Lausen Logo
Der No-Deal-Brexit und die DSGVO: Wird UK zum „Drittland“?

Der No-Deal-Brexit und die DSGVO: Wird UK zum „Drittland“?

Autor
Frank Michael Höfinger
Frank Michael Höfinger Rechtsanwalt Profil ansehen

Blogeintrag teilen via

Der Europäische Datenschutzausschuss hat am 12. Februar 2019 eine „Information note on data transfers under the GDPR in the event of a no-deal Brexit“ veröffentlicht. Die Mitteilung zeigt auf, was für die Übermittlung personenbezogener Daten aus Mitgliedstaaten der künftigen EU-27 an Stellen im Vereinigten Königreich zu beachten ist, sollte der Austritt von Großbritannien und Nordirland aus der EU zum 30. März 2019 wirksam werden, ohne dass ein Austrittsabkommen den Übergang regelt.

Der gefürchtete No-Deal-Brexit hätte auch für das Datenschutzrecht gravierende Auswirkungen, denn das Vereinigte Königreich wäre mit einem Schlag ein „Drittland“ im Sinne der DSGVO.

Der Hintergrund

Bislang gibt es für das mit der EU verhandelte Austrittsabkommen keine Mehrheit in Westminster und auf erfolgreiche Nachverhandlungen besteht wenig Aussicht. Damit steigt die Wahrscheinlichkeit, dass das Vereinigte Königreich am 30. März 2019 abrupt den Binnenmarkt verlässt. Das hätte gravierende Auswirkungen auf viele Bereiche der Wirtschaft. Dazu gehört auch der Austausch von personenbezogenen Daten zwischen der künftigen EU-27 einerseits und dem Vereinigten Königreich andererseits.

Die Europäische Kommission hatte bereits in einer Mitteilung vom 9. Januar 2018 darauf aufmerksam gemacht, dass das Vereinigte Königreich nach dem Ausscheiden aus dem Binnenmarkt nicht mehr im räumlichen Geltungsbereich der DSGVO liegt, also zum „Drittland“ im Sinne der Art. 44 ff. DSGVO wird. In Drittländer dürfen personenbezogene Daten nur übermittelt werden, wenn entweder dort ein „angemessenes Schutzniveau“ für personenbezogene Daten besteht oder der Verantwortliche „geeignete Garantien“ vorgesehen hat.

Das angemessene Schutzniveau in einem Drittland wird von der Europäischen Kommission durch einen „Angemessenheitsbeschluss“ verbindlich festgestellt. Solche Angemessenheitsbeschlüsse gibt es beispielsweise für die Schweiz oder die USA (für Unternehmen, die nach dem „Privacy Shield Framework“ zertifiziert sind) und seit Kurzem auch für Japan. Für das Vereinigte Königreich gibt es keinen Angemessenheitsbeschluss, da es ja noch kein Drittland ist und daher bisher kein Anlass bestand, dass Schutzniveau auf seine Angemessenheit zu überpüfen.

Sollte der Ernstfall eines „No-Deal-Brexit“ eintreten, dürfte ein Transfer personenbezogener Daten in dieses Drittland daher vorerst nur auf der Grundlage „geeigneter Garantien“ gemäß Artikel 46 DSGVO stattfinden.

Was sind „geeignete Garantien“?

Artikel 46 DSGVO sieht Rechtsinstrumente unterschiedlicher Art als geeignete Garantien vor. Ihr Zweck ist, das im Drittland unzureichende gesetzliche Datenschutzniveau dadurch auszugleichen, dass sie den Personen, deren Daten verarbeitet werden „durchsetzbare Rechte und wirksame Rechtsbehelfe“ gewähren. Die geeignete Garantie kann insbesondere in einer vertraglichen Regelung zwischen dem Exporteur personenbezogener Daten im Geltungsbereich der DSGVO und dem Datenimporteur im Drittland bestehen.

Die einzige geeignete Garantie, die Unternehmen ohne vorherige Genehmigung durch eine Datenschutzbehörde zur Verfügung steht, sind die von der Europäischen Kommission erlassenen „Standarddatenschutzklauseln“ nach Artikel 46 Absatz 2 Buchstabe c DSGVO. Diese von der Europäischen Kommission veröffentlichten Dokumente sind Vertragsvorlagen, die zwischen einem Datenexporteur im Binnenmarkt und einem Datenimporteur im Drittland unverändert vereinbart werden müssen.

