- Das Vereinigte Königreich trat am 1. Februar 2020 aus der EU aus; die Übergangsphase endet am 31.12.2020.
- Fehlt eine Einigung, wird das Vereinigte Königreich ab 1. Januar 2021 als Drittland betrachtet.
- Eine Übermittlung persönlicher Daten in die UK wird ohne EU-Kommission-Klassifizierung als sicheres Drittland schwierig.
- Britische Unternehmen müssen ab 1. Januar 2021 keine DSGVO-Regeln mehr einhalten, was vertragsrechtliche Folgen hat.
- Kommt es zu keiner Einigung, wäre die Übermittlung von Bezahldaten an UK-Anbieter unzulässig.
- Rechtsunsicherheiten könnten Anbieter haftbar machen, wenn Nutzerdaten nicht korrekt verarbeitet werden.
- Probleme betreffen sowohl neue Übermittlungen als auch Archivdaten: rechtzeitige Auseinandersetzung ist wichtig.
Anfang des Jahres habe ich bereits in diesem Artikel zum Thema Brexit und Datenschutz gewarnt. Das war allerdings noch vor dem finalen Austritt Großbritanniens aus der EU. Seit dem 1. Februar 2020 ist das Vereinigte Königreich bekanntlich aus der Europäischen Union ausgeschieden, weswegen zum aktuellen Zeitpunkt sämtliche Gesetze der EU im Vereinigten Königreich nur aufgrund einer Übergangsphase gelten. Diese wird jedoch am 31.12.2020 ablaufen. Sollte bis zum diesem Zeitpunkt kein Vertrag zwischen der Europäischen Union und dem Vereinigten Königreich abgeschlossen werden, würde das Land am 1. Januar 2021 im Sinne vieler Gesetzes und Abkommen als Drittland betrachtet werden.
Und dies betrifft natürlich auch das Datenschutzrecht.
Beachtet man nun, wie die das Vereinigte Königreich gerade vertragsbrüchig gegenüber der EU wird, ist es nicht unwahrscheinlich, dass am 1. Januar 2021 kein Abkommen vorhanden ist.
Daher gilt dann ab dem 01. Januar 2021, dass eine Übermittlung von persönlichen Daten in die UK ohne Verstoß gegen europäische und deutsche Datenschutzregelungen kaum mehr möglich sein wird. Für den Datenaustausch zwischen deutschen und britischen Unternehmen hat dies ab diesem Zeitpunkt verschärfte Regeln zur Folge, sofern die EU-Kommission das Vereinigte Königreich bis dahin nicht als sicheres Drittland klassifiziert. Derartige Beschlüsse existieren zwar z. B. für die Schweiz oder Japan. Für einen weiteren Beschluss müsste gewährleistet sein, dass das bisherige Datenschutzniveau weiterhin eingehalten werden kann. Angesichts der Aussagen der britischen Regierung, man wolle eigene und unabhängige Datenschutzregeln etablieren, scheint ein EU-Beschluss allerdings mindestens sehr fraglich.
Britische Unternehmen sind daher ab dem 1. Januar 2021 nicht mehr verpflichtet, die aktuell bindenden Datenschutzvorgaben der DSGVO einzuhalten, was ebenso bedeutet, dass Verträge mit britischen Dienstleister auf den Prüfstand gestellt werden müssten.
Besondern problematisch sind neben Clouddiensten natürlich auch Anbieter von Paymentdienstleistungen. Kommt es zu keiner Einigung zwischen der EU und dem Vereinigten Königreich, wäre die Übermittlung von Bezahldaten an Anbieter in Großbritannien unzulässig. Ob dies im Rahmen der Standardvertragsklauseln doch noch möglich ist, ist angesichts der gerade gefällten Äußerungen der britischen Regierung, das Datenschutzniveau absenken zu wollen, kaum abschließend zu beantworten.
Das gilt vor allem auch, da es im Zweifel für als Anbieter schwer sein könnte, die Betroffenenrechte der eigenen Nutzer bzw. Käufer zu garantieren, ohne dass klar ist, wie in einer Situation ohne Einigung und ohne kodifizierte Handelsbeziehungen Vertragsansprüche durchgesetzt werden könnten. Anbieter machen sich damit im Zweifel massiv angreifbar und könnten sich großen Schadensersatzansprüchen von Betroffenen ausgesetzt sehen, wenn Betroffenenrechte nicht erfüllt werden können, weil die bisherigen Partner ihren Pflichten nicht nachkommen.
Die nach Art. 46 der DSGVO erforderlichen Garantien von Auftragsdatenverarbeitern dürften Partner, selbst wenn diese schriftlich niederlegt sind, angesichts der Rechtsunsicherheit, wohl faktisch als auch rechtlich kaum wirksam abgeben können.
Aktuell kann kaum jemand seriös beurteilen, ob es noch zu einer Einigung kommt und wenn, ob eine solche Einigung auch Regelungen zum Umgang mit Datenschutz beinhaltet, oder ob gewisse Themen eventuell für einige weitere Monate ausgeblendet werden, um eine grundlegende Vereinbarung zu erreichen.
Da die Probleme nicht nur für neue Übermittlungen sondern auch für Archivdaten gelten, sollte sich mit dem Problem rechtzeitig auseinandergesetzt werden, um zum Jahresende nicht in juristische und technische Probleme zu geraten.
