Kanzlei
brochure image
Startups
brochure image
Karriere
brochure image
Logo
SUCHEN
/
/
/
/
/
/
Foto
01. Februar 2018

Der Brexit und das Datenschutzrecht - Erschwerte Datenübermittlung ab März 2019

Von Bonny Kern (geb. Lengersdorf) im Bereich Datenschutzrecht

Mit dem Brexit, der für den 30. März 2019 geplant ist, ändert sich die Gesetzeslage in Großbritannien und Nordirland grundlegend. Die Gesetze, Verordnungen und Richtlinien der EU gelten nach aktuellem Stand ab diesem Zeitpunkt nicht mehr für Großbritannien und Nordirland. Dies gilt auch für die entsprechenden Datenschutzrechte, insbesondere für die ab Mai anwendbare EU-Datenschutz-Grundverordnung (DS-GVO), was weitreichende Folgen für die Übermittlung von Daten nach Großbritannien mit sich bringt.

Privilegierte Datenübermittlung innerhalb der EU

Nach der DS-GVO sind Datenübermittlungen in Staaten, die entweder der EU angehören oder zu den Staaten des Europäischen Wirtschaftsraumes (EWR) zählen, privilegiert. Eine Übermittlung von personenbezogenen Daten in diese Staaten ist ohne gesonderte Rechtfertigung zulässig.

Definition: „Personenbezogene Daten“

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.

Dies umfasst z.B. den Namen, die Kennnummer, Standortdaten, eine Online-Kennung, die IP-Adresse, die E-Mail-Adresse oder besondere Merkmale einer Person, über die eine Person identifiziert werden kann.

Erschwerte Datenübermittlung in Drittstaaten

Anders sieht dies bei den Staaten aus, die weder der EU angehören noch zu den Staaten des EWR zählen, sog. „Drittstaaten“. Die Übermittlung von personenbezogenen Daten in einen Drittstaat bedarf einer gesonderten Rechtfertigung.

Vereinigtes Königsreich als Drittstaat

Wie die Europäische Kommission in ihrer Mitteilung vom 09. Januar 2018 verkündet, gilt das Vereinigte Königreich nach dem Brexit als „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO). Großbritannien und Nordirland sind datenschutzrechtlich ab diesem Zeitpunkt so zu behandeln wie die USA, Russland oder China.

Datenübermittlung in ein Drittland

Die Übermittlung von personenbezogenen Daten kann z.B. auf Basis einer der folgenden Maßnahmen erfolgen:

  1. Angemessenheitsbeschluss

Ein Angemessenheitsbeschluss liegt vor, wenn die Europäische Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland ein angemessenes Schutzniveau bieten. Ein solches liegt z.B. hinsichtlich der Datenübermittlung in die USA mit dem sog. „EU-US Privacy Shield“ Abkommen vor.

  1. Geeignete Garantie

Eine Datenübermittlung in einen Drittstaat kann auch erfolgen, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und dem Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Dies kann z.B. durch verbindliche Unternehmensregeln, sog. „Binding corporate Rules“, in denen sich das jeweilige Unternehmen verpflichtet, ein angemessenes Schutzniveau einzuhalten, oder durch die sog. „EU-Standardvertragsklauseln“ erfolgen.

  1. Codes of Conduct und und genehmigte Zertifizierungsmechanismen

Im Rahmen der DSGVO wurden zudem genehmigte Verhaltensregeln, sog. „Codes of Conduct“ und genehmigte Zertifizierungsmechanismen, als mögliche Grundlagen einer Datenübermittlung in einen Drittstaat eingeführt. Diese setzen jeweils eine vorherige Genehmigung durch die zuständige Behörde voraus.

Kein Angemessenheitsbeschluss in Sicht

Zum jetzigen Zeitpunkt gibt es keine Anerkennung des Datenschutzniveaus für Großbritannien. Die Mitteilung der Europäischen Kommission lässt derzeit auch nicht den Schluss zu, dass es noch zu einem entsprechenden Angemessenheitsbeschluss kommen wird.

Ausweichen auf EU-Standardvertragsklausel und Co.

Startups werden wohl zukünftig vorrangig auf EU-Standardvertragsklauseln, Codes of Conduct und Zertifizierungsmechanismen als Übermittlungsgrundlage zurückgreifen müssen. Eine andere Alternative ist, schlicht auf eine Datenübermittlung nach Großbritannien und Nordirland zu verzichten und auf Dienstleister innerhalb der EU zurückzugreifen. Startups, die langfristige Vertragsbeziehungen mit Partnern in Großbritannien anstreben, sollten bereits jetzt Partner wählen, die nach dem Brexit
Maßnahmen zur rechtskonformen Datenübertragung vorhalten. In jedem Fall müssen Startups, die Daten nach Großbritannien übermitteln, spätestens ab März 2019 entsprechende Maßnahmen ergreifen.

Du hast Interesse an detaillierten Informationen zu den Themen Brexit und Datenschutz?

Kontaktiere gerne unseren Expertin.

Das #StartupBriefing ist eine regelmäßige Publikation zu rechtlichen Themen, die vor allem für Gründer, Startups und junge Unternehmen relevant sind.

Mehr #StartupBriefings: hier klicken.