Schlagwort: Brexit

Droht zum Jahreswechsel der Datenschutz-Brexit?

22. Oktober 2020

Die Regierung des Vereinigten Königreichs gerät zunehmend unter Druck, eine Regelung über den Datentransfer mit der EU zu erreichen. Gelingt dies nicht, droht das UK zum 31. Dezember dieses Jahres zum unsicheren Drittland zu werden. Verantwortliche und Auftragsverarbeiter, die Daten in das UK übermitteln, müssten dann selbst sicherstellen, dass das Schutzniveau der DSGVO für natürliche Personen nicht untergraben wird.

Am 31. Januar 2020 trat das Vereinigte Königreich aus der EU aus. Das Austrittsabkommen sieht eine Übergangsphase bis zum 31. Dezember 2020 vor, nach der das UK alle EU-Regeln einhält und damit auch die Vorgaben der DSGVO. Nach Ablauf der Übergangsphase wird das UK nach der DSGVO zum EU-Drittland. Datenübermittlungen in Drittländer sind nach den Art. 44 ff. DSGVO nur unter bestimmten weiteren Voraussetzungen zulässig. Für die Zulässigkeit kommt es darauf an, ob in dem Drittland ein angemessenes Schutzniveau sichergestellt werden kann.

Die EU-Kommission kann in sogenannten Angemessenheitsbeschlüssen feststellen, dass in einem Drittland ein angemessenes Schutzniveau besteht. Datenexporteure und Datenimporteure können sich bei Datenübermittlungen in das betreffende Land dann auf diesen Angemessenheitsbeschluss berufen. Aktuell führt die EU-Kommission eine Bewertung der Datenschutzrechtslandschaft des Vereinigten Königreichs durch und evaluiert, ob sie einen solchen Angemessenheitsbeschluss erlassen kann. Seit März werden dafür Gespräche geführt und Dokumente vorgelegt.

Am 13.10.2020 veröffentlichte das britische Oberhaus einen Bericht über die zukünftigen Beziehungen des Vereinigten Königreichs zur EU. Dem Bericht zu Folge sieht das Oberhaus die Gefahr, dass die EU-Kommission keinen Angemessenheitsbeschluss für das UK erlassen wird. Deswegen fordert es, dass die britische Regierung auf einen baldigen Abschuss der Bewertung der EU-Kommission drängt.

Grund zur Sorge besteht durchaus. Denn so äußerte Věra Jourová, Vizepräsidentin der EU-Kommission und Kommissarin für Werte und Transparenz, Zweifel, ob das Vereinigte Königreich Änderungen in seiner nationalen Gesetzgebung durchführen wird, die von der Linie der DSGVO abweichen.

Auch bereits existierenden Gesetze des UK könnten dem Angemessenheitsbeschluss entgegenstehen. Der EuGH entschied erst am 6. Oktober 2020 (auch) über Überwachungsgesetze des UK. Laut dem EuGH sind die in den Gesetzen vorgeschriebenen flächendeckenden und pauschalen Speicherungen von Internet- und Verbindungsdaten nicht zulässig. Ausnahmen seien nur möglich, wenn es um die Bekämpfung schwerer Kriminalität oder den konkreten Fall einer Bedrohung der nationalen Sicherheit gehe.

Kommt es nicht zum Erlass eines Angemessenheitsbeschlusses, müssen Verantwortliche und Auftragsverarbeiter, die Daten in dieses Drittland übermitteln wollen, selbst geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorsehen, damit Datenübermittlungen in das Drittland zulässig sind. Als geeignete Garantien kommen Binding Corporate Rules, die Verwendung von Standardvertragsklauseln der EU-Kommission (SCC), genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen und einzeln ausgehandelte Vertragsklauseln in Betracht.

In Bezug auf Standardvertragsklauseln bei Datentransfers in die USA hat der EuGH festgestellt, dass diese wegen der Überwachungsgesetze in den USA ohne weitere Maßnahmen nicht ausreichen, ein angemessenes Datenschutzniveau sicherzustellen. Eine ähnliche Situation könnte sich schlimmmstenfalls zum Jahreswechsel auch bei dem Vereinigten Königreich einstellen.

Google verlegt aufgrund der Unsicherheiten des Brexit die Verantworltichkeit für UK-Betroffenendaten in die USA

5. März 2020

Google verlegt die Verantwortlichkeit für ihre britischen Nutzerdaten von Irland in die USA. Damit unterstellt Google die Daten der Zuständigkeit der US-Regulierungsbehörden.

