Mit dem Brexit, der für den 30. März 2019 geplant ist, ändert sich die Gesetzeslage in Großbritannien und Nordirland grundlegend. Die Gesetze, Verordnungen und Richtlinien der EU gelten nach aktuellem Stand ab diesem Zeitpunkt nicht mehr für Großbritannien und Nordirland. Dies gilt auch für die entsprechenden Datenschutzrechte, insbesondere für die ab Mai anwendbare EU-Datenschutz-Grundverordnung (DS-GVO), was weitreichende Folgen für die Übermittlung von Daten nach Großbritannien mit sich bringt.
Privilegierte Datenübermittlung innerhalb der EU
Nach der DS-GVO sind Datenübermittlungen in Staaten, die entweder der EU angehören oder zu den Staaten des Europäischen Wirtschaftsraumes (EWR) zählen, privilegiert. Eine Übermittlung von personenbezogenen Daten in diese Staaten ist ohne gesonderte Rechtfertigung zulässig.
Definition: „Personenbezogene Daten“
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.
Dies umfasst z.B. den Namen, die Kennnummer, Standortdaten, eine Online-Kennung, die IP-Adresse, die E-Mail-Adresse oder besondere Merkmale einer Person, über die eine Person identifiziert werden kann.
Erschwerte Datenübermittlung in Drittstaaten
Anders sieht dies bei den Staaten aus, die weder der EU angehören noch zu den Staaten des EWR zählen, sog. „Drittstaaten“. Die Übermittlung von personenbezogenen Daten in einen Drittstaat bedarf einer gesonderten Rechtfertigung.
Vereinigtes Königsreich als Drittstaat
Wie die Europäische Kommission in ihrer Mitteilung vom 09. Januar 2018 verkündet, gilt das Vereinigte Königreich nach dem Brexit als „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO). Großbritannien und Nordirland sind datenschutzrechtlich ab diesem Zeitpunkt so zu behandeln wie die USA, Russland oder China.
Datenübermittlung in ein Drittland
Die Übermittlung von personenbezogenen Daten kann z.B. auf Basis einer der folgenden Maßnahmen erfolgen:
- Angemessenheitsbeschluss
Ein Angemessenheitsbeschluss liegt vor, wenn die Europäische Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland ein angemessenes Schutzniveau bieten. Ein solches liegt z.B. hinsichtlich der Datenübermittlung in die USA mit dem sog. „EU-US Privacy Shield“ Abkommen vor.
- Geeignete Garantie
Eine Datenübermittlung in einen Drittstaat kann auch erfolgen, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und dem Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Dies kann z.B. durch verbindliche Unternehmensregeln, sog. „Binding corporate Rules“, in denen sich das jeweilige Unternehmen verpflichtet, ein angemessenes Schutzniveau einzuhalten, oder durch die sog. „EU-Standardvertragsklauseln“ erfolgen.
- Codes of Conduct und und genehmigte Zertifizierungsmechanismen
Im Rahmen der DSGVO wurden zudem genehmigte Verhaltensregeln, sog. „Codes of Conduct“ und genehmigte Zertifizierungsmechanismen, als mögliche Grundlagen einer Datenübermittlung in einen Drittstaat eingeführt. Diese setzen jeweils eine vorherige Genehmigung durch die zuständige Behörde voraus.
Kein Angemessenheitsbeschluss in Sicht
Zum jetzigen Zeitpunkt gibt es keine Anerkennung des Datenschutzniveaus für Großbritannien. Die Mitteilung der Europäischen Kommission lässt derzeit auch nicht den Schluss zu, dass es noch zu einem entsprechenden Angemessenheitsbeschluss kommen wird.
Ausweichen auf EU-Standardvertragsklausel und Co.
Startups werden wohl zukünftig vorrangig auf EU-Standardvertragsklauseln, Codes of Conduct und Zertifizierungsmechanismen als Übermittlungsgrundlage zurückgreifen müssen. Eine andere Alternative ist, schlicht auf eine Datenübermittlung nach Großbritannien und Nordirland zu verzichten und auf Dienstleister innerhalb der EU zurückzugreifen. Startups, die langfristige Vertragsbeziehungen mit Partnern in Großbritannien anstreben, sollten bereits jetzt Partner wählen, die nach dem Brexit
Maßnahmen zur rechtskonformen Datenübertragung vorhalten. In jedem Fall müssen Startups, die Daten nach Großbritannien übermitteln, spätestens ab März 2019 entsprechende Maßnahmen ergreifen.
Du hast Interesse an detaillierten Informationen zu den Themen Brexit und Datenschutz?
Kontaktiere gerne unseren Expertin.
Das #StartupBriefing ist eine regelmäßige Publikation zu rechtlichen Themen, die vor allem für Gründer, Startups und junge Unternehmen relevant sind.
Mehr #StartupBriefings: hier klicken.