Laut Boris Johnson hat sich mit dem Brexit für das Vereinigte Königreich auch das Europäische Datenschutzrecht erledigt - aber stimmt das tatsächlich?
Nach langem Hin und Her gehört Großbritannien seit 1. Februar 2020 nicht mehr zur Europäischen Union. Dadurch stellt sich aus rechtlicher Sicht eine wichtige Frage: Was bedeutet dieser Umstand für den Datenschutz? Boris Johnson ließ vor wenigen Tagen verlauten, er wolle die volle souveräne Kontrolle über den Datenschutz wiederherstellen - ohne sich von einem Abkommen mit der EU einengen zu lassen oder die Datenschutz-Grundverordnung (DSGVO) der EU in das nationale Recht zu implementieren. Doch ist dieses Ziel realistisch und lückenlos zu erreichen? Schon jetzt ist die klare Antwort: Nein.
Das Austrittsabkommen
Laut Austrittsabkommen soll die EU-DSGVO in Großbritannien zunächst bis zum Ende des Übergangszeitraumes (geplant 31. Dezember 2020) und auch danach fortgelten, soweit es sich um die Verarbeitung personenbezogener Daten von Personen aus der EU handelt. Das soll sich erst ändern, sobald die Kommission mittels Beschluss Großbritannien ein angemessenes Schutzniveau zubilligt. Und selbst wenn ein solcher Angemessenheitsbeschluss nicht mehr gilt, bleibt Großbritannien verpflichtet, ein dem EU-Standard ebenbürtiges Schutzniveau sicherzustellen.
Selbst wenn Johnson bis Jahresende neue, souveräne Datenschutzregeln einführt, ist sein Handlungsspielraum stark eingegrenzt. Würde sich Johnson zu weit von den Vorgaben der EU-DSGVO entfernen, wäre das eine Verletzung des Austrittsabkommens. Bleibt er hingegen eng an den Datenschutzregeln der EU, würde das seiner öffentlichen Ansage nach weniger Einengung widersprechen.
Welche Maßnahmen Johnson auch immer setzt, er wird die volle Anwendbarkeit der EU-DSGVO in bestimmten Fällen schlicht nicht verhindern können.
Zielmarkt entscheidend
Der räumliche Anwendungsbereich der EU-DSGVO folgt neben dem Territorialprinzip auch dem Marktortprinzip. Demnach gilt die EU-DSGVO auch für all jene Unternehmen mit Sitz außerhalb der EU, die sich mit ihren Waren oder Dienstleistungen an in der EU befindliche Personen richten oder deren Verhalten beobachten. Wer also seine Waren und Dienstleistungen etwa über eine Webseite von Großbritannien aus auch dem Europäischen Markt anbietet - etwa, weil Preise in Euro ausgezeichnet sind oder die Webseite in mehreren EU-Sprachen abrufbar ist -, unterliegt weiterhin allen Vorgaben der EU-DSGVO. Daran kann auch nationales britisches Recht nichts ändern.
Tatsächlich kommen dann sogar weitere, bislang nicht relevante Anforderungen auf solche Unternehmen zu: Nach Art 27 DSGVO müssen sie einen Vertreter in der EU benennen, um insbesondere für betroffene Personen und Aufsichtsbehörden leicht erreichbar zu sein.
Viele sind der Meinung, dass für die Dauer des Übergangszeitraumes ein Datentransfer in das Vereinigte Königreich unproblematisch ist, weil für diesen Zeitraum die EU-DSGVO in Großbritannien weiter gilt. Diese Ansicht ist zumindest zu hinterfragen. Denn Großbritannien ist seit dem 1. Februar 2020 kein EU-Mitgliedstaat mehr - und gilt damit im Bereich des Datenschutzes als Drittland. Den Datenverkehr mit Drittländern bindet die EU-DSGVO aber an bestimmte Regeln. Im Austrittsabkommen ist allerdings nirgends festgehalten, dass Großbritannien nun als sicheres Drittland einzustufen wäre.
Eine Möglichkeit zur Rechtfertigung des Datentransfers ist die Fassung eines bereits zuvor er-wähnten Angemessenheitsbeschlusses durch die Kommission. Auch hier wäre Großbritannien entgegen Johnsons Annahme wieder von der EU abhängig. Noch entscheidender ist aber: Einen solchen Angemessenheitsbeschluss der Kommission gibt es bislang schlicht nicht.
In Ermangelung eines Angemessenheitsbeschlusses gestalten sich die Möglichkeiten des DSGVO-konformen Datentransfers aus der EU nach Großbritannien entweder kompliziert, riskant oder beides. Binding Corporate Rules (BCR) sind auf konzerninterne Datentransfers beschränkt, bedürfen der Genehmigung durch die Aufsichtsbehörden und sind sowohl in zeitlicher als auch finanzieller Hinsicht sehr aufwendig zu erstellen.
Ein Datentransfer auf Basis der genehmigten EU-Standardvertragsklauseln ist viel leichter umzusetzen, deckt allerdings nicht jeden relevanten Sachverhalt ab. Auch sagen solche Klauseln nichts über das tatsächliche Schutzniveau im Drittland aus. Stellt eine nationale Datenschutzbehörde Mängel im Drittland fest, kann sie die Datenübermittlungen jederzeit aussetzen oder verbieten, was der Generalanwalt des Europäischen Gerichtshofes vor wenigen Wochen ausdrücklich feststellte.
Teilweise erhebliche Risiken
Die EU-DSGVO sieht noch weitere Maßnahmen zur Rechtfertigung des Datentransfers vor, aber auch all diese Maßnahmen sind mit teilweise erheblichen Risiken verbunden. Im Falle einer Einwilligung ist diese etwa nur wirksam, wenn sie freiwillig und in voller Aufklärung über die mit dem Datentransfer verbundenen Risiken erfolgt. Abgesehen davon können Einwilligungen jederzeit und ohne Begründung widerrufen werden.
Tatsächlich hat Johnson weit weniger Handlungs- und Gestaltungsspielraum, als er öffentlich vorgibt. Britische Unternehmen, die sich an den EU-Markt wenden, bleiben trotz Brexit im vollen Anwendungsbereich der EU-DSGVO. Ob ein Datentransfer in das Vereinigte Königreich aktuell noch zulässig ist, ist nicht klar. Es bleibt abzuwarten, welche nationalen Datenschutzregeln Johnson tatsächlich einführen wird. In Ermangelung eines Angemessenheitsbeschlusses sollten Datentransfers von der EU nach Großbritannien jedenfalls schon jetzt überprüft werden.
Die Zeit drängt: Denn ein unzulässiger Datentransfer in ein Drittland kann massive Strafen nach sich ziehen. Und weder der Brexit an sich noch die hochgesteckten Ziele Johnsons können daran etwas ändern.
Sie sind anderer Meinung?
Diskutieren Sie mit: Online unter www.wienerzeitung.at/recht oder unter recht@wienerzeitung.at