Dieser Wechsel könnte Auswirkungen auf den Umfang des rechtlichen Schutzes der britischen Nutzerdaten von Google haben. Denn im Gegensatz zu Irland, unterliegen die USA nicht den strengen Anforderungen der DSGVO.

Die Verlegung der Verantwortlichkeit erfolgt aufgrund des Ausstiegs Großbritanniens aus der Europäischen Union und den damit geschaffenen Unsicherheiten über die Zukunft der Datenschutzbestimmungen des Landes.

Am 24. Januar 2020 hat die EU das Austrittsabkommen mit Großbritannien unterzeichnet. Das Austrittsabkommen beinhaltet eine Übergangsfrist bis zum 31.12.2020. Während dieser Übergangsfrist wird Großbritannien weiterhin wie ein EU-Mitgliedsstaat behandelt. Die DSGVO findet dementsprechend weiter Anwendung.

Was nach der Übergangszeit wird, bleibt abzuwarten. Falls kein weiteres internationales Abkommen geschlossen wird, würde Großbritannien spätestens dann zu einem Drittland im Sinne der DSGVO werden. Möglich wäre aber auch der Erlass eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO durch die EU-Kommission.

Das Datenschutzrecht in Großbritannien wird durch das Datenschutzgesetz von 2018 (Data Protection Act) geregelt, dass die Umsetzung der DSGVO im Vereinigten Königreich darstellt.

Darüber hinaus plant die britische Regierung, laut britischer Datenschutzbehörde, mit dem Ende der Übergangsfrist, die DSGVO als „UK DSGVO“ in das britische Recht zu übernehmen.

Google selbst teilte mit, dass sich die Datenschutzstandards für britische Nutzer mit der Verlegung der Verantwortlichkeit nicht ändern sollen.

Datentransfer in Zeiten des „no-deal Brexit“

27. August 2019

Boris Johnson sieht scheinbar „realistische Chancen“ auf erneute Verhandlungen mit den übrigen europäischen Staaten. Über diese Aussage hinaus hat er jedoch – ausweislich von Medienberichten – keine Aussage dahingehend getroffen, wie dies realisierbar wäre. Diese und andere Aussagen des britischen Premiers erhärten die Annahme, es könne im Oktober zu einem so betitelten „no-deal Brexit“ kommen. Dieser Beitrag soll den Fokus noch einmal auf diejenigen Aspekte lenken, die Unternehmen in diesem Kontext zwingend berücksichtigen sollten. Weitere Informationen werden von der Datenschutzkonferenz angeboten (wenn auch noch für das ehemalige Austrittsdatum).

Datenschutzrechtliche Einordnung des Vereinigten Königreichs

Künftig würde es sich bei dem Vereinigten Königreich um einen Drittstaat im Sinne der Artikel 44 bis 49 DSGVO handeln. Insoweit bestünden grundsätzlich keine Unterschiede zu anderen Staaten außerhalb der Europäischen Union, wie zum Beispiel den USA.

Voraussetzung eines Datentransfers

Unabhängig vom Status des Empfängerlandes muss die Datenübermittlung dem Grunde nach zulässig sein. Jedwede Verarbeitung personenbezogener Daten bedarf auch in diesem Kontext einer Rechtsgrundlage.

Darüber hinaus muss der Transfer in das Drittland selbst zulässig ist. Dies ist einerseits der Fall, wenn die Europäische Kommission das Datenschutzniveau im Rahmen eines Angemessenheitsbeschlusses bestätigt (sicheres Drittland).

Existiert andererseits kein Angemessenheitsbeschluss, so muss das datenverarbeitende Unternehmen auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden (unsicheres Drittland). Dies kann je nach Sachverhalt durch Standarddatenschutzklauseln, Binding Corporate Rules, vertragliche Verpflichtung zur Einhaltung von allgemein gültigen Verhaltensregeln oder durch die Zertifizierung des Verarbeitungsvorgangs realisiert werden. Wird ein angemessenes Schutzniveau nicht erreicht, so kann unter anderem die Einwilligung des Betroffenen einen Datentransfer legitimieren.

Um potentielle Verstöße zu vermeiden sollte jeder Datentransfer allerdings unabhängig von diesen Ausführungen ausschließlich anhand der Umstände des Einzelfalls beurteilt werden.

Brexit: Tag(e) der Entscheidung(en)

12. März 2019

Kurz vor den entscheidenden Tagen zur Abstimmung über die Umstände und gegebenenfalls eine Verschiebung des Brexits hat sich Theresa May gestern Abend nochmals mit Jean-Claude Juncker in Straßburg getroffen. Dabei wurde sich, als Ergänzung zum vormaligen Brexit-Abkommen, auf „Klarstellungen und rechtliche Garantien“ zur Auffanglösung für Nordirland geeinigt.

