Datenübermittlung nach GB und Nordirland Der Datenschutz nach Brexit und Übergangsfrist

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland sollen für eine Übergangsperiode nicht als Übermittlungen in ein Drittland angesehen werden. Für die Zeit nach der Übergangsfrist müssen allerdings Lösungen gefunden werden, nicht nur von der EU-Kommission.

Unternehmen dürfen jetzt nicht einfach abwarten, wenn Sie auch in Zukunft die Datenübermittlung nach GB und Nordirland auf Basis einer gültigen Rechtsgrundlage durchführen wollen.
Unternehmen dürfen jetzt nicht einfach abwarten, wenn Sie auch in Zukunft die Datenübermittlung nach GB und Nordirland auf Basis einer gültigen Rechtsgrundlage durchführen wollen.
(Bild: gemeinfrei / Pixabay )

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wies Ende Dezember 2020 die Unternehmen, Behörden und anderen Institutionen in Deutschland darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich Großbritannien und Nordirland und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt.

Zuvor hatten die Datenschützer mehrfach davor gewarnt, dass für den Fall eines ungeregelten Austritts („No-Deal-Brexit“) das Vereinigten Königreich Großbritannien und Nordirland zu einem Drittland im Sinne der DSGVO wird. Verantwortliche, die personenbezogene Daten an Partner im Vereinigten Königreich Großbritannien und Nordirland übermitteln wollen, müssten dann ihre Datenübermittlungen mit den besonderen Maßnahmen nach Kapitel V DSGVO absichern.

Die Unklarheit, ob es einen No-Deal-Brexit oder aber einen Brexit mit Abkommen geben wird, hatte zu einer großen Rechtsunsicherheit geführt. „Auf den letzten Drücker“ wurde dann klar: Der Entwurf des Brexit-Abkommens bietet eine viermonatige Übergangsfrist für Datentransfers ab dem 1. Januar 2021. Damit wird eine weitere Übergangszeit festgelegt, die auf sechs Monate verlängert werden kann.

Damit gibt es für den Datenschutz eine gewisse Atempause, aber keine dauerhafte Lösung.

Empfehlung der Datenschützer: Unternehmen sollten sich vorbereiten

Aus Sicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, sollten sich Unternehmen nun vorbereiten. „Kurz vor der Ziellinie des Brexit hat es geklappt, auch die Datenübermittlungen in das Vereinigte Königreich zu erhalten. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden“, so Kugelmann.

Allerdings: „Aber den Unternehmen sollte nicht die Puste ausgehen. Es gilt, sich auf ein Ende der Übergangszeit vorzubereiten, um Geschäftsprozesse gegebenenfalls anzupassen“. Prof. Kugelmann nannte auch die Gründe, warum man nun als Unternehmen nicht nur passiv abwarten sollte: „Die EU-Kommission steht jetzt in der Pflicht, zeitnah tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen. Auch wenn man auf eine solche Angemessenheits­entscheidung der Kommission hoffen kann, darauf verlassen sollte man sich nicht.“

Das bedeutet: Die EU-Kommission arbeitet nun in der Übergangszeit von längstens sechs Monaten (gerechnet ab 1. Januar 2021) an einem Angemessenheitsbeschluss, der die Bedingungen beschreibt und vereinbart, unter denen das Datenschutzniveau in den Zielländern England, Schottland, Wales und Nordirland als angemessen und dem in der EU gleichwertig angesehen werden kann.

Kommt dieses Vorhaben während der Übergangszeit zu einem positiven Ergebnis, dann gäbe es eine Rechtsgrundlage für die weiteren Übermittlungen personenbezogener Daten in die genannten Länder. Gelingt es aber nicht, müssen Unternehmen andere Datenschutzinstrumente finden und einsetzen. Andernfalls wären die Datenübermittlungen nicht mehr zulässig.

Ganz einfach wird es aber nicht, den Angemessenheitsbeschluss zu erzielen, denn „die EU-Kommission ist in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden“, wie Andreas Schurig, Sächsischer Datenschutzbeauftragter, klarstellt.

