Das Wichtigste in Kürze
- Der Brexit wird erhebliche Auswirkungen auf die Datenschutzanforderungen für Unternehmen in der EU und somit auch in Deutschland haben.
- Die DS-GVO gilt im Vereinigten Königreich nur noch bis zum 31.12.2020 – anschließend wird es zum „Drittland“.
- Mit einem Angemessenheitsbeschluss könnte die EU-Kommission das Vereinigte Königreich bei Datentransfers mit EU-Ländern gleichstellen.
- Voraussetzung dafür ist, dass das Vereinigte Königreich als Drittland für ein angemessenes Datenschutzniveau sorgt, das dem innerhalb der EU der Sache nach gleichwertig ist.
- Zur datenschutzrechtlichen Vorbereitung auf den Brexit müssen Unternehmen viele Maßnahmen vornehmen. Damit sollten sie so bald wie möglich beginnen.
- Neben dem eigenen Datenschutzbeauftragten kommen bei Fragen rund um die Datenschutz-Auswirkungen des Brexits vor allem externe Berater und britische Behörden infrage.
In diesem Beitrag
- Welche Auswirkungen wird der Brexit auf die Europäische Union und die Gesellschaft haben?
- Gilt die DS-GVO seit dem Brexit überhaupt noch für das Vereinigte Königreich?
- Wie geht es nach der Brexit-Übergangsphase weiter?
- Was bedeutet es, wenn das Vereinigte Königreich zum Drittland wird?
- Was ist unter einem Angemessenheitsbeschluss zu verstehen?
- Wie viele Unternehmen sind in Deutschland vom Brexit betroffen?
- Wie können sich Unternehmen auf das Ende der Brexit-Übergangsphase vorbereiten?
- An wen kann ich mich bei Fragen rund um Datenschutz und Brexit wenden?
- Fazit: Wie wirkt sich der Brexit auf den Datenschutz in deutschen Unternehmen aus?
Welche Auswirkungen wird der Brexit auf die Europäische Union und die Gesellschaft haben?
Wie genau der Brexit sich auf Gesellschaft, Wirtschaft, Politik und die EU als Ganzes auswirken wird, lässt sich aktuell nicht genau prognostizieren. Das Vereinigte Königreich selbst folgte nämlich bisher keiner klaren Linie hinsichtlich der Gestaltung der Beziehung zu den EU-Staaten nach dem Austritt. Viele Themen sind noch ungeklärt, eingeschlossen der Umgang mit dem Datenschutzrecht.
Ebenfalls fraglich ist, ob überhaupt eine politische Einigung erzielt wird. Unternehmen und Bürger warten auf folgeschwere Entscheidungen wie der zur Niederlassungsfreiheit und Freizügigkeit für EU-Bürger oder der Gewerbefreiheit für europäische Unternehmen.
Absehbar sind jedoch schon heute gravierende wirtschaftliche Auswirkungen, während Wirtschaftswachstum und Investitionen abnehmen.
Einige Unternehmen ziehen gar in Erwägung, ihren Sitz aus dem Vereinigten Königreich in die EU zu verlegen oder haben dies bereits getan. Aufgrund der komplexen and unsicheren politischen Situation sind viele Unternehmen skeptisch und verunsichert, ob sie den aktuellen Datenschutzanforderungen gerecht werden wie sie sich auf geänderte Vorschriften und Richtlinien vorbereiten sollten.
Gilt die DS-GVO seit dem Brexit überhaupt noch für das Vereinigte Königreich?
Während der Brexit-Übergangsphase gilt die Datenschutz-Grundverordnung (DS-GVO) unverändert weiter. Die Regierung der UK hat öffentlich bekannt gegeben, dass sie einer Verlängerung der Übergangsphase Ende 31.12.2020 nicht zustimmen werde.
Wie geht es nach der Brexit-Übergangsphase weiter?
Nach dem Ende der Brexit-Übergangsphase gilt die DS-GVO nicht länger für Vereinigte Königreich. Denn ab dem 1. Januar 2021 könnte das UK zu einem sogenannten Drittland werden. Das bedeutet, dass Datenübermittlungen in ein Unternehmen im UK einer besonderen Rechtsgrundlage bedürfen. Diese Rechtsgrundlage kann bestehen in
Es könnte jedoch in unterschiedlichen Szenarien (siehe Tabelle unten) sein, dass das UK sich ein Datenschutz-Gesetz auferlegt, welches mehr oder weniger stark an die DS-GVO angelehnt ist.
