Auswirkungen auf öffentliche Einrichtungen Datenschutz-Herausforderung Brexit

Autor / Redakteur: Haye Hösel* / Susanne Ehneß |

Auch für öffentliche Institutionen herrschen noch Unklarheiten, was den EU-Austritt Großbritanniens betrifft. Eine Einschätzung des Datenschutzbeauftragten Haye Hösel.

Anbieter zum Thema

Behörden, die in irgendeiner Weise personenbezogene Daten nach Großbritannien übermitteln, sollten Vorbereitungen treffen
Behörden, die in irgendeiner Weise personenbezogene Daten nach Großbritannien übermitteln, sollten Vorbereitungen treffen
(© peterschreiber.media - stock.adobe.com)

Nahezu täglich gibt es neue Entwicklungen zum Brexit. Das Unterhaus in Großbritannien hat zwar kürzlich für eine Fristverlängerung über den 29. März – das eigentliche Datum für den Austritt des Vereinigten Königreichs aus der EU – hinaus gestimmt, doch diese Verschiebung bedarf nun der Zustimmung aller EU-Staaten. Selbst wenn alle einer verlängerten Frist zustimmen, besteht noch immer Unklarheit darüber, um was für einen Zeitraum es sich hierbei handeln wird.

Zudem hat sich das Unterhaus auch gegen einen Austritt ohne Abkommen ausgesprochen. Das bedeutet, die Wahrscheinlichkeit für einen ungeregelten Brexit ist gesunken. Dennoch ist dessen Eintreten nicht ganz ausgeschlossen, da die Entscheidung nicht rechtsverbindlich ist und das Unterhaus gleichzeitig den Austrittsvertrag nicht gebilligt hat. Sicherheit besteht ­also nur in Hinsicht auf eines: Die Modalitäten des Brexits sind bis auf Weiteres ungeklärt.

Bedeutung für Verwaltungen

Da auch Verwaltungsprozesse in Behörden einer zunehmenden ­Digitalisierung unterliegen, können im Falle eines ungeregelten Brexits auch auf öffentliche Institutionen datenschutzrechtliche ­Herausforderungen zukommen. Beispielsweise wenn sie mit IT-Dienstleistern zusammenarbeiten, die einen Sitz in Großbritannien haben, oder wenn sie Leistungen von Rechenzentren in Anspruch nehmen, die ihren Sitz dort haben.

Der Grund hierfür: Auch für öffentliche Institutionen gilt – mit Ausnahmen – neben dem Bundesdatenschutzgesetz und den jeweiligen Landesdatenschutzgesetzen der Bundesländer die EU-Datenschutz-Grundverordnung (EU-­DSGVO). Diese hebt die Unterscheidung von öffentlichen und nichtöffentlichen Stellen in Bezug auf den Datenschutz teilweise auf. Es gelten lediglich einige Ausnahmen für bestimmte Behörden. So schließt Artikel 2 Absatz 2 Buchstabe d DSGVO die aus, die personenbezogene Daten zum „Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung“ verarbeiten.

Geregelter Brexit – alles bleibt wie bisher

Für den Fall, dass ein geregelter Brexit zustande kommt, gilt dem jetzigen Entwurf des Austrittsabkommens zufolge eine Übergangsphase bis zum 31. Dezember 2020. Bis zum Ende dieser Frist wird Großbritannien weiterhin wie ein EU-Mitgliedstaat behandelt – das bedeutet, aus Datenschutzsicht ändert sich vorerst nichts, da neben den Bestimmungen des Bundesdatenschutzgesetzes 2018 weiterhin die DSGVO gilt.

Harter Brexit macht Großbritannien zum Drittland

Verlässt Großbritannien die EU ­jedoch ohne Abkommen, gilt es ­gemäß der DSGVO als Drittland. Folglich kann eine Datenübermittlung nicht mehr ohne Weiteres stattfinden. Stattdessen greifen die Artikel 44 bis 50 der EU-DSGVO. Artikel 44 sagt aus, dass „[j]edwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine ­internationale Organisation verarbeitet werden sollen, […] nur zulässig [ist], wenn der Verantwortliche und der Auftragsverarbeiter die […] niedergelegten Bedingungen einhalten und auch die […] Bestimmungen dieser Verordnung eingehalten werden“. Eine Übermittlung personenbezogener Daten kann demnach zwar weiterhin stattfinden, unterliegt jedoch ­speziellen Regeln, um betroffene Personen zu schützen.

Um diesen Schutz zu garantieren, müssen Behörden, die der Einhaltung der DSGVO verpflichtet sind, verschiedenste Schutzmaßnahmen treffen. Hierunter fallen unter anderem EU-Standardvertragsklauseln oder sogenannte Binding ­Corporate Rules, also verbindliche interne Datenschutzvorschriften, die jedoch durch eine Aufsichtsbehörde genehmigt werden müssen.

Angemessenheitsbeschluss­

Im Falle eines harten Brexit bedarf es dann einer Klärung durch die EU-Kommission, ob das Datenschutzniveau Großbritanniens dem der EU entspricht. Sollte dies der Fall sein, darf gemäß der DSGVO „eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation […] vorgenommen werden“. Hierfür bedarf es eines sogenannten Angemessenheitsbeschlusses der Europäischen Kommission, der die Übermittlung personenbezogener Daten in das Vereinigte ­Königreich ohne besondere Einschränkungen zulässt. Da jedoch gegenwärtig noch über viele Details Unklarheit herrscht, trifft die EU diese Entscheidung voraussichtlich erst nach einem vollzogenen Austritt. Folglich wird es eine Übergangsphase geben, in der Großbritannien datenschutzrechtlich als Drittland behandelt wird – selbst wenn die EU irgendwann einen Angemessenheitsbeschluss verfasst.

Der Autor: Haye Hösel
Der Autor: Haye Hösel
(© HUBIT Datenschutz GmbH & Co. KG)

Vorbereitungen für ­Maßnahmen ergreifen

Um auf einen Austritt ohne Abkommen vorbereitet zu sein, empfiehlt es sich für Behörden, die in irgendeiner Weise personenbezogene Daten nach Großbritannien übermitteln, bereits jetzt, einige Maßnahmen zu ergreifen. So gilt es, im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung auf der Website über die Datenübermittlung in das Drittland Großbritannien zu informieren. Zudem muss das Verzeichnis von Verarbeitungstätigkeiten, das Datenübermittlungen in Drittländer erhält, um das Vereinigte Königreich ergänzt werden. Darüber hinaus müssen Behörden ­Datenschutz-Folgeabschätzungen ergänzen oder neu durchführen.

*Der Autor: Haye Hösel ist zertifizierter Datenschutzbeauftragter sowie Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co KG.

(ID:45814721)