Datenschutz: UK bald unsicheres Drittland?
Der Brexit wird Rechtsanwälte, Behörden und Gerichte wohl noch lange beschäftigen. Gerade erst habe ich in diesem Artikel auf die möglichen Probleme mit der Ltd. als Rechtsform hingewiesen. Ein vielleicht noch wesentlich relevanteres Problem könnte der Datenschutz sein.
Dieses Problem trifft besonders Mandanten von mir, die Anbieter in Großbritannien nutzen, beispielsweise um Werbung in Apps darzustellen, um Statistikinformationen aus Spielen zu erhalten oder auch um Paymentdienste anzubieten. Dies führt in aller Regel dazu, dass auch nach dem inzwischen immer wahrscheinlicher werdenden ungeordneten Brexit personenbezogene Daten nach Großbritannien übermittelt werden bzw. Anbieter aus US Zugriff auf die eigenen Daten gewährt werden. Dies könnte einige sehr relevante Middleware-Anbieter betreffen.
Dies ist jedoch nicht unproblematisch, denn nach der DSGVO sind alle Länder außerhalb der Europäischen Union bzw. außerhalb von assoziierten Ländern, als Drittländer zu betrachten. Das betrifft, nach einem ungeordneten Brexit, zumindest für eine Übergangszeit, dann auch das Vereinigte Königreich. Dies führt dazu, dass personenbezogene Daten nicht ohne Weiteres mehr nach UK übermittelt werden dürfen. Etwas anderes könnte nur geltend, wenn es, pünktlich zum Brexit einen sogenannten Angemessenheitsbeschluss der EU gibt, der UK zu einem sicheren Drittland erklärt. Ob dies geschehen wird, ist schwer abzusehen. Die EU dürften zunächst mit anderen Problemen beschäftigt sein. Ein solcher Beschluss ist übrigens, rein formell, auch nötig, obwohl das neue Datenschutzrecht aktuell natürlich auch in Großbritannien eingeführt wurde und dort, das möchte ich gar nicht bestreiten, ein durchaus angemessenes Datenschutzniveau existiert. Ob dies aber nach einem Brexit, der ja durchaus stattfindet, da man sich dort von einem strengen EU-Diktat emanzipieren möchte, auch weiterhin der Fall ist, bleibt abzuwarten.
Natürlich gibt es auch noch weitere mögliche Ausnahmen, wie einen gesonderten Vertrag mit dem Anbieter zu Einhaltung europäischen Datenschutzes (jedoch inklusive regelmäßiger Überprüfung!), oder die Erforderlichkeit, weil Leistungen in UK ausgeführt werden.
Nicht hingegen ausreichend ist die ausschließliche Information der Kunden oder Spieler im Rahmen einer Datenschutzerklärung, in der versteckt auf einen Datenschutztransfer hingewiesen wird. Ausreichend wäre lediglich eine klare Aufklärung und Hinweise im Rahmen beispielsweise einer Nutzeranmeldung, mit einer direkten Bestätigung durch den Kunden. Auch Altkunden müssten über das Problem informiert und erforderliche Einwilligungen nachgeholt werden.
Auch ich kann natürlich nicht in die Zukunft sehen und weiß daher nicht, was noch in den nächsten 2 Monaten passiert. Das Risiko ist aber gegeben und Datenschutzbehörden werden gerade sehr aktiv was Bußgelder angeht. Jeder sollte also seine Apps, Onlineshops und Drittanbieter genauestens überprüfen, Datenschutzerklärungen, AGB und Verträge gegenchecken und im Zweifel Vorkehrungen treffen. Besser jetzt, als kurz vor Schluss. Ein Gespräch mit mir oder einem Kollegen kann natürlich auch nicht schaden!
