Datenschutz: UK bald unsicheres Drittland?

Der Brexit wird Rechtsanwälte, Behörden und Gerichte wohl noch lange beschäftigen. Gerade erst habe ich in diesem Artikel auf die möglichen Probleme mit…

Das Wichtigste in Kürze

  • Nach einem ungeordneten Brexit wird das Vereinigte Königreich datenschutzrechtlich zum unsicheren Drittland.
  • Die Übermittlung personenbezogener Daten an UK-Anbieter wird ohne Angemessenheitsbeschluss oder spezielle Vorkehrungen problematisch.
  • Eine bloße Information in der Datenschutzerklärung ist nicht ausreichend; es bedarf klarer Aufklärung und direkter Kundeneinwilligung.
  • Unternehmen müssen ihre Datenflüsse nach UK prüfen und rechtzeitig Maßnahmen ergreifen, um hohe Bußgelder zu vermeiden.

Der Brexit wird Rechtsanwälte, Behörden und Gerichte wohl noch lange beschäftigen. Gerade erst habe ich in diesem Artikel auf die möglichen Probleme mit der Ltd. als Rechtsform hingewiesen. Ein vielleicht noch wesentlich relevanteres Problem könnte der Datenschutz sein.

Dieses Problem trifft besonders Mandanten von mir, die Anbieter in Großbritannien nutzen, beispielsweise um Werbung in Apps darzustellen, um Statistikinformationen aus Spielen zu erhalten oder auch um Paymentdienste anzubieten. Dies führt in aller Regel dazu, dass auch nach dem inzwischen immer wahrscheinlicher werdenden ungeordneten Brexit personenbezogene Daten nach Großbritannien übermittelt werden bzw. Anbieter aus US Zugriff auf die eigenen Daten gewährt werden. Dies könnte einige sehr relevante Middleware-Anbieter betreffen.

Dies ist jedoch nicht unproblematisch, denn nach der DSGVO sind alle Länder außerhalb der Europäischen Union bzw. außerhalb von assoziierten Ländern, als Drittländer zu betrachten. Das betrifft, nach einem ungeordneten Brexit, zumindest für eine Übergangszeit, dann auch das Vereinigte Königreich. Dies führt dazu, dass personenbezogene Daten nicht ohne Weiteres mehr nach UK übermittelt werden dürfen. Etwas anderes könnte nur geltend, wenn es, pünktlich zum Brexit einen sogenannten Angemessenheitsbeschluss der EU gibt, der UK zu einem sicheren Drittland erklärt. Ob dies geschehen wird, ist schwer abzusehen. Die EU dürften zunächst mit anderen Problemen beschäftigt sein. Ein solcher Beschluss ist übrigens, rein formell, auch nötig, obwohl das neue Datenschutzrecht aktuell natürlich auch in Großbritannien eingeführt wurde und dort, das möchte ich gar nicht bestreiten, ein durchaus angemessenes Datenschutzniveau existiert. Ob dies aber nach einem Brexit, der ja durchaus stattfindet, da man sich dort von einem strengen EU-Diktat emanzipieren möchte, auch weiterhin der Fall ist,  bleibt abzuwarten.

Nicht hingegen ausreichend ist die ausschließliche Information der Kunden oder Spieler im Rahmen einer Datenschutzerklärung, in der versteckt auf einen Datenschutztransfer hingewiesen wird. Ausreichend wäre lediglich eine klare Aufklärung und Hinweise im Rahmen beispielsweise einer Nutzeranmeldung, mit einer direkten Bestätigung durch den Kunden. Auch Altkunden müssten über das Problem informiert und erforderliche Einwilligungen nachgeholt werden.

Häufig gestellte Fragen

Was bedeutet es für den Datenschutz, wenn Großbritannien ein „Drittland“ wird?
Nach einem ungeordneten Brexit würde Großbritannien als Drittland im Sinne der DSGVO gelten. Dies hätte zur Folge, dass personenbezogene Daten nicht mehr ohne Weiteres dorthin übermittelt werden dürfen, es sei denn, es gibt einen Angemessenheitsbeschluss oder andere Ausnahmeregelungen.
Welche Unternehmen sind von der Problematik der Datenübermittlung nach Großbritannien betroffen?
Betroffen sind insbesondere Mandanten, die Anbieter in Großbritannien nutzen, beispielsweise für Werbung in Apps, zur Erfassung von Statistikinformationen aus Spielen oder für Paymentdienste. Dies kann auch relevante Middleware-Anbieter einschließen.
Welche Ausnahmen gibt es für die Datenübermittlung in ein unsicheres Drittland wie das Vereinigte Königreich?
Ausnahmen können ein gesonderter Vertrag mit dem Anbieter zur Einhaltung europäischen Datenschutzes (inklusive regelmäßiger Überprüfung) oder die Erforderlichkeit der Datenübermittlung, weil Leistungen in UK ausgeführt werden, sein. Ein Angemessenheitsbeschluss der EU würde UK zu einem sicheren Drittland erklären.
Genügt ein Hinweis in der Datenschutzerklärung für die Datenübermittlung nach Großbritannien?
Nein, die ausschließliche Information der Kunden oder Spieler in einer versteckten Passage der Datenschutzerklärung ist nicht ausreichend. Es bedarf einer klaren Aufklärung und direkten Bestätigung durch den Kunden, beispielsweise im Rahmen einer Nutzeranmeldung. Auch Altkunden müssen informiert und Einwilligungen nachgeholt werden.
Was sollten Unternehmen jetzt tun, um Bußgelder zu vermeiden?
Unternehmen sollten ihre Apps, Onlineshops und Drittanbieter genauestens überprüfen, Datenschutzerklärungen, AGB und Verträge gegenchecken und im Zweifel Vorkehrungen treffen. Ein Gespräch mit einem auf IT-Recht spezialisierten Anwalt kann ebenfalls hilfreich sein.