brexit datenschutz

Brexit – weitere Möglichkeiten ohne Abkommen. Handeln Sie jetzt!

/von

Der aktuelle und nach den Aussagen des derzeitigen britischen Premierministers Boris Johnson wohl auch endgültige Brexit-Termin ist der 31.10.2019. Ab dem 01.11.2019 ist Großbritannien dann nicht mehr Mitglied der EU. Um es mit Herrn Johnsons (auf Deutsch übersetzten) Worten zu sagen: „Koste es was es wolle“. Sofern bis Ende Oktober kein neues Abkommen zwischen der EU und dem Vereinigten Königreich (nachfolgend UK) ausgehandelt wird, wird es also zum sogenannten No-Deal-Brexit kommen.

Diese Aussage ist durchaus erschreckend, wären alle dem UK angehörenden Länder doch von heute auf morgen auch aus Datenschutzsicht Drittländer mit allen Konsequenzen, die für Drittländer gelten.

Neben einem neuen Abkommen (das alte dürfte vom Tisch sein) und einem vollkommen ungeregelten Austritt gibt es jedoch noch mindestens zwei weitere Szenarien, die denkbar wären.

Verbleib im EWR

So könnte UK beispielsweise im EWR (Europäischer Wirtschaftsraum, s. hier) verbleiben. Für diesen gelten zahlreiche sogenannte Binnenmarktregeln analog zu denen der EU und die Rechtsprechung des EuGH ist ebenfalls von Relevanz. Zu den geltenden Regeln gehört auch die DSGVO.

Sofern UK sich für einen Verbleib im EWR entschiede, würde sich aus Datenschutzsicht also gar nicht so viel ändern. Wie wahrscheinlich dieses Szenario ist, mögen wir nicht beurteilen. Bislang hat man davon in den Nachrichten zumindest noch nicht allzu viel gehört.

UK erklärt die DSGVO zu nationalem Recht

Möglich wäre auch, dass UK nationale Datenschutzgesetze erlässt, welche die DSGVO (nahezu wortgleich) abbilden. Das liest sich zunächst zwar vielversprechend, hilft aber nicht weiter. Denn Drittland wäre UK weiterhin. Egal, wie gut das Datenschutz-Niveau ist – solange für ein Land die formale Zugehörigkeit zu EU oder EWR mit den sich daraus ergebenden Konsequenzen (unmittelbare Wirksamkeit der DSGVO, Bindungswirkung von Entscheidungen des EuGH), nicht gegeben ist, solange sind weitere Garantien notwendig, um Datenaustausch mit diesem Land treiben zu dürfen.

Es wäre also weiterhin ein Angemessenheitsbeschluss der EU-Kommission notwendig, damit der Datenaustausch ungehindert erfolgen kann. Uns wäre derzeit nicht bekannt, dass die EU-Kommission an einem entsprechenden Beschluss arbeiten würde. Und sind wir mal ganz ehrlich: Das Fehlen eines solchen Beschlusses ist ja auch durchaus ein Druckmittel für die EU, warum also sollte man sich diesen Trumpf zum jetzigen Zeitpunkt nehmen lassen?

Dennoch wäre diese Möglichkeit zumindest eine Art Zwischenstufe zwischen Austritt mit Abkommen und völlig ungeregeltem Austritt. Allerdings dauert der Erlass solcher Angemessenheitsbeschlüsse in der Regel recht lange. Der letzte (der für Japan) brauchte mehrere Jahre. Daher ist selbst bei einem Umschwenken der EU nicht damit zu rechnen, dass rechtzeitig zum (aktuellen) Brexit-Termin ein Angemessenheitsbeschluss existieren kann.

Die Hoffnung bleibt…

Bleibt doch noch die Hoffnung, dass das aktuell ausgehandelte Abkommen zur Grundlage des nahenden Brexit werden wird. In diesem ist nämlich auch geregelt, dass es eine Übergangszeit von über zwei Jahren geben: Das Ende der Übergangsphase soll am 31.12.2020 sein. Bis zu diesem Zeitpunkt wären keine weiteren Garantien für den Datenaustausch mit UK notwendig.

