Auswirkungen eines “harten Brexit” auf den Transfer personenbezogener Daten zwischen der EU und Großbritannien.

Nach den fehlgeschlagenen Versuchen das Austrittsabkommen zwischen Großbritannien und der EU im britischen Unterhaus zu verabschieden und der Suche nach einem neuen Vorsitzenden der Konservativen Partei besteht die Möglichkeit, dass Großbritannien die EU zum 31. Oktober 2019 mit einem “harten Brexit” verlässt. Lesen Sie hier was britische und in der EU ansässige Unternehmen in Hinblick auf die Übermittlung personenbezogener Daten zwischen der EU und Großbritannien im Falle eines “harten Brexit” zu beachten haben.

Die Situation bezüglich eines Austritts Großbritanniens aus der EU bleibt unübersichtlich. Nach den gescheiterten Versuchen das Austrittsabkommen zwischen Großbritannien und der EU im britischen Unterhaus zu verabschieden, dem Rücktritt von Theresa May und der Suche nach einem neuen Vorsitzenden der Konservativen Partei besteht die Möglichkeit, dass ein künftiger Premierminister das Vereinigte Königreich am 31. Oktober 2019 zu einem “harten Brexit” führt. Darüber hinaus hat die EU-Kommission bislang keine Bereitschaft gezeigt, erneut Verhandlungen über das Austrittsabkommen aufzunehmen.

 

Auswirkungen für britische Unternehmen

Ein “harter Brexit” erfordert eine explizite Legitimation der Datenübermittlung. In Bezug auf die Übermittlung personenbezogener Daten zwischen der EU und Großbritannien müssen sich britische Unternehmen vorbereiten, wenn sie personenbezogene Daten von Betroffenen in der EU verarbeiten oder personenbezogene Daten aus dem EWR zur Verarbeitung im Auftrag erhalten. Im Falle eines “harten Brexits” ist Großbritannien als Drittland im Sinne der EU Datenschutz-Grundverordnung (DS-GVO) einzustufen und die im Austrittsabkommen verhandelten Übergangsfristen für den freien Verkehr personenbezogener Daten fänden keine Anwendung. Solange die EU-Kommission dem Vereinigten Königreich kein angemessenes Datenschutzniveau nach Art. 45 DS-GVO attestiert hat ist eine Übermittlung personenbezogener Daten aus der EU nach Großbritannien nur auf der Grundlage von Binding Corporate Rules, EU-Standardvertragsklauseln oder in beschränktem Maße unter bestimmten Ausnahmen nach Art. 49 DS-GVO möglich (z.B. Einverständnis des Betroffenen).

Wichtig: Britische Unternehmen sollten mit ihren europäischen Geschäftspartner rechtzeitig alternative Legitimationen für die Datenübermittlung vereinbaren (z.B. EU-Standardvertragsklauseln).

Nach Art. 3 Abs. 2 i.V.m. Art. 27 DS-GVO sind Unternehmen mit Sitz in Großbritannien (Verantwortliche und Auftragsverarbeiter gleichermaßen) aufgefordert einen Vertreter in der EU zu benennen, wenn personenbezogene Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder der Beobachtung von Verhalten Betroffener aus der EU verarbeitet werden, das britische Unternehmen jedoch keine Niederlassungen, Zweigniederlassungen oder sonstige Einrichtungen in der Union betreibt. Der Vertreter ist in einem der EU-Mitgliedstaaten zu benennen, in dem sich die von der Verarbeitung Betroffenen befinden. Er ist bevollmächtigt im Namen des Unternehmens und in Bezug auf die Einhaltung der DS-GVO als Anlaufstelle für Aufsichtsbehörden und Betroffene zu agieren.

Wichtig: Britische Unternehmen sollten die Bestellpflicht eines Vertretungsbevollmächtigten nach Art. 27 DS-GVO prüfen und sich bei Bedarf rechtzeitig um eine schriftlich Bestellung bemühen. Mehr zum Thema: EU-Vertreter

 

Auswirkungen für EU Unternehmen

In der EU ansässige Unternehmen, die Waren oder Dienstleistungen in Großbritannien anbieten und in diesem Zusammenhang personenbezogene Daten von Betroffenen in Großbritannien verarbeiten, haben künftig britisches Datenschutzrecht zu beachten. So beabsichtigt die britische Regierung die Regelungen der DS-GVO mit geringfügigen technischen Änderungen in das englische Rechtsystem zu übernehmen (UK-GDPR). Im Falle eines “harten Brexit” wären somit nach Art. 27 UK-GDPR auch alle EU Unternehmen zur Benennung eines Vertreters in Großbritannien verpflichtet, die personenbezogene Daten im britischen Markt verarbeiten, jedoch ohne lokale Niederlassung tätig sind. (Die britische Regierung, 2019) Im Falle einer Datenschutzverletzung mit Bezug zu Betroffenen in Großbritannien würde die UK-GDPR den EU-Verantwortlichen auch zur einer Meldung an das Information Commissioner Office (ICO) innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes verpflichten.

Wichtig: Unternehmen mit Sitz in der EU sollten ihre Prozesse, Geschäftspartner und Dienstleister überprüfen. Wer auf dem britischen Markt tätig ist sollte sich über datenschutzrechtliche Entwicklungen in Großbritannien auf dem Laufenden halten. Wenn personenbezogene Daten an britische Unternehmen übemittelt werden, müssen nach einem “harten Brexit” alternative Legitimationen für die Datenübertragung vorhanden sein.

Verantwortliche müssen ihre Informationen an Betroffene und Dokumentationen der Datenverarbeitung aktualisieren. Sofern personenbezogene Daten an britische Unternehmen übermittelt werden, so sind Betroffene nach Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung nach Großbritannien als Drittland zu informieren. Datenschutzerklärungen und Informationsblätter an Betroffene sind entsprechend zu ergänzen. Auch bei der Beantwortung von Betroffenenanfragen nach Art. 15 DS-GVO ist über die Datenübermittlung in Drittländer zu informieren. Die Tatsache solch einer Datenübermittlung ist zudem im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.

 

Für weitere Fragen zum Transfer personenbezogener Daten zwischen der EU und Großbritannien steht Ihnen das Team der OBSECOM GmbH gerne zur Verfügung. Sprechen Sie uns an!


Referenzen

The Information Commissioner (2018) “Data protection if there’s no Brexit deal”, Information Commissioner’s Office [online]. Verfügbar unter: https://ico.org.uk/for-organisations/data-protection-and-brexit/data-protection-if-there-s-no-brexit-deal/

Die britische Regierung (2019) “Amendments to UK data protection law in the event the UK leaves the EU without a deal”, Department for Digital, Culture, Media & Sport [online]. Verfügbar unter: https://www.gov.uk/government/publications/data-protection-law-eu-exit/amendments-to-uk-data-protection-law-in-the-event-the-uk-leaves-the-eu-without-a-deal-on-29-march-2019

Zurück