In jedem Fall aber wird die DS-GVO weiterhin für viele Unternehmen im Vereinigten Königreich relevant bleiben. Denn gemäß Art. 3 der DSGVO gilt diese auch für Organisationen in Drittländern, wenn
- die Datenverarbeitung im Zusammenhang mit einer Niederlassung in der EU steht (Niederlassungsprinzip) oder
- die Datenverarbeitung mit Waren oder Dienstleistungen zusammenhängt, die innerhalb der EU angeboten werden (Marktortprinzip) oder
- ein Unternehmen das Verhalten von Personen innerhalb der EU beobachtet und speichert (z. B. per Online-Tracking).
Was bedeutet es, wenn das Vereinigte Königreich zum Drittland wird?
Wenn das Vereinigte Königreich mit Ende der Übergangszeit nach DS-GVO-Definition zum Drittland wird, beeinflusst dies die Art, wie Unternehmen ihre Datenflüsse organisieren müssen. Deshalb sollte der Datenschutzbeauftragte zunächst prüfen, ob sein Unternehmen Daten aus dem Vereinigten Königreich empfängt, sammelt oder verarbeitet.
Wie viele Änderungen erforderlich sein werden, hängt dabei vor allem davon ab, ob die Europäische Kommission das Datenschutzniveau im Vereinigten Königreich als angemessen einstufen wird oder nicht. Ob es diesen sogenannten Angemessenheitsbeschluss geben wird, gilt derzeit noch als unklar.
Vermutlich wird auch das im Vergleich zur EU hohe Überwachungsniveau des Staates in die Entscheidung einfließen. In diesem Zusammenhang hat der CJEU vor kurzem in einer richtungsweisenden Entscheidung das Abkommen des EU-US Privacy Shields wegen der Unvereinbarkeit der Überwachungsgesetze der USA mit den grundlegenden Persönlichkeitsrechten in der EU für ungültig erklärt. Die Bedeutung dieser Entscheidung lässt zusätzliche Zweifel an der Angemessenheitsentscheidung für das Vereinigte Königreich aufkommen.
Falls es keinen Angemessenheitsbeschluss geben oder dieser erst später in Kraft treten sollte, sind beim Datenschutz besondere Anforderungen zu erfüllen, die in Kapitel 5 der DS-GVO festgehalten sind.
Außerdem ändert sich das Verhältnis zu den Aufsichtsbehörden: Unternehmen, die im Vereinigten Königreich aktiv sind, werden künftig verstärkt mit der britischen Aufsichtsbehörde Information Commissioner’s Office (ICO) kommunizieren. Diese hat den Ruf, bei Datenschutzverstößen eher nachsichtig mit Unternehmen umzugehen. Deshalb könnten EU-Aufsichtsbehörden sich künftig eventuell stärker bei solchen Fällen engagieren.
Was ist unter einem Angemessenheitsbeschluss zu verstehen?
Mit einem Angemessenheitsbeschluss nach Art. 45 Abs. 3 der DS-GVO bestätigt die EU-Kommission, dass ein Drittland über ein Datenschutzniveau verfügt, das mit den EU-Standards vergleichbar ist. Datentransfers in ein solches Land werden privilegiert behandelt und sind denen in EU-Länder gleichgestellt.
Aktuell existieren Angemessenheitsbeschlüsse für folgende Drittländer: Andorra, Argentinien, Färöer, Israel, Japan, Kanada, Neuseeland, Schweiz, Uruguay und USA (nur für nach dem Privacy Shield zertifizierte Unternehmen) sowie die britischen Inseln Guernsey, Isle of Man und Jersey, die als Kronbesitz kein Teil des Vereinigten Königreichs sind.
Wie viele Unternehmen sind in Deutschland vom Brexit betroffen?
