Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Bis zum 30.06.2021 gilt noch eine Übergangsfrist. Bis dahin gilt das Vereinigte Königreich datenschutzrechtlich noch als EU-Mitglied und muss als solches ein Datenschutzniveau gemäß Artikel 44 der europäischen Datenschutzgrundverordnung (DSGVO) einhalten. Doch ab Juli 2021 wird UK zum sogenannten Drittland werden. Dann gelten dort nur noch die britischen Datenschutzgesetze. Damit trotzdem Daten zwischen UK und EU übermittelt und gespeichert werden können, soll nun die entsprechende Rechtsgrundlage dafür geschafft werden – ein Angemessenheitsbeschluss. Die EU-Kommission hat dem VK bereits ein ausreichendes Datenschutzniveau attestiert. Wenn auch die Mitgliedstaaten zustimmen, kann der Beschluss angenommen werden. Für Unternehmen, die Daten mit Standorten im UK austauschen oder dort speichern, wäre das ein Grund zur Freude. Doch Datenschützer haben Bedenken, ob personenbezogene Daten auf der anderen Seite des Ärmelkanals wirklich sicher genug sind…
Nach Prüfung der britischen Datenschutzgesetze meint die EU-Kommission, die personenbezogenen Daten von EU-Bürgern seien im Vereinigten Königreich ausreichend geschützt. Die Voraussetzungen für einen sogenannten Angemessenheitsbeschluss aus Artikel 56 II der DSGVO seien erfüllt. Demnach wären keine zusätzlichen Anforderungen mehr nötig, um Daten zwischen UK und EU zu übermitteln. Für die Schweiz, Japan, Neuseeland und neun weitere Drittstaaten gibt es so einen Angemessenheitsbeschluss bereits.
Der UK-Beschluss wäre nach dem Ende der Übergangsphase im Juni erstmal vier Jahre lang gültig. Danach soll geprüft werden, ob das Datenschutzniveau im UK immer noch den EU-Standards entspricht. Aber auch innerhalb der vier Jahre behält die EU sich das Recht vor, den Datenschutz zu überwachen und Beschlüsse ggf. zu pausieren oder ganz aufzuheben, wenn sich etwas ändern sollte. Noch ist nämlich nicht klar, ob das VK seine Datenschutzgesetze erneuern wird oder sich weiterhin an der DSGVO orientiert.
Bevor die EU-Kommission den Entwurf abschließend annehmen kann, wird allerdings noch eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA) erwartet. Und auch die einzelnen Mitgliedstaaten müssen dem Entwurf erst noch zustimmen.
Sollten die Mitgliedstaaten dem zustimmen und die EU-Kommission den Angemessenheitsbeschluss endgültig für rechtskräftig erklären, würde das erstmal Klarheit und Rechtssicherheit schaffen. Das ist nicht nur für europäische Großkonzerne von Bedeutung. Auch mittelständische Unternehmen und junge Start-Ups sind nämlich häufig darauf angewiesen, Daten mit Standorten im UK auszutauschen. Für einige Dienstleistungen gibt es auch gar keine Alternativen in Europa. Laut Bitkom gehört das Vereinigte Königreich „zu den wichtigsten Standorten für die Verarbeitung von Daten, etwa in den Bereichen Logistik, Kundenbeziehungen und Mobilität, aber auch für Cloud-Services, Kunden- und Wartungsdienste“. Für sie und ihre Nutzer sollte ein Angemessenheitsbeschluss freudig aufgenommen werden. Denn dann gibt es keine weiteren Anforderungen, um gemäß DSGVO Daten zwischen UK und EU zu übermitteln.
Dazu meint der baden-württembergische Datenschutzbeauftragte Stefan Brink: „Die Datenschutzbehörden stehen sehr unter Druck, die Entscheidung zu Großbritannien mitzutragen, um Banken und Versicherungen das Geschäft nicht unverhältnismäßig schwer zu machen“. Und laut EU-Justizkommissar Dider Reynders sei auch für die gemeinsame Kriminialitätsbekämpfung ein Datenfluss wichtig.
