Stellungnahme der DSK zum aktuellen Stand des Brexit
Anlässlich der weiteren Zuspitzung der Brexit-Verhandlungen bzw. der diesbezüglichen diversen Abstimmungen im britischen Unterhaus hat die Datenschutz-Konferenz (DSK) der Datenschutzaufsichtsbehörden des Bundes und der Länder eine Stellungnahme hierzu abgegeben. Knapp zusammengefasst lässt sich sagen, dass bei einem geregelten Austritt – der leider von Tag zu Tag unwahrscheinlicher wird – zumindest bis Ende 2020 alles beim Alten bleibt und kein akuter Handlungsbedarf besteht. Ich erwarte, dass die EU-Kommission diese Zeit nutzen würde, um Großbritannien in die Liste der Staaten mit vergleichbarem Datenschutzniveau aufzunehmen, was den Datenaustausch auf eine Stufe mit z.B. der Schweiz stellen würde.
Bei einem ungeregelten Austritt – und darauf müssen wir uns wohl trotz der zu erwartenden Verlängerung bis zum 26.05.2019 oder evtl. sogar bis zum 01.07.2019 einstellen – steht Großbritannien dagegen gegenüber der EU wie ein beliebiges Drittland da, d.h. vergleichbar mit z.B. Russland oder Brasilien. Somit sind auch bzgl. eines Transfers personenbezogener Daten nach Großbritannien die gleichen datenschutzrechtlichen Auflagen zu beachten.
Konkret heißt dies für Ihr Unternehmen:
- Prüfen Sie, ob mit britischen Unternehmen eine Geschäftsbeziehung besteht, in deren Rahmen personenbezogene Daten von Ihnen zu diesem Unternehmen gelangen oder das Unternehmen (z.B. im Rahmen von Fernwartung) Zugriff auf bei Ihnen befindliche personenbezogene Daten nehmen könnte. Dabei kann es um Daten der eigenen Mitarbeiter, aber auch um Daten von Kunden, Lieferanten etc. gehen. In erster Linie geht es also darum, ob in Großbritannien ansässige Dienstleister für Ihr Unternehmen tätig sind und ob diese eine Dienstleistung erbringen, bei der personenbezogene Daten verarbeitet werden oder ein Zugriff auf solche Daten nicht auszuschließen ist. Zu beachten ist, dass im Rahmen einer solchen Prüfung auch generell IT-Dienstleistungen zu berücksichtigen sind, bei denen sich Rechenzentren in Großbritannien befinden. Nicht gemeint sind übrigens übliche Geschäftsbeziehungen mit britischen Lieferanten oder Kunden, in deren Zusammenhang lediglich geschäftliche Kontaktdaten ausgetauscht werden.
- Ergibt die Prüfung, dass eine relevante Datenverarbeitung vorliegt, ist das weitere Vorgehen zu überlegen. In den meisten Fällen wird der Abschluss eines Vertrags gemäß EU-Standardvertragsklauseln das einfachste und schnellste Mittel der Wahl sein.
Auch wenn die Aufsichtsbehörden bereits jetzt (weiterhin) vollkommen überlastet sind, realistisch betrachtet aktuell gar nicht die Möglichkeit haben, Unternehmen – schon gar nicht hunderttausende - dahingehend zu überprüfen und auch gar kein Interesse daran haben, das nach einem ungeregelten Brexit ausbrechende Chaos in der Wirtschaft auch noch von Datenschutzseite anzuheizen, so empfehle ich doch, sich darauf einzustellen. Denn zumindest bei einem tatsächlich erfolgten ungeregelten Brexit sollten Sie in den Folgewochen und –monaten die erforderlichen Schritte für die weiteren Geschäftsbeziehungen zu britischen Unternehmen auch von Datenschutzseite her tun, wenngleich Ihnen verständlicherweise alle anderen Aspekte in dieser hoffentlich doch noch abwendbaren Situation zunächst einmal viel mehr unter den Nägeln brennen dürften.