DSGVO-Probleme bei hartem Brexit

Kommt es am 30. März zu einem harten Brexit, droht Unternehmen und Behörden, die Daten mit dem vereinigten Königreich austauschen wollen, ein Datenchaos.

In Pocket speichern vorlesen Druckansicht 68 Kommentare lesen
DSGVO-Probleme bei hartem Brexit
Lesezeit: 6 Min.
Von
  • Christiane Schulzki-Haddouti
Inhaltsverzeichnis

Das Austrittsabkommen zwischen der EU und Großbritannien wurde gestern vom britischen Parlament abgelehnt. Ein Brexit ohne Abkommen bedeutet aber, dass Großbritannien ab 0 Uhr MEZ am 30. März aus europäischer Perspektive als Drittland behandelt werden muss. Einen Notfallplan für den Datentransfer gibt es nicht.

Möglicherweise einigt sich die Regierung mit dem Parlament noch auf eine kurzfristige Verschiebung des Austrittstermins. Doch angesichts der knappen Stimmverhältnisse ist das eine vage Hoffnung – und sie verlagert das Problem nur.

Der IT-Branchenverband Bitkom fürchtet ein „Datenchaos“: Ohne Übergangsregelung werden Datentransfers nach Großbritannien bedeutend komplexer oder teurer. Dann gibt es nämlich „keine Übergangszeit, in der die Behörden Übermittlungen ohne entsprechende Schutzvorkehrungen tolerieren“, stellte Bundesdatenschützer Jürgen H. Müller klar. Es gibt weder seitens Großbritanniens oder der Europäischen Union Anläufe, ein Übergangsregime auszuhandeln.

Der Ausschuss der europäischen Datenschutzbehörden empfiehlt betroffenen Unternehmen und Behörden fünf Schritte: Zunächst sollen sie feststellen, wie sie ihre an UK übermittelten personenbezogenen Daten verarbeiten. Zweitens sollen sie ein geeignetes Transferinstrument festlegen und es drittens zum 30. März 2019 umsetzen. Die geplanten Übermittlungen sollen viertens dokumentiert werden. Fünftens sollen sie nicht vergessen, die zugehörigen Datenschutzerklärungen für die betroffenen Personen zu aktualisieren.

Unternehmen und Behörden müssen bei einem Hard Brexit also alle Datentransfers selbst rechtlich klären. Zu den Transferinstrumenten gehören etwa die Standarddatenschutzklauseln (SDSK) sowie Ad-hoc-Klauseln der EU. Für die verschiedenen Anwendungsfälle kommen dabei drei Sets von SDSK infrage (2001/497/EG, 2004/915/EG sowie 2010/87/EU). Diese Klauseln müssen beispielsweise auch US-Unternehmen verwenden, die sich nicht unter den „EU US Privacy Shield“ begeben haben.

Die Klauseln dürfen im Wortlaut nicht verändert, aber in einen umfassenderen Vertrag aufgenommen werden. Falls sie dennoch geändert werden oder etwaige Zusatzvereinbarungen die Klauseln aushebeln, verlieren die SDSK ihre rechtliche Legitimation. Sie gelten dann als Ad-hoc-Vertragsklauseln, die von den nationalen Aufsichtsbehörden genehmigt werden müssen.

Firmen müssen also ihre Gegebenheiten an die SDSK anpassen. Solche Umstellungen seien jedoch „enorm aufwendig“ und in der kurzen Zeit vor allem für kleine und mittlere Unternehmen kaum zu schaffen, warnt der Bitkom. Fraglich ist zudem, ob die personell unterbesetzten Aufsichtsbehörden, die seit Einführung der DSGVO am Rande ihrer Leistungsfähigkeit arbeiten, überhaupt fristgerecht die notwendigen Genehmigungen erteilen können.

Multinationale Konzerne wie Vodafone, Deutsche Post oder Deutsche Telekom, die sowohl in europäischen Mitgliedstaaten als auch in Großbritannien Standorte unterhalten, können aber auch sogenannte „Binding Corporate Rules“ (BCRs) zum internen Datenaustausch definieren. Wenn diese von der nationalen Aufsichtsbehörde genehmigt wurden und im Einklang mit der DSGVO stehen, sind sie in puncto konzerninternem Datenaustausch bei einem Brexit gewappnet. In der EU arbeitet man jedoch noch daran, die Kriterien der einzelnen Länder für solche Genehmigungen zu vereinheitlichen.

