Artikel
Mit dem BREXIT ist für Boris Johnson auch das Europäische Datenschutzrecht erledigt – tatsächlich?
Nach langem Hin und Her ist es nun soweit: Großbritannien gehört seit dem 1. Februar 2020 nicht mehr zur EU. Daraus folgt, dass sich das Vereinigte Königreich nicht mehr der DSGVO unterwerfen muss. Das wird Großbritannien auch nicht tun, ließ Boris Johnson vor wenigen Tagen wissen. Sein Ziel ist es, die volle souveräne Kontrolle über den Datenschutz wiederherzustellen, ohne sich von einem Abkommen mit der EU einengen zu lassen oder die DSGVO in das nationale Recht zu implementieren. Doch ist diese Ziel realistisch und für Boris Johnson wirklich lückenlos zu erreichen? Schon jetzt ist die ganz klare Antwort: Nein.
Unternehmen in Großbritannien, die sich an den Markt der EU wenden
Der räumliche Anwendungsbereich der DSGVO folgt neben dem Territorialprinzip auch dem Marktortprinzip. Nach dem Territorialprinzip gilt die DSGVO für alle Unternehmen, die ihre Niederlassung in der EU haben. Nach dem Marktortprinzip gilt die DSGVO darüber hinaus aber auch für alle Unternehmen mit Sitz außerhalb der EU, die sich mit ihren Leistungen (Waren oder Dienstleistungen) an in der EU befindliche Personen richten oder deren Verhalten beobachten. Insbesondere wer also seine Waren und Dienstleistungen über eine Website von Großbritannien aus auch dem Europäischen Markt anbietet (etwa, weil Preise in Euro ausgezeichnet sind oder die Website in mehreren EU-Sprachen abrufbar ist), unterliegt (weiterhin) dem vollen Anwendungsbereich der DSGVO. Tatsächlich kommen dann sogar noch weitere (bislang nicht relevante) Anforderungen auf solche Unternehmen zu, müssen sie doch nach Art 27 DSGVO einen Vertreter in der EU benennen, um insbesondere für betroffene Personen und Aufsichtsbehörden leicht erreichbar zu sein.
Transfer personenbezogener Daten aus der EU nach Großbritannien
Ein weiterer nach dem BREXIT relevanter Fall ist die Übermittlung personenbezogener Daten aus der EU nach Großbritannien. Nach dem erfolgten Austritt aus der EU gilt Großbritannien als sogenanntes Drittland. Der Datenverkehr mit Drittländern ist aber an bestimmte Regeln der DGVO gebunden. Hintergedanke ist stets, dass mit der Datenübermittlung bestimmte Datenschutzstandards sichergestellt sein sollen.
Eine Möglichkeit zur Rechtfertigung des Datentransfers ist die Fassung eines Angemessenheitsbeschlusses durch die EU-Kommission. Damit legt die EU-Kommission nach erfolgter Prüfung fest, dass das Datenschutzniveau im Drittland im Vergleich zur EU angemessen ist. Auch hier wären Großbritannien bzw. Boris Johnson somit wieder von er EU abhängig. Noch entscheidender ist aber, dass es einen solchen Angemessenheitsbeschluss bislang schlicht nicht gibt.
In Ermangelung eines Angemessenheitsbeschlusses gestalten sich die Möglichkeiten des DSGVO-konformen Datentransfers aus der EU nach Großbritannien als kompliziert oder riskant oder beides. Binding Corporate Rules (BCR) sind auf konzerninterne Datentransfers beschränkt und sowohl in zeitlicher als auch finanzieller Hinsicht sehr aufwendig zu erstellen, da die Aufsichtsbehörden die BCRs genehmigen müssen und dabei hohe Anforderungen an deren Ausgestaltung stellen. Das Umsetzen von BCRs ist in Praxis – je nach Konzerngröße und Komplexität – eine Angelegenheit von Jahren. Ein Datentransfer auf Basis der genehmigten EU-Standardvertragsklauseln ist viel leichter umzusetzen, deckt allerdings nicht jeden relevanten Sachverhalt ab. Darüber hinaus sagen solche Klausen auch nichts über das tatsächliche Schutzniveau im Drittland aus. Stellt eine nationale Datenschutzbehörde solche Mängel im Drittland fest, kann sie die Datenübermittlungen jederzeit aussetzen oder verbieten, wie dies nicht der Generalanwalt des EuGH vor wenigen Wochen ausdrücklich feststellt hat. Die DSGVO sieht noch weitere Maßnahmen zur Rechtfertigung des Datentransfers vor, insbesondere auf Basis der Einwilligung des Betroffenen. Aber auch alle diese Maßnahmen sind mit – teilweise erheblichen – Risiken verbunden. Im Fall der Einwilligung ist diese etwa nur wirksam, wenn sie freiwillig und in voller Aufklärung über die mit dem Datentransfer verbundenen Risiken erfolgt. Abgesehen davon können Einwilligungen jederzeit und ohne Begründung widerrufen werden.
Zusammenfassung
Britische Unternehmen, die sich an den Markt der EU wenden, bleiben in diesem Zusammenhang im vollen Anwendungsbereich der DSGVO. Datentransfers von Unternehmen mit Sitz in der EU nach Großbritannien bedürfen nun zusätzlich einer besonderen, den Vorgaben der DSGVO entsprechenden Rechtfertigungsgrundlage, die (solange es keinen Angemessenheitsbeschluss für Großbritannien gibt) von den EU-Unternehmen rasch zu schaffen, da sie sonst einen unzulässigen Datentransfer in ein Drittland zu verantworten haben, der massive Strafen nach sich ziehen kann. Und weder der BREXIT an sich noch die hochgesteckten Ziele von Boris Johnson, sich vollständig vom Europäischen Datenschutz zu emanzipieren, können an all dem etwas ändern.