25.11.2020

Die Zukunft der Wirtschaftsbeziehungen zwischen Deutschland und England im Hinblick auf den Datenschutz

Der Brexit wird Europa verändern – nicht nur den Handel mit Waren, sondern auch im Hinblick auf den Datenaustausch. Datenflüsse innerhalb der EU sind ohne weiteres möglich, in andere Länder (wozu zukünftig aus dem Blickwinkel des Datenschutzes auch UK zählen wird) aber nur unter bestimmten Voraussetzungen.

Die Bedeutung von Datenströmen ist enorm

Daten sind die Lebensader der wirtschaftlichen Entwicklung. So heißt es in der europäischen Datenstrategie 2020. Die EU geht davon aus, dass der Wert der Datenwirtschaft im Jahre 2025 allein in der EU 829 Milliarden Euro betragen wird. Soweit es um personenbezogene Daten geht, sind die Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) zu beachten. Diese geben innerhalb der EU ein hohes Schutzniveau für den Umgang mit Daten vor und werden insbesondere mit empfindlichen Bußgeldern durchgesetzt.

Der grenzüberschreitende Datenaustausch ist reglementiert

Die DSGVO möchte ihren Schutzstandard auch dann gelten lassen, wenn Daten ins Ausland übermittelt werden. Verantwortliche sollen ihren Pflichten nicht dadurch entgehen können, dass sie Daten ins Ausland verbringen. Deshalb regelt die DSGVO die Übermittlung an sog. Drittländer, also Länder außerhalb der EU. Maßgebliche Vorgabe ist, dass das Schutzniveau der DSGVO nicht untergraben wird. Dies ist in zwei Fällen anzunehmen, nämlich wenn ein Angemessenheitsbeschluss der Kommission für das betreffende Drittland vorliegt oder geeignete Garantien ein angemessenes Schutzniveau für die Datenverarbeitung gewährleisten.

Kein Angemessenheitsbeschluss der Kommission vor Ablauf der Übergangsfrist

Bei Vorliegen eines Angemessenheitsbeschlusses könnten personenbezogene Daten ohne weiteres nach UK übertragen werden. Momentan liegt ein solcher Beschluss jedoch nicht vor. Er war Teil der – bisher ergebnislos gebliebenen – Verhandlungen während der Übergangsphase. Es ist nicht auszuschließen, dass in Zukunft ein entsprechender Beschluss erlassen wird, vor Ablauf der Übergangsfrist ist aber voraussichtlich nicht damit zu rechnen.

Wer zukünftig Daten nach UK übertragen will, sollte sich auf geeignete Garantien stützen

Geeignete Garantien sind Instrumente des Datentransfers. Ihre Umsetzung ist – von bestimmten, eng umgrenzten Ausnahmen abgesehen – für den DSGVO-konformen Datenexport unabdingbar. Dazu zählen:

  • Standarddatenschutzklauseln: von der Kommission genehmigte Vertragsklauseln, die Datenimporteur und -exporteur in ihre Verträge aufnehmen
  • Verbindliche interne Datenschutzvorschriften: von der Kommission genehmigte interne Regelungen für Datenübertragungen innerhalb einer Unternehmensgruppe
  • Genehmigte Verhaltensregeln und Zertifizierungen:Maßnahmen, die ein aufwändiges Verfahren vor der Kommission erfordern und daher (bislang) keine praktische Bedeutung haben

Die geeigneten Garantien bedeuten für Unternehmer insbesondere organisatorische Pflichten wie beispielsweise die Änderung der Verträge mit ihren Partnern in UK. Damit ist es jedoch nicht getan; nach einem erst im Juli 2020 ergangenen Urteil des Europäischen Gerichtshofs (EuGH) bestehen weitere Verpflichtungen. Die Aufsichtsbehörden haben bereits angekündigt, dass deren Einhaltung einen zukünftigen Schwerpunkt ihrer Tätigkeit ausmachen wird. Danach müssen Datenexporteure vor jeder Datenübertragung zusätzlich prüfen, ob in dem Zielland ein angemessenes Schutzniveau besteht, gegebenenfalls müssen sie zusätzliche Maßnahmen ergreifen.

Die Bedeutung der aktuellen Rechtsprechung für Datenübertragungen nach UK

Unternehmer stehen damit vor der Herausforderung, neben der Umsetzung eines geeigneten Datentransfer-Instruments auch die Rechtslage in UK im Hinblick auf den Datenschutz prüfen zu müssen. In erster Linie sollten sie hierfür ihre Vertragspartner in UK ansprechen und Auskunft verlangen. Daneben dürfte auch relevant sein, dass UK die Regelungen der DSGVO in nationales Recht inkorporiert hat. Sie gilt damit zwar nicht unmittelbar fort, entfaltet aber gleichwohl weiterhin Wirkung, wobei der britische Gesetzgeber die Regelungen jederzeit abändern kann. Weiterhin ist auch zu berücksichtigen, ob und in welchem Umfang staatliche Behörden Zugriff auf Daten haben; die in den USA bestehenden Befugnisse waren Anlass der EuGH-Entscheidung.

Was deutsche Unternehmer jetzt tun sollten

Unternehmer sollten sich auf die kommende Rechtslage einstellen. Spätestens zu Beginn des neuen Jahres könnten Bußgelder drohen. Die Aufsichtsbehörden empfehlen fünf Schritte, um dem zu entgehen:

  1. Datenübermittlungen nach UK identifizieren
  2. Datentransfer-Instrument für die jeweilige Situation festlegen
  3. Datentransfer-Instrument umsetzen:
    • Prüfung des Datenschutzniveaus,
    • ggf. zusätzliche Maßnahmen treffen,
    • ggf. formale Verfahrensschritte, Vertragsänderungen etc.
  4. Dokumentation, Verarbeitungsverzeichnis und Datenschutzfolgenabschätzung aktualisieren
  5. Datenschutzerklärung zur Information der betroffenen Personen anpassen.
Ausblick

Die Umsetzung der DSGVO-Compliance bringt für deutsche und britische Unternehmen erheblichen Anpassungsbedarf mit sich. Die damit einhergehenden Kosten werden auf ca. 1,8 Milliarden Euro geschätzt. Britische Unternehmen, die Daten nach Deutschland übertragen wollen, müssen vorerst keine weiteren Schritte im Hinblick auf den Brexit unternehmen; sie stehen aber vor der Rechtsunsicherheit zukünftiger Gesetzesänderungen. Im Hinblick auf die Bedeutung deutsch-britischer Wirtschaftsbeziehungen wäre ein Angemessenheitsbeschluss zu begrüßen.

Autor/in
Dr. Michael Rath

Dr. Michael Rath
Partner
Köln
michael.rath@luther-lawfirm.com
+49 221 9937 25795