Welche Vorbereitungen nun anstehen

Wenn man sich als Unternehmen nicht darauf verlässt, dass es mit dem Angemessenheitsbeschluss rechtzeitig klappt, sollte man sich nun überlegen, welche Alternativen genutzt werden könnten, um in Zukunft die Datenübermittlung nach GB und Nordirland auf einer gültigen Rechtsgrundlage durchführen zu können.

Dazu sollten Unternehmen feststellen, welche Verarbeitungen eine Übermittlung personenbezogener Daten nach GB und Nordirland mit sich bringen, dann das geeignete, alternative Datentransfer-Instrument für die jeweilige Situation festlegen, im Fall des Falles (also kein Angemessenheitsbeschluss) das gewählte Datentransfer-Instrument umsetzen, dies in der internen Dokumentation vermerken und auch die Datenschutzerklärung zur Information der betroffenen Personen entsprechend aktualisieren.

Das sind offensichtlich einige Aufgaben, die anstehen, wenn es keinen Angemessenheitsbeschluss gibt. Insbesondere sollte geklärt sein, was als Datenschutz-Instrument denn genutzt werden kann. Verantwortliche, die personenbezogene Daten ohne die nach Kapitel V DSGVO notwendigen Sicherheiten in das Drittland übermitteln, handeln dann rechtswidrig. Die Aufsichtsbehörden könnten dann Datenübermittlungen per Anordnung aussetzen und Geldbußen verhängen.

Datentransfer-Instrumente rechtzeitig prüfen

Ohne Angemessenheitsentscheidung müssen mit dem Ende der Übergangszeit Datentransfers mit einem der Transferinstrumente des fünften Kapitels der DSGVO abgesichert werden, z.B. den Standarddatenschutzklauseln der EU-Kommission, Binding Corporate Rules oder genehmigte Verhaltensregeln (die jedoch erst einmal erstellt und der zuständigen Aufsichtsbehörde vorgelegt werden müssten).

Dies erinnert nicht von ungefähr an die Frage, was nach dem Ende des Privacy Shield getan werden muss, denn Privacy Shield war ein inzwischen ungültiger Angemessenheitsbeschluss der Europäischen Kommission für die Datenübermittlungen in die USA.

In diesem Zusammenhang sagte der Bundesdatenschutzbeauftragte: „Für Datenübermittlungen in die USA, wenn nötig ggf. auch für Datenübermittlungen in weitere Drittländer, ist mit zusätzlichen Maßnahmen sicherzustellen, dass die personenbezogenen Daten auch im jeweiligen Drittland stets angemessen geschützt sind. Auch eine vorbeugende Prüfung der Übermittlung nach Großbritannien mit Blick auf den sog. „Brexit“ wird bereits zum jetzigen Zeitpunkt empfohlen.“

Somit sollten Unternehmen nicht nur überlegen, ob sie bei Ausbleiben eines Angemessenheitsbeschluss für GB und Nordirland zum Beispiel die zur Zeit in Überarbeitung befindlichen Standardvertragsklauseln der EU-Kommission nutzen, sondern sie sollten auch damit rechnen, dass ergänzende Schutzmaßnahmen notwendig werden könnten, um ein angemessenes Datenschutzniveau zu erreichen. Dies sagt der Europäische Datenschutzausschuss (EDSA) ausdrücklich.

Das Ende des Privacy Shield ist also nicht der einzige Grund, sich mit den ergänzenden Schutzmaßnahmen zur Erreichung eines angemessenen Datenschutzniveaus zu befassen, darunter zum Beispiel die Maßnahme, Verschlüsselung einzusetzen, bei der nur der Datenexporteur den Schlüssel hat und die auch von Nachrichtendiensten nicht gebrochen werden kann. Wie realistisch eine solche Maßnahme ist, sollte man sich aber genau überlegen, bevor man seine Datenübermittlungen so ergänzend absichern möchte.

(ID:47266781)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research