anbieter personalisierter Werbung). Mithin hat dies zur Folge, dass diese Unternehmen nach wie vor an die Datenschutz-Grundverordnung gebunden sind, wollen Sie ihre Waren und Dienstleistungen weiter Einzelpersonen in der EU anbieten.
2) Britisches Recht wird nicht länger „das Recht eines europäischen Mitgliedsstaates“ sein.
Mit dem Brexit wird das britische Recht nicht länger „EU-Mitgliedsstaatsrecht“ sein. Somit wird es grundsätzlich eine Verletzung datenschutzrechtlicher Vorgaben darstellen, personenbezogene Daten von EU-Bürgern im Zuge der Belieferung mit Waren und Dienstleistungen oder der Analyse Ihres Verhaltens im Vereinigten Königreich mit dem Zweck zu verarbeiten, rechtliche Verpflichtungen (nach britischem Recht) einzuhalten. Ebenso wird es einen Verstoß darstellen, die Daten von EU-Bürgern im Zuge der Strafverfolgung zu erheben und zu verarbeiten oder an britische Gerichte oder Behörden weiterzuleiten.
3) Britische Unternehmen unterliegen einer strengeren Aufsicht und Durchsetzung durch die EU-Mitgliedsstaaten.
Für die Verarbeitung personenbezogener Daten von EU-Bürgern durch britische Unternehmen und mögliche Datenschutzverletzungen sind nach einem No-Deal-Brexit nicht länger der bzw. die Datenschutzbeauftragten des Vereinigten Königreichs zuständig. Vielmehr wird dann jede Aufsichtsbehörde der einzelnen EU-Mitgliedsstaaten grundsätzlich befugt sein, britische Unternehmen auf die Einhaltung der Datenschutzgrundverordnung hin zu kontrollieren.
Des Weiteren wäre es für EU-Bürger somit möglich, britische Unternehmen auf Grund von Datenschutzverletzungen auf Schadensersatz zu verklagen.
4) Anerkennung eines angemessenen Schutzes könnte blockiert werden.
Für das Vereinigte Königreich besteht nach einem No-Deal-Brexit die Möglichkeit, sich ein „angemessenes Schutzniveau“ durch die Europäische Kommission zertifizieren zu lassen. Jedoch könnte diese Anerkennung blockiert werden, da das britische Recht zur Massenüberwachung durch seine Sicherheitsbehörden (durchgeführt in enger Zusammenarbeit u.a. mit den USA) nicht als mit dem EU-Recht und dem allgemeinen europäischen Menschenrechtsrecht vereinbar angesehen werden könnte.
Dies vermag eine Entscheidung über die Angemessenheit dem Grunde nach nicht auszuschließen, allerdings würde solch eine Entscheidung möglicherweise noch Jahre dauern und das Vereinigte Königreich bliebe den zuvor genannten Konsequenzen eines Status als „Drittstaat“ unterworfen.