Großbritannien soll hierbei die Möglichkeit erhalten, ein Schiedsgericht anzurufen, für den Fall, dass die EU über 2020 hinaus Großbritannien mittels Backstop-Klausel gewissermaßen an die Zollunion „ketten“ sollte. Dieses „rechtlich verbindliche Instrument“, wie es Juncker nennt, soll verdeutlichen, dass die Backstop-Klausel zur irischen Grenze nicht als Dauerlösung angesehen wird. Im Übrigen soll dies auch in einer gemeinsamen politischen Erklärung über die künftigen Beziehungen beider Seiten bekräftigt werden. Die Formulierung der ergänzenden Regelung ist juristisch jedoch schwammig und lässt Raum für Interpretation.

May ist dennoch zuversichtlich die Zustimmung des britischen Parlaments für das „neue“ Abkommen, über das heute Abend abgestimmt werden soll, zu erhalten. Jeremy Corbyn, der Chef der Labour Partei, hat unterdessen angekündigt und dazu aufgefordert auch gegen dieses Abkommen zu stimmen. Weitere Verhandlungen über Anpassungen der jetzigen Version des Austritts-Abkommens hat Juncker aber bereits abgelehnt, und betont dass es keine „Dritte Chance“ geben werde. Bis zum 23. Mai, wenn die EU-Wahlen beginnen, müsse das Königreich die EU verlassen haben.

Die Entscheidungen über das „wie“ und „wann“ des Brexits fallen jedenfalls in den nächsten Tagen, beginnend mit dem heutigen Abend gegen 20 Uhr MEZ. Sollte es heute keine Zustimmung zum Abkommen geben, wird morgen über einen „no-deal“ Brexit zum 29. März (ab 30. März wäre Großbritannien dann ein Drittland im Sinne der DSGVO) abgestimmt. Kann auch hier keine Zustimmung erzielt werden, so wird am 14. März über eine Verschiebung des Austritts abgestimmt. Im Rahmen einer Verschiebung könnte es dann zu einem neuen Referendum kommen und somit der erneuten Entscheidung über die Frage des „ob“ hinsichtlich des Brexits.

Brexit: Großbritannien als Drittland?

13. Februar 2019

Im Rahmen der siebten Tagung des Europäischen Datenschutzausschusses (EDSA) am 12. Februar 2019 wurden unter anderem die datenschutzrechtlichen Herausforderungen im Rahmen des Brexit diskutiert.

Im Fokus stand die Möglichkeit eines Austritts Großbritanniens ohne Abkommen mit der EU („No-Deal-Szenario“). Dies hätte zur Folge, dass Großbritannien im datenschutzrechtlichen Sinn ein Drittland darstellen würde (wir berichteten). Drittländer sind Staaten, die kein Mitglied der Europäischen Union und nicht Teil des Europäischen Wirtschaftsraumes (EWR) sind. An die Übermittlung personenbezogener Daten in Drittländer stellt die DSGVO besondere Anforderungen (Art. 44 bis 46 DSGVO). Der EDSA einigte sich auf ein Informationspapier, das Vorkehrungen für betroffene Unternehmen und Behörden erläutert um diese DSGVO-Anforderungen zu erfüllen. Laut Ankündigung wird das Informationspapier auf der Homepage des Ausschusses veröffentlicht.

Der Ausschuss ist ein unabhängiges Gremium, das zum Ziel hat eine einheitliche Anwendung Europäischer Datenschutzvorschriften zu fördern. Im Ausschuss sind alle nationalen Datenschutzaufsichtsbehörden des EWR und der Europäische Datenschutzbeauftragte vertreten.

Auswirkungen des Brexit auf den Datenschutz

17. Januar 2019

Nachdem der von Premierministerin Theresa May vorgelegte Entwurf eines Vertrags zur Regelung des Brexit am 15. Januar durch eine deutliche Mehrheit der Parlamentarier abgelehnt wurde, rückt das Szenario eines ungeordneten Austritts des Vereinigten Königreichs aus der Europäischen Union wieder in greifbare Nähe. Neben vielfältigen wirtschaftlichen und europarechtlichen Fragestellungen besitzt der Brexit auch eine konkret datenschutzrechtliche Komponente.

Mit dem für den 29.03.2019 angekündigten Austritt des Vereinigten Königreichs aus der Europäischen Union ist das Vereinigte Königreich ohne entsprechende Übergangsregeln ab diesem Zeitpunkt als Drittland im Sinne der DSGVO anzusehen. Dies bestätigte auch Prof. Dr. Dieter Kugelmann, Landesdatenschutzbeauftragter für Rheinland-Pfalz: „Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem „Drittland“ im Sinne der Datenschutzgrundverordnung wird“.

