Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 51 | 17.01.2019


Ablehnung des Brexit-Abkommens: Was müssen Unternehmen jetzt beachten?
Dr. Philip Kempermann, LL.M.


Das zwischen der Europäischen Union und dem Vereinigten Königreich ausgehandelte Brexit-Abkommen sah vor, dass für die Zeit der Übergangsphase des Vereinigten Königreichs datenschutzrechtlich so behandelt worden wäre wie die Länder des europäischen Wirtschaftsraums. Das hätte einen Transfer von personenbezogenen Daten aus der Europäischen Union in das Vereinigte Königreich ohne zusätzliche Maßnahmen zur Sicherstellung eines adäquaten Datenschutzniveaus ermöglicht. Anschließend sollte während der Übergangsphase eine Adäquanzentscheidung hinsichtlich des Datenschutzniveaus des Vereinigten Königreichs ergehen.

Datenschutzrechtliche Folge des No-Deal-Brexit

Mit der Ablehnung des Brexit-Abkommens durch das britische Parlament am 15.01.2019 wird es jetzt jedoch mehr und mehr wahrscheinlich, dass diese Übergangsregelungen nie zur Anwendung kommen werden. Das bedeutet, dass datenschutzrechtlich mit Wirksamwerden des Brexits am 29.03.2019 das Vereinigte Königreich zum Drittland i.S.v. Art. 44-49 DSGVO wird. Zur Sicherstellung der Transfers von personenbezogenen Daten ist daher neben der grundsätzlichen Zulässigkeit der Datenverarbeitung an sich entweder eine Einwilligung der Betroffenen für diesen Transfer einzuholen oder es sind sonstige Maßnahmen gemäß Art. 44-49 DSGVO zu treffen, die ein sicheres Datenschutzniveau gewährleisten. Anderenfalls wäre der Transfer von personenbezogenen Daten von der Europäischen Union in das Vereinigte Königreich unzulässig.

Das gilt, obwohl das Vereinigte Königreich die DSGVO in nationales Recht umgesetzt hat und diese Umsetzung auch nach Wirksamwerden des Brexit aufrecht erhält. Faktisch gilt damit dasselbe Datenschutzrecht wie innerhalb der Europäischen Union. Allerdings stellte die Europäische Kommission bereits am 13.11.2018 klar, dass bei einem Brexit ohne geregeltes Abkommen das Vereinigte Königreich dennoch ab dem 30.03.2019 als unsicheres Drittland gilt bis ein Angemessenheitsbeschluss erlassen wird. Dafür muss zunächst das reguläre Verfahren zur Herbeiführung eines Angemessenheitsbeschlusses, der das Vereinigte Königreich als sicheres Drittland qualifizieren und damit einen Transfer auch ohne weitere Maßnahmen ermöglichen würde, durchlaufen werden. Ein solches Verfahren nimmt erfahrungsgemäß mehrere Monate bis über ein Jahr in Anspruch.

Handlungsbedarf für Unternehmen

Das bedeutet für Unternehmen, die personenbezogene Daten in das Vereinigte Königreich transferieren, dass sie aktiv werden müssen. Ein Transfer erfolgt zum Beispiel, wenn sie dort Tochterunternehmen oder Niederlassungen haben, die mit personenbezogenen Daten aus der Europäischen Union arbeiten müssen (ein Zugriff auf innerhalb der Europäischen Union befindliche IT-Systeme reicht für einen Transfer von personenbezogenen Daten schon aus). Auch eine Nutzung von IT-Providern, deren Systeme im Vereinigten Königreich gehostet werden, löst Handlungsbedarf aus. Anderenfalls riskieren die Unternehmen, dass diese Transfers von personenbezogenen Daten unzulässig sind und mit Bußgeldern in Höhe von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes belegt werden können. Übergangsfristen gibt es hier nicht.

Standardvertragsklauseln probates Mittel

Als einziges praktikables Mittel, um den Datentransfer abzusichern, kommt dabei die Verwendung der sog. Standardvertragsklauseln in Frage. Die Standardvertragsklauseln sind vertragliche Regelungen zwischen dem Verantwortlichen in der Europäischen Union und dem Empfänger der personenbezogenen Daten in dem unsicheren Drittland, hier das Vereinigte Königreich, die ein adäquates Datenschutzniveau sicherstellen sollen. Mit Beschlüssen stellte die Europäische Kommission fest, dass das bei Verwendung dieser Standardvertragsklauseln der Fall ist. Es gibt sie für den Transfer von personenbezogenen Daten von Verantwortlichem zu Verantwortlichem sowie von Verantwortlichem zu Auftragsverarbeiter.
Es ist zu raten, dass die betroffenen Unternehmen proaktiv tätig werden und auf die Daten empfangenden Unternehmen im Vereinigten Königreich zugehen und den Abschluss der Standardvertragsklauseln - gerne auch mit aufschiebender Bedingung des ungeregelten Brexits - vereinbaren.

Unternehmen, die Daten aus dem Vereinigten Königreich in die Europäische Union transferieren wollen, können dies dagegen nach aktuellem Kenntnisstand weiterhin wie zuvor tun. Die zuständige Aufsichtsbehörde im Vereinigten Königreich hat bereits entsprechende Verlautbarungen veröffentlicht. Leider gilt dies aber nicht auf dem umgekehrten Weg.



Autor


Dr. Philip Kempermann ist Partner und Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.

Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Ubbo Aßmus
Heuking Kühn Lüer Wojtek
Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Anne Heisig
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Dirk Stolz
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Florian Winzer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf




Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2019 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner: www.heuking.de

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie unter www.heuking.de nachlesen.

datenschutz@heuking.de