Es liegen keine genauen Zahlen darüber vor, wie viele Unternehmen in Deutschland vom Brexit betroffen sind. Aber das Vereinigte Königreich ist 2020 mit einem Umsatz von über 100 Milliarden Euro einer der wichtigsten Handelspartner Deutschlands gewesen – und jedes Unternehmen, das in oder mit dem Vereinigten Königreich Geschäfte macht, ist auch von den Brexit-Änderungen beim Datenschutz betroffen.
Dabei reicht es schon aus, wenn Sie in Ihrem Onlineshop oder über eBay und Amazon Produkte oder Dienstleistungen an Bürger des Vereinigten Königreichs verkaufen. Aber auch Unternehmen, die nicht ins UK exportieren, können wegen der Daten von Mitarbeitern, Geschäftspartnern und Kunden betroffen sein. Sobald Sie z. B. eine E-Mail an einen britischen Geschäftspartner senden, gelten die entsprechenden Datenschutzregeln.
Wie können sich Unternehmen auf das Ende der Brexit-Übergangsphase vorbereiten?
Um auch nach der Brexit-Übergangsphase ab dem 1. Januar 2021 regelkonform arbeiten zu können, sollten Unternehmen sich schon jetzt vorbereiten. Hier ein kurzer Überblick über die möglichen Maßnahmen, auf die wir im Folgenden detaillierter eingehen werden:
- Bereiten Sie sich auf das Worst-Case-Szenario vor, indem Sie die DSGVO-Datenschutzstandards aufrechterhalten sich flexibel auch zusätzliche Maßnahmen einstellen.
- Passen Sie Ihre verbindlichen internen Datenschutzvorschriften an.
- Prüfen Sie die Datenflüsse im Unternehmen – mit besonderem Fokus auf Datenaustausch mit dem UK.
- Prüfen Sie, ob Sie einen Repräsentanten in UK benötigen.
- Rechnen Sie damit, einen Datenschutzbeauftragten in UK benennen zu müssen.
- Verabschieden Sie internationale Transfermechanismen (z. B. Standardvertragsklauseln)
- Prüfen Sie alle Verträge mit Lieferanten, Dienstleistern und anderen Parteien, die mit UK-Datenflüssen in Verbindung stehen.
- Verfolgen Sie weitere Entscheidungen der Behörden (z.B. des ICO) zu Änderungen bei der Einhaltung der Datenschutzbestimmungen nach dem Brexit.
Idealerweise bereiten Sie sich auf das Worst-Case-Szenario vor: Das Vereinigte Königreich wendet sich von den EU-Datenschutzstandards ab und richtet seinen Datenschutz eher am Interesse von Unternehmen aus. Das ist zwar nicht das wahrscheinlichste Szenario, aber nicht ganz ausgeschlossen (siehe Tabelle).
Wenn Sie sich auf dieses Szenario vorbereiten, sollten Sie bedenken, dass die Implementierung einiger Maßnahmen zeitaufwendig sein kann. So müssen z. B. die Aufsichtsbehörden eventuellen Änderungen an den verbindlichen internen Datenschutzvorschriften zustimmen. Treffen Sie also nötige Vorkehrungen so früh wie möglich.
Um sich konkret vorzubereiten, sollten Unternehmen aus Deutschland und der gesamten EU im ersten Schritt ihre Datenflüsse überprüfen. So können sie direkt feststellen, ob der Brexit sie beim Datenschutz überhaupt betrifft und was sie gegebenenfalls ändern müssen.
Außerdem sollten Unternehmen prüfen, ob sie einen Repräsentanten und einen Datenschutzbeauftragten (Data Protection Officer = DPO) im Vereinigten Königreich benötigen. In welchen der verschiedenen denkbaren Szenarien das der Fall ist, können Sie unserer Tabelle entnehmen.
|
Szenario A: Das UK übernimmt die Regelungen der DS-GVO im Anschluss an die Übergangsphase in nationales Recht („UK-GDPR“).
