Bis Mitte Juni stehen nur noch zwei weitere Verhandlungsrunden zwischen Großbritannien und der Europäischen Kommission aus. Doch Fortschritte seien trotz des knappen Zeitplans bislang kaum zu sehen, stellte EU-Handelskommissar Phil Hogan Anfang Mai fest. Er glaubt, dass Großbritannien auf einen harten Brexit zusteuert und die Handelsgespräche mit Verweis auf die Coronavirus-Pandemie ergebnislos beendet.

Großbritannien plant „eigene und unabhängige Regeln“

Die Entwicklung war bereits Mitte März im Bereich des Datenschutzes abzusehen, als die britische Regierung ihre Vorschläge vorstellte. So forderte sie von der EU-Kommission ihre Datenschutzgesetze in einem Angemessenheitsbeschluss als gleichwertig anzuerkennen, obwohl sie sich das Recht vorbehält, eigene Regeln zu definieren. Derzeit basieren die britischen Datenschutzgesetze zwar auf der europäischen Datenschutz-Grundverordnung (DSGVO), doch der britische Premierminister Boris Johnson kündigte bereits an, diese abschaffen zu wollen. Großbritannien wolle eine „unabhängige Policy“ entwickeln, die sich an „hohen Datenschutzstandards“ orientieren soll.  Insbesondere die gesetzlichen Regelungen, die eine Massenüberwachung erlauben, will das Land beibehalten.

Großbritanniens Geheimdienste betreiben ähnlich wie ihre Partnerdienste in den USA Überwachungsprogramme, die den internationalen Datenverkehr weitgehend erfassen und in Kooperation mit europäischen Geheimdiensten, aber auch US-amerikanischen, kanadischen, australischen und neuseeländischen Geheimdiensten auswerten. Die britischen Überwachungsgesetze wurden daher bereits mehrfach von europäischen Gerichten als Verstoß gegen die Europäische Grundrechtecharta und gegen die europäischen Datenschutzgesetze bewertet. Der britische Investigatory Powers Act (IPA) wird aktuell von einer britischen Bürgerrechtsorganisation vor dem Gerichtshof der Europäischen Union wegen seiner Massenüberwachungsmaßnahmen angefochten.

Harter Brexit: Maßnahmen zur Absicherung der Datentransfers

Die Europäische Union muss Großbritannien nach Ablauf des Übergangszeitraums am 31. Dezember 2020 als Drittland im Sinne der DSGVO behandeln. Ein Datenaustausch wie bisher ist nur möglich, wenn die EU-Kommission einen Angemessenheitsbeschluss trifft, der anerkennen würde, dass der Datenschutzstandard in Großbritannien dem EU-Niveau entspricht. Bei einem harten Brexit ohne einen solchen Beschluss müssten Datentransfers mit besonderen Maßnahmen abgesichert werden, welche von der Datenschutzkonferenz von Bund und Ländern sowie dem Europäischen Datenschutzausschuss erläutert wurden. Folgende vier Transferinstrumente sind nach der DSGVO möglich:

  • Unternehmen können Transferinstrumente wie die von der EU-Kommission formulierten Standarddatenschutzklauseln anwenden. Diese werden allerdings derzeit vom Europäischen Gerichtshof überprüft und könnten in naher Zukunft eine Revision erfahren. Diese Datenschutzklauseln dürfen nicht abgeändert werden und müssen so unterzeichnet werden, wie sie von der EU-Kommission zur Verfügung gestellt wurden. Werden sie abgeändert, gelten sie als Ad-Hoc-Datenschutzklauseln, die von der zuständigen Aufsichtsbehörde genehmigt werden müssen. Voraussetzung ist eine Stellungnahme des Europäischen Datenschutzausschusses.
  • In Ausnahmefällen kann, ein „zwingend berechtigtes Interesse“ des Datenverarbeiters vorausgesetzt, über Einzelverträge die Einwilligung der Betroffenen eingeholt werden. Das bedeutet, dass sie sich auf Verarbeitungstätigkeiten beziehen, die nur gelegentlich erfolgen. Dazu hat der Europäische Datenschutzausschuss bereits Leitlinien nach Art. 49 DSGVO erarbeitet.
  • Unternehmen können für den unternehmensinternen Datenaustausch verbindliche Datenschutzvorschriften festlegen, die im Einklang mit der DSGVO stehen müssen. Diese internen Datenschutzvorschriften müssen von der zuständigen Aufsichtsbehörde genehmigt werden. Voraussetzung ist eine Stellungnahme des Europäischen Datenschutzausschusses.
  • Branchenbezogene Verhaltenskodizes oder Zertifizierungsmechanismen könnten auch Garantien bieten. Diese Instrumente wurden in der DSGVO neu geschaffen. Der Europäische Datenschutzausschuss erarbeitet dazu noch Leitlinien, weshalb dieses Transferinstrument jetzt noch nicht zur Verfügung steht.

Auf die Unternehmen kommt damit viel Arbeit zu, da sie alle Datentransfers mit personenbezogenen Daten selbst rechtlich klären und gegebenenfalls mit der zuständigen Datenschutzaufsicht klären müssen. Möglicherweise setzt Großbritannien darauf, nach US-Vorbild eine Art „Privacy Shield“ mit der EU-Kommission für britische Unternehmen vereinbaren zu können, die personenbezogene Daten von EU-Bürgern verarbeiten wollen. Aber auch dazu wurden noch keine Verhandlungen eingeleitet. Angesichts des knappen Zeitplans können sich Unternehmen nicht darauf verlassen, dass es noch in letzter Minute zu einem derartigen digitalen Rettungsschirm kommt.


Informationssicherheit


This could also be of interest:

Datenschutz im Brexit Chaos: Das müssen Unternehmen jetzt beachten

Wird das Vereinigte Königreich zum Drittland? Nun, es bleibt weiterhin spannend. Nachdem die EU-Kommission Großbritannien nach dem ursprünglichen Austrittstermin am 29. März eine erste Verschiebung…

Zwei Jahre Privacy Shield – von den Märkten überholt

Seit 1. August 2016 ist das Privacy Shield Grundlage für den rechtmäßigen Datenaustausch zwischen EU und USA. Am 19. Dezember 2018 wurde das Abkommen nun zum zweiten…

Newsletter

Niederlassungen

Brainloop Aktiengesellschaft
Franziskanerstr. 14
81669 Munich
Germany
+49 89 444699 0