Mit der DSGVO wurden darüber hinaus branchenspezifische Verhaltenskodizes und Zertifizierungsmechanismen eingeführt. Diese können ebenfalls genügend Garantien bieten, wenn sich Firmen rechtsverbindlich verpflichten, diese zu befolgen. Leider haben sich die Aufsichtsbehörden aber noch immer nicht auf entsprechende Bedingungen und Verfahren festgelegt. Erst im März sollen die Kriterien in die öffentliche Konsultation gehen. Damit kommen sie für den Brexit zu spät.

Wer keine Standardklauseln übernehmen will oder kann und auch keine genehmigten Corporate Rules hat, kann laut Artikel 49 DSGVO eine Ausnahmeregelung beantragen. Diese gilt, wenn für einen Datentransfer eine „ausdrückliche Einwilligung des Betroffenen“ vorliegt oder eine Organisation ein „zwingend berechtigtes Interesse“ vorweisen kann. Damit können jedoch nur Einzelverträge abgeschlossen werden, die sich nur auf „gelegentliche und sich nicht wiederholende Verarbeitungen“ beziehen.

Für Banken und Versicherungen etwa, die regelmäßig Daten ihrer Kunden austauschen, ist eine solche Ausnahmeregelung deshalb keine Alternative. Sie werden wie viele andere Unternehmen auch angesichts der knappen Zeit auf die SDSK zurückgreifen müssen.

Viele kleinere Unternehmen haben jedoch keine großen juristischen Abteilungen und werden daher nur zeitverzögert reagieren können, warnt Marc Tenbieg vom Mittelstands-Bund DMB. In UK betriebene Websites werden übrigens so behandelt wie alle Drittstaaten-Websites auch: Bei Rechtsverstößen gilt die DSGVO, falls die Websites Nutzerdaten aus der EU verarbeiten.

Mittelfristig wird nur eine Angemessenheitsentscheidung der EU die Lage wieder entspannen können. Denn Datentransfers in Staaten außerhalb der Europäischen Union sind dann legal, wenn diese Staaten ein gleichwertiges Datenschutzniveau nachweisen können. Für verschiedene Staaten wie die USA, Kanada, Neuseeland und Japan gelten solche Beschlüsse der EU bereits. Allerdings waren dazu zähe Verhandlungen nötig. Die britische Datenschutzbeauftragte Elizabeth Denham rechnet daher nicht damit, dass es sofort nach dem Brexit einen Angemessenheitsbeschluss geben kann. Die Verhandlungen dazu werden jedenfalls erst nach einem etwaigen Hard Brexit aufgenommen.

Für die USA wurden die Angemessenheitsregeln etwa in der Vereinbarung zum „EU US Privacy Shield“ festgehalten. Ähnlich könnte nun die EU mit Großbritannien verfahren und einen „EU UK Privacy Shield“ aushandeln. Allerdings ist es absehbar, dass die Frage der Geheimdienstkontrolle ein wesentliches Verhandlungsthema sein wird.

Insbesondere Überwachungsprogramme müssten reformiert werden, glaubt beispielsweise Estelle Masse von der Bürgerrechtsorganisation Access Now. Die britische Regierung müsse Regelungen treffen, die die Wahrung der Grundrechte der europäischen Bürger gegenüber den Diensten sicherstellen. Denn Großbritannien muss sich fortan nicht mehr an die europäische Grundrechtecharta halten, was für Brexit-Befürworter ein wichtiges Argument war. Das britische Parlament lehnte bereits 2017 eine Beibehaltung der Charta ab. Erleichternd dürfte jedoch sein, dass Großbritannien die DSGVO in seinen Data Protection Act 2018 übernommen hat, womit sich Unternehmen und Behörden an deren Regeln halten müssen.

Dieser Beitrag erschien zuerst in c't 6/2019. (hag)