Zwar hat sich das britische Unterhaus für eine Vermeidung des kalten Brexit und gegen einen „No-Deal-Austritt“ ausgesprochen. Dennoch bleibt der Ausgang des Ringens um den Brexit völlig unklar. Den LfDI erreichen täglich Nachfragen, ob grenzüberschreitende Datenverarbeitungen – mit britischen Geschäftspartnern oder Auftragsverarbeitern – bei einem kalten EU-Austritt des United Kingdom (UK) noch möglich bleiben.
UK LAUT DSGVO DRITTSTAAT
Auf diese Frage findet sich die Antworten in der DS-GVO selbst: UK wäre im Fall des kalten Brexit als Drittstaat anzusehen – und zwar ohne jede Übergangs- oder Schonfrist. Als Rechtsgrundlage für die Übermittlung personenbezogener Daten sind dann die Vorgaben für den außereuropäischen internationalen Datenverkehr heranzuziehen.
Das Problem dabei: Die knappe verbleibende Zeit bis Ende März 2019 verhindert, dass alle durch die DS-GVO gebotenen Lösungsmöglichkeiten auch tatsächlich ausgeschöpft werden können. Ein viele Vorteile bringender Angemessenheitsbeschluss der Europäischen Kommission wird vor einem Brexit nicht mehr herbeizuführen sein. Dafür benötigt die Kommission eher zwei Jahre als zwei Monate. Langfristig wird sich der LfDI natürlich für die Einleitung eines solchen Verfahrens zur Prüfung der Angemessenheit des Datenschutzniveaus in Großbritannien einsetzen. Dies bringt nicht nur der Praxis mehr Vorteile und erspart Aufwände, sondern auch mehr Rechtssicherheit für grenzüberschreitende Datenverarbeitungsprozesse im Vereinigten Königreich. Ob die britischen Datenschutzregelungen den Anforderungen der EU zukünftig genügen, muss natürlich konsequent überprüft werden. Auch das wird kein Selbstläufer.
BINDING CORPORATE RULES
Jedoch verbleiben weitere Möglichkeiten, Datenverarbeitungen auch kurzfristig rechtmäßig durchzuführen. Die europäischen Aufsichtsbehörden bereiten dies bereits vor: So können Konzerne aufatmen, die bereits über sogenannte „Binding Corporate Rules“ verfügen. Aber auch für alle anderen Unternehmen wird eine grenzüberschreitende Verarbeitung personenbezogener Daten mit Hilfe von sogenannten Standarddatenschutzklauseln möglich sein. Auch hier gilt aber: Erst genau prüfen, ob diese Mustertexte auf die konkrete Verarbeitungssituation passen und ob die Vertragsparteien alle dort aufgeführten Anforderungen tatsächlich erfüllen. Die Zeiten eines „simulierten“ Datenschutzes sind vorbei, es herrscht die EU-DS-GVO!
Die Briten informieren umfassend zu allen Fragen um den Brexit: Eine allgemeine Guideline zum „No-Deal-Brexit“ findet sich auf der Internetseite der ICO. Diese wird ergänzt durch einen 6-Schritte-Plan, der um einen FAQ-Katalog ergänzt wird.
Zudem wurde das Online-Tool zur Erstellung von Standarddatenschutzklauseln bereits auf den aktuellsten Stand gebracht, das Informationen über die Klauseln selbst und ihre Erstellung bereithält.
Wer sich zusätzlich noch weiter informieren will kann dies auf dem Blog der britischen Kollegen tun.
Auch schwierigste politische Situationen können so mit Hilfe der von der DS-GVO angebotenen Lösungen bewältigt werden. Der Rest ist Hoffen auf eine vernünftige Lösung …