Brexit und der Datenschutz
DSGVO und Brexit: Datentransfers werden kompliziert
Iron Mountain erklärt die Hintergründe
Welche Auswirkungen hat der Brexit auf den Datentransfer zwischen der Europäischen Union und dem Vereinigten Königreich? Nach derzeitiger Planung sollen die Briten die EU spätestens zum 31. Oktober 2019 verlassen. Die seit dem 25. Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) regelt die Verwendung personenbezogener Daten von EU-Bürgern. Das Zusammenspiel von DSGVO und Brexit führt zu einigen Komplikationen. Die DSGVO stellt für die Übermittlung personenbezogener Daten in sogenannte Drittländer strenge Regeln auf. Drittländer sind alle Länder, die nicht zur EU gehören – also zukünftig auch Großbritannien. Was bedeutet dies zukünftig für den Datenfluss? Der weltweit führende Archiv- und Informationsmanagement-Dienstleister Iron Mountain erklärt dazu die Hintergründe.
Brexit-Hintergrund
Schon als Großbritannien 1973 der damaligen Europäischen Gemeinschaft beitrat, galt der Inselstaat als europaskeptisch. Ein Großteil der Bevölkerung sprach sich damals gegen eine Mitgliedschaft aus. Seitdem verhandelten die Briten immer wieder weitgehende Sonderlösungen, vom sogenannten Britenrabatt auf Beitragszahlungen bis hin zur Nichtumsetzung des Schengener Abkommens. Im Juni 2016 schließlich votierten die Briten dann in einem Referendum mit knapper Mehrheit für einen EU-Austritt bis zum 29. März 2019 beziehungsweise 12. April 2019. Bei einem EU-Sondergipfel wurde das Austrittsdatum nun auf den 31. Oktober 2019 verschoben. Noch ist unklar, wie reibungslos der Übergang von statten gehen wird, da bislang nur die EU dem ausgehandelten Brexit-Vertrag zugestimmt hat. Im englischen Parlament fand er bislang keine Mehrheit. Damit bleibt erst mal ungewiss, ob ein Brexit gemäß Abkommen zustande kommt, ein „harter“ Brexit ohne Abkommen stattfindet, der Brexit erneut verschoben wird oder der Brexit gar überhaupt nicht stattfindet. Aber: Unabhängig davon ist und bleibt die DSGVO weiterhin wirksam, zusammen mit den damit verbundenen Anforderungen und erheblichen Geldbußen bei Nichteinhaltung.
Datentransfers nach dem Brexit
Sobald das Vereinigte Königreich kein EU-Mitglied mehr ist, wird es im Sinne der DSGVO zum Drittland. Dies teilte die EU-Kommission bereits Anfang 2018 schriftlich mit . Um den Status eines sogenannten „sicheren Drittlandes“ zu erhalten, müssten die Briten die Regelungen der DSGVO zunächst weitestgehend in die nationale Gesetzgebung überführen. Anschließend müsste die EU-Kommission per Beschluss ein angemessenes Datenschutzniveau bescheinigen. Ob und wann dies tatsächlich passiert, ist jedoch noch völlig unklar! Denn obwohl die Briten bereits über ein nationales Datenschutzgesetz verfügen, wären sie nach dem Brexit auf die Entscheidung der Europäischen Kommission angewiesen. Die teilte bereits mit, dass ein Angemessenheitsbeschluss kein Automatismus sei und man umfassend prüfen werde. Selbstverständlich kann eine Datenübertragung auch in ein Drittland legitim sein, wenn der Schutz personenbezogener Daten ausreichend sichergestellt werden kann. Dies ist dann Aufgabe des Verarbeiters, und kann beispielsweise durch Datenschutzklauseln, Verhaltensregeln, vertragliche Bestimmungen, Datenschutzschilde (bspw. EU-US Privacy Shield) oder eine Zertifizierung des Verarbeitungsvorgangs geschehen.
Nach einem Brexit kann der umgekehrte Weg, also die Übertragung von Daten aus dem Vereinigten Königreich in die EU, ähnlich kompliziert sein – insbesondere wenn es zu einem Brexit ohne Vertrag kommt. Besteht kein Angemessenheitsbeschluss und ist der Schutz personenbezogener Daten nicht durch andere Garantien gewährleistet, drohen hohe Bußgelder nach Art. 83 DSGVO.
Der Brexit und der EU-US-Privacy Shield
Auch die USA sind kein Mitglied der EU und demnach im Sinne der DSGVO ein Drittland. Um Datentransfers zwischen der EU und den USA zu erleichtern, hat das US-Handelsministerium ein Privacy Shield Framework eingerichtet, um Unternehmen dabei zu unterstützen, die strengen europäischen Datenschutzanforderungen einzuhalten. Aber sobald Großbritannien die EU verlassen hat, verliert der Privacy Shield für Datentransfers zwischen UK und den USA seine Gültigkeit.
Glücklicherweise hat das US-Handelsministerium bereits festgelegt, welche Schritte Privacy-Shield-Teilnehmer ergreifen können, um personenbezogene Daten aus dem Vereinigten Königreich zu erhalten. Aber auch hier hängen die genauen Schritte letztendlich davon ab, ob die Briten die EU mit oder ohne Vertrag verlassen.
Wie geht man nach dem Brexit mit UK-Daten um?
Unternehmen müssen möglicherweise darüber entscheiden, wie sie personenbezogene Daten aus Großbritannien nach dem Brexit handhaben werden. Ein empfehlenswerter Ansatz besteht darin, sie zunächst genauso streng wie EU-Daten zu behandeln.
Unternehmen sollten bereits jetzt ausreichende Vorbereitungen für alle denkbaren Szenarien treffen. Dabei kann beispielsweise die Verwendung einer Plattform zur Verwaltung von Datenaufbewahrungs- und Datenschutzrichtlinien helfen.