Die Rechtssicherheit, die mit dem Angemessenheitsbeschluss kommen würde, ist zwar sehr zu begrüßen. Aber man sollte sich nicht zu früh freuen, denn wahrscheinlich wird sie nicht lange anhalten. So haben Datenschützer wie Max Schrems schon angekündigt, genau zu überprüfen, wie sicher Nutzerdaten beim Austausch zwischen EU und UK wirklich sind. Schrems hatte vor dem EuGH bereits die Datenabkommen zwischen der EU und den USA gekippt – zuerst Safe Harbor und zuletzt das Privacy Shield.
So könnten die Richter in Luxemburg auch den Datentransfer EU-UK per Angemessenheitsbeschluss für unrechtmäßig erklären. Denn: Ein 2016 eingeführtes UK-Gesetz erlaubt dem britischen Geheimdienst GCHQ tiefe Einblicke in personenbezogene Daten. Es ist unklar, ob die Daten von EU-Bürgern wirklich vor dem Zugriff durch den britischen Geheimdienst geschützt sind und ob sie mit anderen nationalen Sicherheitsbehörden geteilt werden. Das VK kooperiert im Rahmen der Five-Eyes-Allianz nämlich mit den USA, Kanada, Australien und Neuseeland. Brink äußerte sich dahingehend bereits kritisch: „Der britische GCHQ teilt seine Erkenntnisse sehr frei mit der amerikanischen NSA. Das Datenschutzniveau, das der EuGH festgelegt hat, würde so unterlaufen“.
Und selbst wenn die DSGVO faktisch weiterhin ihre Anwendung im UK findet, haben EU-Bürger durch den Brexit ja gar keine Möglichkeit mehr, sich an den EuGH zu wenden, wenn doch mal gegen diese Richtlinie verstoßen wird. Dass diese Klagemöglichkeit wegfällt, ist vielen Datenschützern ebenfalls ein Dorn im Auge.
Unternehmen, die Standorte im UK haben oder mit anderen Unternehmen im UK zusammenarbeiten, sollten sich angesichts möglicher kommender Neuerungen sehr genau mit dem Thema Datenschutz befassen. Verstößt man gegen Datenschutz- und entsprechende Compliance-Vorgaben, drohen nämlich hohe Strafzahlungen. Um sich selbst vor Bußgeldern zu bewahren (und natürlich auch um der Sache selbst willen; um personenbezogene Daten zu schützen), empfiehlt sich unbedingt ein professionelles Datenmanagement, mit dem die gesamte Infrastruktur aus Daten organisiert wird. Es sorgt dafür, dass alle Daten im Unternehmen zugeordnet werden, damit richtig mit ihnen umgegangen werden kann – inklusive automatischer Vorgänge und Risikoanalyse für jeden Einzelfall.
Dabei geht es darum, zu wissen, wo Informationen abgespeichert werden (bestenfalls in einem Rechenzentrum in der EU oder einem „angemessen“ Drittland), generell möglichst wenig personenbezogen Daten zu speichern, sie ganz besonders zu schützen und nach dem Verwendungszweck wieder zu löschen. Eine Datensoftware übernimmt diese Löschung zum richtigen Datum automatisch und kann zudem Daten schnell finden und zusammenfassen. Denn fragen EU-Bürger ein Unternehmen danach, muss ihnen laut DSGVO gesagt werden, welche ihrer Informationen man speichert. Die Software hilft außerdem dabei, alle Vorgänge zu überwachen. So kann es rechtzeitig erkannt werden, falls doch mal Daten verloren gehen und welche genau betroffen sind. Denn so ein Vorfall muss innerhalb von 72 Stunden den entsprechenden Datenschutzbehörden gemeldet werden.
EU-DSGVO wird durch die britische General Data Protection Regulation ersetzt
Brexit 2021: Sind Datenübermittlungen ins Vereinigte Königreich möglich?
Datenschutz ist ein laufender Prozess, der stetig neue Anpassung an sich verändernde Gesetzeslagen erfordert. Als Kanzlei für Datenschutzrecht beraten wir von SBS Legal Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes. Unser Team aus erfahrenen Anwälten sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren.
Kontaktieren Sie uns gern. Wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.