… und ist ungewiss …

Allerdings ist die Wahrscheinlichkeit, dass UK mit einem entsprechenden Abkommen und damit mit einer solchen Übergangsregelung aus der EU ausscheidet unseres Erachtens nicht sehr hoch. Auch das EWR-Szenario erscheint uns als nicht sehr wahrscheinlich, würde dies doch den Aussagen des Herrn Johnson zuwiderlaufen.

Was nun?

Es ist an der Zeit, für Sicherheit zu sorgen. Wirklich viele Optionen gibt es dafür aufgrund der nur noch sehr kurzen verbleibenden Zeitspanne nicht. Zur Auswahl stünden

Binding Corporate Rules (BCR)

Hierbei handelt es sich um konzernweite Regeln zum Datenschutz. Diese müssen allerdings von den Aufsichtsbehörden abgenommen werden und sind auch nicht mal eben in zwei Monaten entwickelt.

Einsatz von EU-Standardvertragsklauseln

Ein „einfacher“ Weg, da die Vertragstexte von der EU-Kommission vorgegeben sind, welcher sich auch in der kurzen verbleibenden Zeit umsetzen ließe. Allerdings verbleibt ein gewisses Restrisiko, da die bisherigen (nach Richtlinie 95/46/EG erlassenen) Standardverträge in der DSGVO nur Übergangslösung sind und zumindest in der Theorie jederzeit von der Kommission widerrufen werden könnten.

Sonderregelungen des Art. 49 DSGVO

Auch die Sonderregelungen des Art. 49 DSGVO („Ausnahmen für bestimmte Fälle“) könnten zumindest in Ausnahmesituationen eine Lösung sein. Insbesondere die in Art. 45 Abs. 1 lit. a DSGVO geregelte Einwilligung (Achtung: Es wird die ausdrückliche Einwilligung gefordert) wäre gegebenenfalls als Notlösung nutzbar.

Fazit und Empfehlung

Wir sind der Meinung, dass die einzige schnell und halbwegs sicher zu schaffende Möglichkeit der Abschluss der EU-Standardverträge ist. Ja, wir haben gerade im vorletzten Absatz darauf hingewiesen, dass auch die Standardverträge nicht auf ewig in Stein gemeißelt sind, allerdings würde beispielsweise ein Widerruf der Verträge durch die EU-Kommission alle Drittlandstransfers betreffen und nicht nur die nach UK. Insofern halten wir die Wahrscheinlichkeit des Widerrufs zumindest kurzfristig nicht für sehr wahrscheinlich.

Wichtig ist es unseres Erachtens, bis zum Austrittstermin die Drittlandstransfers auf rechtlich tragfähige Füße zu stellen. Dabei muss Wert darauf gelegt werden, dass die gewählte Lösung bei jedem der möglichen Szenarien wirksam und zulässig ist. Es geht uns also derzeit nicht darum, die beste Lösung zu schaffen, sondern überhaupt eine.

Dabei darf nicht vergessen werden, dass die EU-Kommission die Aufgabe hat, einen Ersatz für die alten Standardverträge zu entwickeln. Selbst wenn die Verträge also nicht von der Kommission widerrufen werden, so wird dennoch irgendwann der Zeitpunkt kommen, an dem die alten Verträge durch neue ersetzt werden müssen. Eine Lösung für die Ewigkeit sind die Standardverträge also keinesfalls…

Benötigen Sie Unterstützung beim Aushandeln oder Abschließen von EU-Standardverträgen? Melden Sie sich bei uns, wir helfen Ihnen!

 

Das könnte Sie auch interessieren
meldung datenschutzbeauftragter aufsichtsbehördeDatenschutzbeauftragten bei Behörde richtig anmelden
Auftragsdatenverarbeitung im Rahmen des Datenschutzes
facebook fanpageEuGH-Urteil zu Fanpages bei Facebook
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoVerantwortung bei der Verarbeitung von Daten unter der DSGVO
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungSchadenersatz bei Datenschutzverstößen nach der DSGVO
Teilnehmerlisten im Kontext des BDSG
Serie Rechtsgrundlagen: Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVOeinwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoaufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bSerie Rechtsgrundlagen: Die Vertragserfüllung oder vorvertragliche Maßnahmen...