Solche Vorlagen gibt es sowohl für den Datentransfer zwischen zwei „Verantwortlichen“ (d. h. Unternehmen, die Daten für eigene Zwecke verarbeiten) als auch zwischen einem Verantwortlichen und einem „Auftragsverarbeiter“ (d. h. einem Dienstleister, der personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet).

Konsequenzen für die Praxis

Was ist also zu tun, um datenschutzrechtlich für den drohenden „No-Deal-Brexit“ gewappnet zu sein?

  • Unternehmen müssen sich fragen, ob sie regelmäßig personenbezogene Daten an Unternehmen in Großbritannien und Nordirland übermitteln ‒ zum Beispiel an Kunden oder Dienstleister.
  • Falls ja, ist zu prüfen, ob eine ‒ bislang ja nicht erforderliche ‒ geeignete Garantie bereits besteht.
  • Wenn das nicht der Fall ist, sollte man vorsorglich rechtzeitig vor dem 30. März 2019 mit dem Empfänger der Daten die Standarddatenschutzklauseln vereinbaren.
  • Die Übermittlung personenbezogener Daten in ein Drittland und die dafür vorgesehenen geeigneten Garantien müssen intern dokumentiert werden.
  • Die betroffenen Personen müssen gemäß Artikel 13 bzw. 14 DSGVO informiert werden: über die Tatsache, dass ihre Daten an ein Drittland ohne angemessenes Schutzniveau übermittelt werden; darüber, welche geeigneten Garantien vorgesehen sind; sowie über „die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind“. Datenschutzerklärungen müssen entsprechend ergänzt werden.

Auch wenn der No-Deal-Brexit nur ein Eventualfall ist – anders kann ein Unternehmen, das Daten mit britischen Unternehmen austauscht, nicht verhindern, dass dieser Austausch möglicherweise von einem Tag auf den anderen unzulässig wird.

Weitere Blogeinträge

Reeperbahnfestival – Panel „The State of the AI Dilemma – Protection vs. Music Licensing“

Reeperbahnfestival – Panel „The State of the AI Dilemma – Protection vs. Music Licensing“

Marco Erler, Fachanwalt für Urheber- und Medienrecht bei LAUSEN, diskutiert auf diesem Panel im Rahmen des Reeperbahn Festivals eines der drängendsten Themen der Musikindustrie: Wie gehen wir mit der Nutzung von Musik im Rahmen von KI um? Freitag, 19. September 2025 13:30 – 14:30 Uhr East Hotel / Amber / HH Im Panel „The State …

Mehr erfahren
Reeperbahn Festival: Das Legal Update 2025 – Was die Musikwirtschaft jetzt wissen muss

Reeperbahn Festival: Das Legal Update 2025 – Was die Musikwirtschaft jetzt wissen muss

Beim Legal Update 2025 gibt Dr. Kerstin Bäcker, Fachanwältin für Urheber- und Medienrecht bei LAUSEN, einen Überblick über die neuesten, relevanten rechtlichen Entwicklungen mit Schwerpunkt auf KI und deren Auswirkungen. Donnerstag, 18. September 2025, 10:30 – 11:30 Uhr East Hotel / Ginger / HH Im Fokus stehen: ▶️ Update zum Stand der wichtigsten Gerichtsverfahren gegen …

Mehr erfahren
Neuer Tarifvertrag zur betrieblichen Altersversorgung für Film- und Fernsehschaffende

Neuer Tarifvertrag zur betrieblichen Altersversorgung für Film- und Fernsehschaffende

Bereits bei der Einigung über den TV FFS wurde bekannt gegeben, dass es zusätzlich einen neuen Tarifvertrag für eine betriebliche Altersversorgung für Film- und Fernsehschaffende geben soll (siehe unseren Blogbeitrag hierzu). Dieser tritt nun zum 1. Juli 2025 in Kraft. Darauf haben sich die Produktionsallianz, ver.di und BFFS geeinigt. Die neuen Regelungen sollen eine branchenweit …

Mehr erfahren