|
Szenario B: Das UK übernimmt die Regelungen der DS-GVO im Anschluss an die Übergangsphase nicht in nationales Recht. | |||
| Eintrittswahrscheinlichkeit: hoch | Eintrittswahrschein-lichkeit: mittel bis niedrig | |||
| Fall 1: Die Europäische Kommission bestätigt dem UK per Angemessen-heitsbeschluss ein angemessenes Datenschutz-niveau. | Fall 2: Die Europäische Kommission bestätigt dem UK zu einem späteren Zeitpunkt per Angemessen-heitsbeschluss ein angemessenes Datenschutz-niveau. | Fall 3: Die Europäische Kommission stuft das UK als unsicheres Drittland ein (kein Angemessen-heitsbeschluss). | Fall 4: Das UK entscheidet sich für eine Hybridlösung aus DS-GVO und nationalem Recht. | Fall 5: Das UK entscheidet sich für die Abkehr von der DS-GVO zugunsten eines „pro-business“-Ansatzes. |
| Lediglich für Nicht-EU-Länder des EWR müssen neue Mechanismen für den internationalen Datentransfer implementiert werden. | Für alle Länder der EU und des EWR müssen neue Mechanismen für den internationalen Datentransfer implementiert werden. |
|||
| Die EU-Kommission könnte zusätzliche Änderungen des nationalen Gesetzes verlangen, ehe ein Angemessenheitsbeschluss erteilt wird. |
||||
| Möglicherweise bedarf es sowohl in der EU als auch in UK eines eigenen DSB. |
Möglicherweise bedarf es sowohl in der EU als auch in UK eines eigenen Datenschutzbeauf-tragten. Zusätzlich könnte sich durch nationales Recht die Rolle des DSB ändern. | |||
| Es bedarf der Benennung eines EU-/UK-Vertreters. |
||||
| Die ICO wird nicht länger als Aufsichtsbehörde in der EU anerkannt sein. An ihre Stelle muss eine neue Behörde treten. |
||||
| Der Datenaustausch zwischen den USA und dem UK könnte bevorzugt werden und den Unternehmensfokus weg von der EU lenken. | ||||
Die beste Option, um die Datenübermittlung in das Vereinigte Königreich in Zukunft abzusichern, stellen sogenannte Standardvertragsklauseln dar, welche nicht abgeändert werden dürfen. Hier können Sie die Datenschutzvereinbarung ergänzen. So sind Sie für Datentransfers in das Vereinigte Königreich gewappnet, falls es keinen Angemessenheitsbeschluss gibt.
Bei Verträgen mit Lieferanten, Dienstleistern und anderen Parteien aus dem Vereinigten Königreich sollten Sie die Datenschutzklauseln überprüfen und ggf. anpassen, um in puncto Datenschutz auf der sicheren Seite zu sein.
Da noch eine Reihe von Anforderungen für nach dem Brexit definiert werden müssen, ist es ratsam, die Hinweise und Neuigkeiten der zuständigen Behörden zu verfolgen.
An wen kann ich mich bei Fragen rund um Datenschutz und Brexit wenden?
Erster Ansprechpartner für alle Fragen zum Brexit ist sicherlich der Datenschutzbeauftragte Ihres Unternehmens, für den der Brexit zurzeit wahrscheinlich Teil des Tagesgeschäfts ist. Er wird also voraussichtlich die meisten Fragen beantworten können.
Außerdem kann es ratsam sein, einen externen Berater anzusprechen. Hier sollten Sie darauf achten, dass er über internationale Expertise, Erfahrung und Präsenz verfügt, um Sie bei diesem grenzüberschreitenden Thema optimal betreuen zu können.
Eine weitere gute Alternative sind die britischen Institutionen. Bei der Aufsichtsbehörde ICO finden Sie beispielsweise Antworten auf die wichtigsten Fragen rund um Brexit, Datenschutz und die DS-GVO (auf Englisch: GDPR = General Data Protection Regulation). Und auch das Companies House der britischen Regierung bietet Unternehmen Hilfestellung.
Fazit: Wie wirkt sich der Brexit auf den Datenschutz in deutschen Unternehmen aus?
Wie wir gesehen haben, könnte der Brexit gravierende Auswirkungen auf den Datenschutz in deutschen Unternehmen haben. Besonders stark würden diese ausfallen, falls es keinen Angemessenheitsbeschluss geben sollte und das Vereinigte Königreich künftig beim Datenschutz als Drittland zu behandeln wäre.
Noch sind allerdings viele Fragen offen, da das UK noch einige Entscheidungen treffen muss. In puncto Brexit und Datenschutz bleibt es spannend.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:
