Vom Mitglieds- zum Drittstaat über Nacht – Die datenschutzrechtlichen Konsequenzen des EU-Austritts Großbritanniens für Verantwortliche in der EU
Bei Bekanntgabe des Ergebnisses des Brexit-Referendums hätte wohl niemand gedacht, dass das Chaos 33 Monate später so groß sein würde. Doch nach dem aktuellen Stand und der erneuten Ablehnung des Austrittsabkommens am 12.03.2019 durch das britische Parlament ist Großbritannien ab dem 29. März 2019 nicht mehr Mitglied in der Europäischen Union. Dieser Umstand hat in Zeiten der Datenschutzgrundverordnung (kurz: DSGVO)1 selbstverständlich auch Konsequenzen in datenschutzrechtlicher Hinsicht.
Theoretisch sind noch vier Szenarien denkbar. Die EU und Großbritannien einigen sich über ein Austrittsabkommen, die EU verlängert die Austrittsfrist, Großbritannien widerruft seine Austrittserklärung oder es kommt zu einem sogenannten No-Deal-Brexit, das heißt einem ungeregelten Austritt Großbritanniens aus der EU. Während die drei erstgenannten Szenarien von Tag zu Tag immer unwahrscheinlicher werden, muss zurzeit davon ausgegangen werden, dass es zu einem ungeregelten Austritt kommt. Ein solcher No-Deal-Brexit hätte zur Folge, dass die EU-Verträge in Großbritannien keine Anwendung mehr fänden, was selbstverständlich Auswirkungen auf sämtliche Lebensbereiche – inklusive des Datenschutzes – hätte.
Denn auch die Datenschutzgrundverordnung fände keine Anwendung mehr in Großbritannien und Großbritannien würde zudem im Verhältnis zu den EU-Mitgliedsstaaten über Nacht von einem Mitglieds- zu einem Drittstaat. Diese Statusveränderung hätte für Verantwortliche innerhalb der EU zur Folge, dass Datenübermittlungen, die gemäß den Rechtsgrundlagen in den Art. 6 und 9 DSGVO rechtmäßig waren, neu evaluiert werden müssten. Ihre Rechtmäßigkeit würde sich in diesem Fall nach den Art. 44 ff. DSGVO beurteilen, die an eine rechtmäßige Übermittlung zusätzliche Anforderungen stellen. Die übrigen Voraussetzungen, zum Beispiel die in den Art. 6 und 9 DSGVO genannten, müssten also weiterhin erfüllt werden.
Die Vorschriften in den Art. 44 ff. DSGVO enthalten verschiedene Möglichkeiten, um eine Datenübermittlung in ein Drittland rechtmäßig zu gestalten. Grundsätzlich lassen sich drei Möglichkeiten unterscheiden. Die erste und bequemste Lösung für Verantwortliche wäre ein Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO, da Datenübermittlungen in das betreffende Drittland in diesem Falle keiner besonderen Genehmigung bedürfen. Es ändert sich also praktisch gesehen nichts an der Situation vor dem Brexit, da die Datenübermittlungen in Verbindung mit Art. 45 DSGVO weiterhin auf den Art. 6 und Art. 9 DSGVO basiert werden könnten. Ein solcher Angemessenheitsbeschluss hinsichtlich Großbritanniens ist jedoch in näherer Zukunft nicht absehbar.
Die zweite Möglichkeit ist, dass der Verantwortliche geeignete Garantien gemäß Art. 46 DSGVO bietet, dass ein angemessenes Datenschutzniveau eingehalten wird und dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. In Frage kommen hier vor allem verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“) im Sinne des Art. 47 DSGVO (die jedoch der Genehmigung der zuständigen Aufsichtsbehörde bedürfen), Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c und d DSGVO, genehmigte Verhaltensregeln im Sinne des Art. 46 Abs. 2 lit. e DSGVO oder Vertragsklauseln zwischen dem Verantwortlichen in der EU und dem Verantwortlichen im betreffenden Drittland, welche jedoch auch der Genehmigung durch die zuständige Aufsichtsbehörde bedürfen. Im Gegensatz zum Angemessenheitsbeschluss verlangt diese Lösung viel mehr Aufwand seitens des Verantwortlichen. Da ein Angemessenheitsbeschluss in näherer Zukunft jedoch nicht zu erwarten ist, erlangen die oben genannten Möglichkeiten umso größere praktische Bedeutung. Verantwortliche, die personenbezogene Daten nach Großbritannien übermitteln, sollten sich daher mit diesen Möglichkeiten vertraut machen und entsprechende Maßnahmen vorbereiten.
Die dritte Möglichkeit ist, dass die Datenübermittlung eine Ausnahme im Sinne des Art. 49 DSGVO darstellt. Die Erwägung hinter diesen Ausnahmen ist, dass der Betroffene in den genannten Fällen ein relativ geringes Schutzbedürfnis hat.2 Sofern weder ein Angemessenheitsbeschluss noch geeignete Garantien nach Art. 46 DSGVO bestehen, ist eine Datenübermittlung an ein Drittland zum Beispiel nach Art. 49 Abs. 1 lit. a DSGVO dennoch zulässig, wenn die betroffene Person zum Beispiel ausdrücklich eingewilligt hat, nachdem sie über die mit der Übermittlung verbundenen Risiken informiert wurde. Sie weiß also, worauf sie sich einlässt und ist daher weniger schutzbedürftig. Sicherlich können ein paar Übermittlungen des Verantwortlichen einen Ausnahmetatbestand des Art. 49 DSGVO erfüllen, doch auch wenn „Ausnahme“ zunächst wie „entspanntes Zurücklehnen“ klingen mag, erfordert die Inanspruchnahme der Ausnahmetatbestände einigen Aufwand des Verantwortlichen. So muss er gegebenenfalls Einwilligungserklärungen erstellen und einholen, die Aufsichtsbehörde kontaktieren und den allgemeinen und speziellen Dokumentationspflichten nachkommen.
Zusammenfassend lässt sich also festhalten, dass das politische Chaos namens „Brexit“ durchaus datenschutzrechtliche Konsequenzen hat, aber keineswegs auch datenschutzrechtliches Chaos bedeuten muss. Denn die DSGVO bietet verschiedene Möglichkeiten, um Datenübermittlungen nach Großbritannien auch in einem No-Deal-Szenario rechtmäßig durchzuführen. Sollte man also als Verantwortlicher personenbezogene Daten nach Großbritannien übermitteln, sollte man sich auf den Brexit vorbereiten. Hier kann dieser Blogeintrag und unser 5-Punkte-Plan (siehe Abbildung 1) als Orientierungshilfe für Ihr Vorgehen dienen. Sollten Sie Fragen haben oder Unterstützung benötigen, können Sie uns natürlich gerne kontaktieren. Denn wenn Sie gut vorbereitet sind, können Sie am 29. März beruhigt schlafen gehen – auch wenn Großbritannien über Nacht von einem Mitglieds- zu einem Drittstaat werden sollte.
1 VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
2 Gola/Klug: Gola, DSGVO Datenschutz-Grundverordnung VO (EU) 2016/679, 1. Auflage, München 2017.