Brexit Datenschutz: Verträge & Dienstleister prüfen | IT-Medienrecht

Erfahren Sie, wie der Brexit den Datenschutz betrifft. Jetzt Verträge und Dienstleister prüfen, um rechtliche Risiken zu vermeiden!

Das Wichtigste in Kürze

  • Ab 01.01.2021 wird das Vereinigte Königreich ohne Abkommen zum datenschutzrechtlichen Drittland.
  • Datenübermittlungen in die UK sind dann ohne weitere Maßnahmen kaum mehr zulässig.
  • Bestehende Verträge mit britischen Cloud- und Payment-Dienstleistern müssen dringend überprüft werden.
  • Unternehmen drohen bei Nichteinhaltung der Datenschutzpflichten massive Haftungsrisiken und Schadensersatzansprüche.
  • Eine rechtzeitige Analyse und Anpassung der Datenflüsse ist vor Jahresende zwingend erforderlich.

Anfang des Jahres habe ich bereits in diesem Artikel zum Thema Brexit und  Datenschutz gewarnt. Das war allerdings noch vor dem finalen Austritt Großbritanniens aus der EU.  Seit dem  1. Februar 2020 ist das Vereinigte Königreich bekanntlich aus der Europäischen Union ausgeschieden, weswegen zum aktuellen Zeitpunkt  sämtliche Gesetze der EU im Vereinigten Königreich nur aufgrund einer Übergangsphase gelten. Diese wird jedoch am 31.12.2020 ablaufen. Sollte bis zum diesem Zeitpunkt kein Vertrag zwischen der Europäischen Union und dem Vereinigten Königreich abgeschlossen werden, würde das Land am 1. Januar 2021 im Sinne vieler Gesetzes und Abkommen als Drittland betrachtet werden.

Und dies betrifft natürlich auch das Datenschutzrecht.

Beachtet man nun, wie die das Vereinigte Königreich gerade vertragsbrüchig gegenüber der EU wird, ist es nicht unwahrscheinlich, dass am 1. Januar 2021 kein Abkommen vorhanden ist.

Daher gilt dann  ab dem 01. Januar 2021, dass eine Übermittlung von persönlichen Daten in die UK ohne Verstoß gegen europäische und deutsche Datenschutzregelungen kaum mehr möglich sein wird.  Für den Datenaustausch zwischen deutschen und britischen Unternehmen hat dies ab diesem Zeitpunkt verschärfte Regeln zur Folge, sofern die EU-Kommission das Vereinigte Königreich bis dahin nicht als sicheres Drittland klassifiziert. Derartige Beschlüsse existieren zwar z. B. für die Schweiz oder Japan. Für einen weiteren Beschluss müsste gewährleistet sein, dass das bisherige Datenschutzniveau weiterhin eingehalten werden kann. Angesichts der Aussagen der britischen Regierung, man wolle eigene und unabhängige Datenschutzregeln etablieren, scheint ein EU-Beschluss allerdings mindestens sehr fraglich.

Britische Unternehmen sind daher ab dem 1. Januar 2021 nicht mehr verpflichtet, die aktuell bindenden Datenschutzvorgaben der DSGVO einzuhalten, was ebenso bedeutet, dass Verträge mit britischen Dienstleister auf den Prüfstand gestellt werden müssten.

Besondern problematisch sind neben Clouddiensten natürlich auch Anbieter von Paymentdienstleistungen. Kommt es zu keiner Einigung zwischen der EU und dem Vereinigten Königreich, wäre die Übermittlung von Bezahldaten an Anbieter in Großbritannien unzulässig. Ob dies im Rahmen der Standardvertragsklauseln doch noch möglich ist, ist angesichts der gerade gefällten Äußerungen der britischen Regierung, das Datenschutzniveau absenken zu wollen, kaum abschließend zu beantworten.

Das gilt vor allem auch, da es im Zweifel für als Anbieter schwer sein könnte, die Betroffenenrechte der eigenen Nutzer bzw. Käufer zu garantieren, ohne dass klar ist, wie in einer Situation ohne Einigung und ohne kodifizierte Handelsbeziehungen Vertragsansprüche durchgesetzt werden könnten. Anbieter machen sich damit im Zweifel massiv angreifbar und könnten sich großen Schadensersatzansprüchen von Betroffenen ausgesetzt sehen, wenn Betroffenenrechte nicht erfüllt werden können, weil die bisherigen Partner ihren Pflichten nicht nachkommen.

Die nach Art. 46 der DSGVO erforderlichen Garantien von Auftragsdatenverarbeitern dürften Partner, selbst wenn diese schriftlich niederlegt sind, angesichts der Rechtsunsicherheit, wohl faktisch als auch rechtlich kaum wirksam abgeben können.

Aktuell kann kaum jemand seriös beurteilen, ob es noch zu einer Einigung kommt und wenn, ob eine solche Einigung auch Regelungen zum Umgang mit Datenschutz beinhaltet, oder ob gewisse Themen eventuell für einige weitere Monate ausgeblendet werden, um eine grundlegende Vereinbarung zu erreichen.

Da die Probleme nicht nur für neue Übermittlungen sondern auch für Archivdaten gelten, sollte sich mit dem Problem rechtzeitig auseinandergesetzt werden, um zum Jahresende nicht in juristische und technische Probleme zu geraten.

Häufig gestellte Fragen

Was bedeutet der Brexit für den Datenschutz ab dem 01. Januar 2021?
Ab dem 01. Januar 2021 wird das Vereinigte Königreich ohne ein Abkommen als datenschutzrechtliches Drittland betrachtet. Dies erschwert oder macht die Übermittlung persönlicher Daten in die UK ohne Verstoß gegen EU- und deutsche Datenschutzregelungen kaum mehr möglich.
Wird die EU-Kommission das Vereinigte Königreich als sicheres Drittland einstufen?
Angesichts der Absicht der britischen Regierung, eigene Datenschutzregeln zu etablieren, scheint ein Beschluss der EU-Kommission, das Vereinigte Königreich als sicheres Drittland zu klassifizieren, sehr fraglich.
Welche Auswirkungen hat dies auf Verträge mit britischen Dienstleistern?
Verträge mit britischen Dienstleistern, insbesondere im Bereich Cloud- und Payment-Dienste, müssen auf den Prüfstand gestellt werden. Britische Unternehmen sind ab dem 01. Januar 2021 nicht mehr verpflichtet, die DSGVO einzuhalten.
Können Standardvertragsklauseln die Datenübermittlung weiterhin absichern?
Angesichts der Äußerungen der britischen Regierung, das Datenschutzniveau absenken zu wollen, ist es kaum abschließend zu beantworten, ob Standardvertragsklauseln noch ausreichen. Es könnte für Anbieter schwer sein, Betroffenenrechte zu garantieren.