Das Wichtigste in Kürze
- Nach einem ungeordneten Brexit wird das Vereinigte Königreich datenschutzrechtlich zum unsicheren Drittland.
- Die Übermittlung personenbezogener Daten an UK-Anbieter wird ohne Angemessenheitsbeschluss oder spezielle Vorkehrungen problematisch.
- Eine bloße Information in der Datenschutzerklärung ist nicht ausreichend; es bedarf klarer Aufklärung und direkter Kundeneinwilligung.
- Unternehmen müssen ihre Datenflüsse nach UK prüfen und rechtzeitig Maßnahmen ergreifen, um hohe Bußgelder zu vermeiden.
Der Brexit wird Rechtsanwälte, Behörden und Gerichte wohl noch lange beschäftigen. Gerade erst habe ich in diesem Artikel auf die möglichen Probleme mit der Ltd. als Rechtsform hingewiesen. Ein vielleicht noch wesentlich relevanteres Problem könnte der Datenschutz sein.
Dieses Problem trifft besonders Mandanten von mir, die Anbieter in Großbritannien nutzen, beispielsweise um Werbung in Apps darzustellen, um Statistikinformationen aus Spielen zu erhalten oder auch um Paymentdienste anzubieten. Dies führt in aller Regel dazu, dass auch nach dem inzwischen immer wahrscheinlicher werdenden ungeordneten Brexit personenbezogene Daten nach Großbritannien übermittelt werden bzw. Anbieter aus US Zugriff auf die eigenen Daten gewährt werden. Dies könnte einige sehr relevante Middleware-Anbieter betreffen.
Dies ist jedoch nicht unproblematisch, denn nach der DSGVO sind alle Länder außerhalb der Europäischen Union bzw. außerhalb von assoziierten Ländern, als Drittländer zu betrachten. Das betrifft, nach einem ungeordneten Brexit, zumindest für eine Übergangszeit, dann auch das Vereinigte Königreich. Dies führt dazu, dass personenbezogene Daten nicht ohne Weiteres mehr nach UK übermittelt werden dürfen. Etwas anderes könnte nur geltend, wenn es, pünktlich zum Brexit einen sogenannten Angemessenheitsbeschluss der EU gibt, der UK zu einem sicheren Drittland erklärt. Ob dies geschehen wird, ist schwer abzusehen. Die EU dürften zunächst mit anderen Problemen beschäftigt sein. Ein solcher Beschluss ist übrigens, rein formell, auch nötig, obwohl das neue Datenschutzrecht aktuell natürlich auch in Großbritannien eingeführt wurde und dort, das möchte ich gar nicht bestreiten, ein durchaus angemessenes Datenschutzniveau existiert. Ob dies aber nach einem Brexit, der ja durchaus stattfindet, da man sich dort von einem strengen EU-Diktat emanzipieren möchte, auch weiterhin der Fall ist, bleibt abzuwarten.
- Gesonderter Vertrag mit dem Anbieter zur Einhaltung europäischen Datenschutzes (inklusive regelmäßiger Überprüfung)
- Erforderlichkeit der Datenübermittlung, weil Leistungen in UK ausgeführt werden
Nicht hingegen ausreichend ist die ausschließliche Information der Kunden oder Spieler im Rahmen einer Datenschutzerklärung, in der versteckt auf einen Datenschutztransfer hingewiesen wird. Ausreichend wäre lediglich eine klare Aufklärung und Hinweise im Rahmen beispielsweise einer Nutzeranmeldung, mit einer direkten Bestätigung durch den Kunden. Auch Altkunden müssten über das Problem informiert und erforderliche Einwilligungen nachgeholt werden.
- Apps, Onlineshops und Drittanbieter genauestens überprüfen
- Datenschutzerklärungen, AGB und Verträge gegenchecken
- Im Zweifel Vorkehrungen treffen