Da viele Unternehmen aktuell Kunden- oder Beschäftigtendaten in das Vereinigte Königreich übermitteln und dort ansässige Rechenzentren zu den eigenen Dienstleistern zählen, ergibt sich nach der Datenschutzgrundverordnung durch den Brexit Anpassungsbedarf. Unternehmen mit Vertragspartnern im Vereinigten Königreich müssen im Falle eines Datentransfers sicherstellen, dass es auch nach dem Brexit noch eine hinreichende Rechtsgrundlage für die entsprechenden Datenübermittlungen gibt. Weiterhin sind die Informationspflichten nach Artt. 13, 14 Datenschutzgrundverordnung bezüglich eines Datentransfers in ein Drittland zu ergänzen. Gleiches gilt für Datenschutzerklärungen im Internet. Im Falle eines Auskunftsersuchens einer betroffenen Person ist diese nach Art. 15 Datenschutzgrundverordnung auch über den Datentransfer in ein Drittland zu unterrichten. Darüber hinaus dürften bei Datenübermittlungen in das Vereinigte Königreich als Drittland vielfach die Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Datenschutzgrundverordnung anzupassen sein. Gegebenenfalls ist nach dem Brexit auch das Durchführen von Datenschutzfolgenabschätzungen notwendig.

Es empfiehlt sich, dass sich Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bereits jetzt auf entsprechende Anpassungen und Änderungen vorbereiten, um weiterhin eine rechtlich konforme Datenverarbeitung gewährleisten zu können. Da die Datenschutzgrundverordnung kein Konzernprivileg kennt, gelten die zuvor dargestellten Anmerkungen prinzipiell auch für Datenströme innerhalb einer Konzerngruppe.

Was sieht der Brexit-Deal im Hinblick auf Datenschutz vor?

16. November 2018

Nachdem sich die EU mit Großbritannien letztendlich auf einen Entwurfstext für ein Austrittsabkommen geeinigt haben, rückt der Austritt am 29. März 2019 immer näher. Demnach stellt sich die Frage wie sich der Datenschutz in Großbritannien gestalten wird.

EU und Großbritannien haben sich nun in 5 kurzen Artikeln verständigt, dass das europäische Datenschutzrecht während der Übergangsphase weiterhin im Wesentlichen gelten soll. In Artikel 71 (1) des Abkommens wird dabei zwischen den Daten, die bis zum Ablauf des Übereinkommens verarbeitet werden und solchen, die danach verarbeitet unterschieden. Bis zum Ende der Übergangsphase gilt weiterhin EU-Recht. In Artikel 71 (2) hat Großbritannien die Möglichkeit ein nationales Datenschutzgesetz zu beschließen und dafür einen Angemessenheitsbeschluss mit der EU auszuhandeln. Artikel 73 des Abkommens schreibt nieder, dass Daten aus Großbritannien wie Daten aus den Mitgliedsländern behandelt werden.

Spannend bleibt, ob dieses Übereinkommen überhaupt Wirkung entfalten wird, da das britische Parlament ein Strich durch diese Rechnung machen könnte.

Gesetzt den Fall es gäbe keinen Deal, würde es keinen Angemessenheitsbeschluss nach Art. 45 DSGVO geben. Großbritannien müsste demnach wie ein Drittland behandelt werden.

Vereinigtes Königreich ist ab 30.03.2019 ein Drittland

12. Januar 2018

Die Europäische Kommission verkündete in einer Mitteilung vom 09.01.2018, dass das Vereinigte Königreich ab dem 30.03.2019 (00:00 Uhr CET) – vorbehaltlich eines anderslautenden Datums in einem Austrittsabkommen – als „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO) einzustufen ist. Durch den „Brexit“ wird das Primär- und Sekundärrecht der Europäischen Union zu diesem Datum nicht mehr anwendbar sein. Großbritannien und Nordirland sind datenschutzrechtlich damit so zu behandeln wie die USA, Russland oder China.

Während die Einstufung als Drittland als Konsequenz des Ausstiegs des Vereinigten Königreichs aus der EU noch zu erwarten war, vermag die Aussage der Kommission jene Beobachter zu enttäuschen, die auf eine Anerkennung des Datenschutzniveaus im Vereinigten Königreich hofften. Immerhin gilt die DSGVO dort bis zum Austritt aus der EU. Eine automatische Anerkennung des Schutzniveaus gibt es jedoch nicht.

