Brexit: Firmen drohen Probleme bei Übertragung personenbezogener Daten

Wie genau ist noch nicht sicher, aber fest steht: Der Brexit wird die rechtlichen Bedingungen für den Transfer personenbezogener Daten zwischen Großbritannien und den EU-Ländern verändern. Innerhalb der EU konnten bislang Daten bedenkenlos ausgetauscht werden, selbst wenn die nationalen Regelungen voneinander abwichen. Dennoch galt das Datenschutzniveau der anderen Mitgliedsstaaten- und damit auch der etwas lockerer Standard in Großbritannien – ohne weitere Prüfungen als angemessen.

Mit Vollzug des Brexit wird Großbritannien jedoch zum sogenannten Drittland. Für die gilt datenschutzrechtlich aktuell § 4 b BDSG. Zukünftig greift dann Art. 44 ff. der europäischen Datenschutzgrundverordnung (DSGVO). Die schreibt vor, dass vor der Übermittlung von personenbezogenen Daten in ein Drittland sichergestellt werden muss, dass der Zielstaat ein “angemessenes Datenschutzniveau” gewährleistet.

“Ob ein Land ein angemessenes Datenschutzniveau hat oder nicht stellt die EU-Kommission fest. Wenn dem so ist, dann ist eine Übertragung in dieses Drittland ohne weitere Prüfungen verantwortlicher Stellen möglich”, erklärt Rechtsanwältin Katharina Küchler von der Rechtsabteilung des eco -Verband der Internetwirtschaft e. V.

Dieses Status strebt die britische Regierung nach Ansicht der Juristin offensichtlich an, wie mehrere Passagen in einschlägigen Dokumenten und Plänen nahelegen. Allerdings ist nicht sicher, ob die EU-Kommission den Abtrünnigen diesen Status auch gewährt. Ein Grund dafür könnte der Ende 2016 beschlossene, sogenannte Investigatory Powers Act sein. Es ist fraglich, ob der dem aktuellen und vor allem dem mit der EU-DSGVO im Mai 2018 endgültig neu definierten Datenschutzverständnis der EU entspricht.

Der Investigatory Powers Act sieht für den britischen Geheimdienst unter anderem umfangreiche Überwachungsrechte gegenüber Telekommunikationskonzernen und Internetanbietern vor. Küchler weiter: „Wenn die Angemessenheit für ein Land nicht generell festgestellt werden kann, dann müssen die verantwortlichen Stellen permanent die Zulässigkeit der Datenübermittlung prüfen und dafür sorgen, dass die von der Übermittlung betroffenen Personen Garantien für den Schutz ihrer Persönlichkeitsrechte erhalten.”

Die Datenübermittlung sei dann beispielsweise nur aufgrund von EU-Standardvertragsklauseln, Binding Corporate Rules oder ähnlichen Instrumenten möglich. Mit den USA wurde von der EU dazu das – vielfach kritisch gesehene und doch etwas wacklige – Abkommen Privacy Shield getroffen. Problematisch ebi so einem Abkommen ist – wie viele Unternehmen aus Erfahrungen mit dem Vorgänger Safe Harbor wissen – dass es auch relativ kurzfristig geändert werden kann.

Laut Küchler müssen sich mit dem Problem der Datenübermittlung alle Unternehmen beschäftigen, die im Rahmen geschäftlicher Beziehungen Daten nach Großbritannien übermitteln wollen oder über Standorte in einem EU-Land und Großbritannien verfügen. Ausnahmen im Sinne eines Konzernprivilegs gebe es weder beim Bundesdatenschutzgesetz noch werde es die bei der DSGVO geben.

Datenschutzbeauftragte in diesen Unternehmen sollten sich daher auf unterschiedliche Szenarien vorbereiten. Ausgangspunkt der Betrachtung sollte es sein, die aktuellen Datenflüsse zu überprüfen. Dabei könne auch ein externer Datenschutzbeauftragter helfen. Seinen Mitgliedsunternehmen greift der eco Verband hier unter die Arme, andere Firmen müssen sich nach Alternativen umsehen.