Was bedeutet es für die Praxis, wenn Daten nach dem Stichtag in das Vereinigte Königreich übermittelt werden sollen? Mangels Angemessenheitsbeschluss der Kommission sind die Instrumente des Art. 46 DSGVO anzuwenden. Verantwortliche und Autragsverarbeiter werden wohl vorrangig auf EU-Standardvertragsklauseln zurückgreifen. Weiter könnten genehmigte Verhaltensregeln („Code of Conduct“) und Zertifizierungsmechanismen als Übermittlungsgrundlage dienen.

Unternehmen in der EU sollten sich also frühzeitig um die rechtssichere Ausgestaltung ihrer Datentransfers in das Vereinigte Königreich bemühen.

Datenschutz-Grundverordnung in Großbritannien trotz Brexit?

8. August 2017

Auch aus datenschutzrechtlicher Sicht ist bereits viel diskutiert worden, welche Folgen der Ausstieg des Vereinigten Königreichs aus der EU haben wird. Die britische Regierung hat nun aber verlauten lassen, trotz oder gerade wegen der Austrittsverhandlungen eine Anpassung des UK-Datenschutzrechts an die neuen EU-Maßstäbe der Datenschutz-Grundverordnung vornehmen zu wollen. Hierzu wurde die Pressemitteilung „Government to strengthen UK data protection law“ veröffentlicht.

Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 unmittelbar und zwingend in jedem EU-Mitgliedsstaat, lässt durch sogenannte Öffnungsklauseln aber zum Teil Spielraum für national individuelle Gestaltung. Als erster Mitgliedsstaat hat Deutschland hiervon Gebrauch gemacht und ein neues Bundesdatenschutzgesetz konzipiert, das die bestehenden Spielräume für sich nutzt. Dieses Vorgehen plant nun auch die britische Regierung und will die Regelungen der Datenschutz-Grundverordnung in die Zeit nach der Durchführung des Brexit „retten“. Durch ein an die EU-Verordnung angepasstes Datenschutzrecht soll der ungehinderte Datenfluss zwischen Großbritannien und den kontinentaleuropäischen Staaten über den Brexit hinaus sichergestellt werden. Dass man durch ein neues Gesetz die Datenschutz-Grundverordnung in britisches Recht überführe, sei ein wichtiger Baustein für eine erfolgreiche Durchführung des Brexits, so die Pressemeldung.

Für die Zulässigkeit der Datenübermittlung an Stellen außerhalb der EU (sogenanntes „Drittland“) verlangt die Datenschutz-Grundverordnung in Art. 45 ein „angemessenes Schutzniveau“ in der betreffenden Region, welches von der Europäischen Kommission festgestellt werden kann. Hintergrund der geplanten Auferlegung der EU-Datenschutzregeln durch die britische Regierung dürfte daher sein, den Weg für einen entsprechenden Angemessenheitsbeschluss frühzeitig zu ebnen.

Großbritannien und der Datenschutz nach dem Brexit

10. April 2017

Das ‘Vereinigte Königreich Großbritannien und Nordirland` (Großbritannien) wird aus der EU austreten. Der sogenannte Brexit ist inzwischen beschlossene Sache und hat begonnen. Mit Ablauf der nächsten zwei Jahre wird der Brexit vollzogen sein.

Jetzt muss sich die Frage stellen, wie sich der Datenschutz nach dem Brexit entwickelt, denn vor allem für Datenübermittlungen in Nicht-EU-Länder gelten besonders strenge Regeln und zu diesen Nicht-EU-Ländern gehört dann auch Großbritannien.

Großbritannien kann schon immer als Pionier auf dem Gebiet des Datenschutzes bezeichnet werden und ist auch heute noch aktiv an der EU-Datenschutzrecht Gesetzgebung beteiligt. Die anstehende EU-Datenschutzgrundverordnung (DSGVO) spielt für Großbritannien jedoch keine Rolle mehr, weil sie zum Zeitpunkt des in Krafttretens, sofern der Brexit nach Plan läuft, nicht mehr in der EU sind, sodass Umsetzungsmaßnahmen in Bezug auf die DSGVO keinen Sinn machen. Allerdings ist zu beachten, dass der Regierung Großbritanniens daran gelegen sein muss, dass auch nach dem Brexit ein freier Datenfluss zwischen dem dann Nicht-EU-Land und den EU-Ländern gegeben sein muss. Deswegen ist davon auszugehen, dass sich das Datenschutzrecht nach dem Brexit dem der DSGVO anpassen wird, sodass keine Beeinträchtigungen bestehen. Ansonsten besteht die Möglichkeit das Firmen ihre Firmensitze in die EU verlegen, was zu einer Katastrophe für die Wirtschaft Großbritanniens führen kann.

1 2